Dela via


Azure-säkerhetsbaslinje för Functions

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 på Functions. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för Functions.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte är tillämpliga för Functions har exkluderats. Information om hur Functions mappar helt till Microsofts molnsäkerhetsmått finns i den fullständiga mappningsfilen för functions-säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar funktioner med hög påverkan, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Compute, Web
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Sant
Lagrar kundinnehåll i vila Sant

Nätverkssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.

NS-1: Upprätta gränser för nätverkssegmentering

Funktioner

Integrering med virtuellt nätverk

Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera tjänsten till ett virtuellt nätverk. Tilldela privata IP-adresser till resursen (om tillämpligt) såvida det inte finns en stark anledning att tilldela offentliga IP-adresser direkt till resursen.

Obs! Nätverksfunktioner exponeras av tjänsten men måste konfigureras för programmet. Som standard tillåts åtkomst till offentligt nätverk.

Referens: Azure Functions nätverksalternativ

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd nätverkssäkerhetsgrupper (NSG) för att begränsa eller övervaka trafik via port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa tjänstens öppna portar (till exempel förhindra att hanteringsportar nås från ej betrodda nätverk). Tänk på att NSG:er som standard nekar all inkommande trafik men tillåter trafik från virtuella nätverk och Azure Load Balancers.

Referens: Azure Functions nätverksalternativ

NS-2: Skydda molntjänster med nätverkskontroller

Funktioner

Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Distribuera privata slutpunkter för alla Azure-resurser som stöder funktionen Private Link för att upprätta en privat åtkomstpunkt för resurserna.

Referens: Azure Functions nätverksalternativ

Inaktivera åtkomst till offentligt nätverk

Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Azure Functions kan konfigureras med privata slutpunkter, men det finns för närvarande inte en enda växlingsknapp för att inaktivera offentlig nätverksåtkomst utan att konfigurera privata slutpunkter.

Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med ip-ACL-filtreringsregeln på tjänstnivå eller en växlingsväxel för åtkomst till offentligt nätverk.

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD autentisering för dataplansåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Kundägda slutpunkter kan konfigureras för att kräva Azure AD autentiseringskrav. Systembaserade slutpunkter för distributionsåtgärder och avancerade utvecklarverktyg stöder Azure AD men har som standard möjlighet att alternativt använda autentiseringsuppgifter för publicering. Dessa autentiseringsuppgifter för publicering kan inaktiveras. Vissa dataplansslutpunkter i appen kan nås av administrativa nycklar som konfigurerats i Functions-värden och dessa kan inte konfigureras med Azure AD krav just nu.

Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.

Referens: Konfigurera autentiseringsuppgifter för distribution – inaktivera grundläggande autentisering

Lokala autentiseringsmetoder för dataplansåtkomst

Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Funktionsanteckningar: Autentiseringsuppgifter för distribution skapas som standard, men de kan inaktiveras. Vissa åtgärder som exponeras av programkörningen kan utföras med hjälp av en administrativ nyckel, som för närvarande inte kan inaktiveras. Den här nyckeln kan lagras i Azure Key Vault och den kan återskapas när som helst. Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Referens: Inaktivera grundläggande autentisering

SNABBMEDDELANDE 3: Hantera programidentiteter på ett säkert och automatiskt sätt

Funktioner

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd azure-hanterade identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera till Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.

Referens: Så här använder du hanterade identiteter för App Service och Azure Functions

Tjänstens huvudnamn

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Web:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar ska använda hanterad identitet Använda en hanterad identitet för förbättrad autentiseringssäkerhet AuditIfNotExists, Inaktiverad 3.0.0

SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor

Funktioner

Villkorsstyrd åtkomst för dataplanet

Beskrivning: Åtkomst till dataplan kan styras med hjälp av Azure AD principer för villkorlig åtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: För dataplansslutpunkter som inte definieras av programmet måste villkorlig åtkomst konfigureras mot Azure Service Management.

Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorlig åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllt inloggningsbeteende eller kräva organisationshanterade enheter för specifika program.

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Se till att hemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler.

Referens: Använd Key Vault referenser för App Service och Azure Functions

Privilegierad åtkomst

Mer information finns i Microsoft cloud security benchmark: Privileged access (Microsoft cloud security benchmark: Privileged access).

PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare

Funktioner

Lokala Admin-konton

Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

PA-7: Följ principen för precis tillräckligt med administration (minst behörighet)

Funktioner

Azure RBAC för dataplan

Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: De enda dataplansåtgärder som kan utnyttja Azure RBAC är Kudu/SCM/distributionsslutpunkter. Dessa kräver behörighet för åtgärden Microsoft.Web/sites/publish/Action . Slutpunkter som exponeras av själva kundprogrammet omfattas inte av Azure RBAC.

Konfigurationsvägledning: Använd rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att hantera Åtkomst till Azure-resurser via inbyggda rolltilldelningar. Azure RBAC-roller kan tilldelas till användare, grupper, tjänstens huvudnamn och hanterade identiteter.

Referens: RBAC-behörigheter som krävs för åtkomst till Kudu

PA-8: Fastställa åtkomstprocess för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-2: Övervaka avvikelser och hot mot känsliga data

Funktioner

Dataläckage/förlustskydd

Beskrivning: Tjänsten stöder DLP-lösning för att övervaka känslig dataflytt (i kundens innehåll). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Funktionsappar skapas som standard för att stödja TLS 1.2 som en lägsta version, men en app kan konfigureras med en lägre version via en konfigurationsinställning. HTTPS krävs inte för inkommande begäranden som standard, men detta kan också anges via en konfigurationsinställning. Då omdirigeras alla HTTP-begäranden automatiskt för att använda HTTPS.

Konfigurationsvägledning: Aktivera säker överföring i tjänster där det finns en inbyggd funktion för överföringskryptering inbyggd. Framtvinga HTTPS på alla webbprogram och tjänster och se till att TLS v1.2 eller senare används. Äldre versioner, till exempel SSL 3.0, TLS v1.0 bör inaktiveras. För fjärrhantering av Virtual Machines använder du SSH (för Linux) eller RDP/TLS (för Windows) i stället för ett okrypterat protokoll.

Referens: Lägga till och hantera TLS/SSL-certifikat i Azure App Service

Microsoft Defender för molnövervakning

Azure Policy inbyggda definitioner – Microsoft.Web:

Name
(Azure Portal)
Description Effekter Version
(GitHub)
App Service appar ska endast vara tillgängliga via HTTPS Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. Granska, inaktiverad, neka 4.0.0

DP-4: Aktivera vilande datakryptering som standard

Funktioner

Kryptering av vilande data med plattformsnycklar

Beskrivning: Kryptering av vilande data med plattformsnycklar stöds. Allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov

Funktioner

Vilande datakryptering med cmk

Beskrivning: Kryptering i vila med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Azure Functions har inte direkt stöd för den här funktionen, men ett program kan konfigureras för att utnyttja tjänster som gör det, i stället för eventuell datalagring i Functions. Azure Files kan monteras som filsystem kan alla appinställningar, inklusive hemligheter, lagras i Azure Key Vault, och distributionsalternativ som run-from-package kan hämta innehåll från Azure Blob Storage.

Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfånget där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.

Referens: Kryptera dina programdata i vila med hjälp av kundhanterade nycklar

DP-6: Använd en säker nyckelhanteringsprocess

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när en nyckel dras tillbaka eller komprometteras. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Se till att nycklar registreras med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.

Referens: Använd Key Vault referenser för App Service och Azure Functions

DP-7: Använd en säker certifikathanteringsprocess

Funktioner

Certifikathantering i Azure Key Vault

Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för alla kundcertifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera certifikatets livscykel, inklusive att skapa, importera, rotera, återkalla, lagra och rensa certifikatet. Se till att certifikatgenereringen följer definierade standarder utan att använda några osäkra egenskaper, till exempel: otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi. Konfigurera automatisk rotation av certifikatet i Azure Key Vault och Azure-tjänsten (om det stöds) baserat på ett definierat schema eller när ett certifikat upphör att gälla. Om automatisk rotation inte stöds i programmet kontrollerar du att de fortfarande roteras med manuella metoder i Azure Key Vault och programmet.

Referens: Lägga till ett TLS/SSL-certifikat i Azure App Service

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när det finns en konfigurationsavvikelse som identifieras på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och varna om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Defender for App Service innehåller Azure Functions. Om den här lösningen är aktiverad inkluderas funktionsappar under aktiveringsomfånget.

Konfigurationsvägledning: Använd Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till hanteringsplanet. När du får en avisering från Microsoft Defender för Key Vault undersöker och svarar du på aviseringen.

Referens: Defender för App Service

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Konfigurationsvägledning: Aktivera resursloggar för tjänsten. Till exempel stöder Key Vault ytterligare resursloggar för åtgärder som hämtar en hemlighet från ett nyckelvalv eller och Azure SQL har resursloggar som spårar begäranden till en databas. Innehållet i resursloggarna varierar beroende på tjänst- och resurstyp i Azure.

Referens: Övervaka Azure Functions med Azure Monitor-loggar

Säkerhetskopiering och återställning

Mer information finns i Microsoft Cloud Security Benchmark: Säkerhetskopiering och återställning.

BR-1: Säkerställ regelbundna automatiserade säkerhetskopieringar

Funktioner

Azure Backup

Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: En funktion för att säkerhetskopiera ett program är tillgänglig om den finns på en Standard-, Premium- eller Isolerad-App Service-plan. Den här funktionen utnyttjar inte Azure Backup och innehåller inte händelsekällor eller externt länkad lagring. Mer information finns i /azure/app-service/manage-backup.

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Funktion för inbyggd säkerhetskopiering av tjänsten

Beskrivning: Tjänsten stöder sin egen inbyggda säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: En säkerhetskopieringsfunktion är tillgänglig för appar som körs på standard-, Premium- och isolerade App Service-planer. Detta omfattar inte säkerhetskopiering av händelsekällor eller externt tillhandahållen lagring.

Konfigurationsvägledning: Det finns ingen aktuell Microsoft-vägledning för den här funktionskonfigurationen. Granska och kontrollera om din organisation vill konfigurera den här säkerhetsfunktionen.

Referens: Säkerhetskopiera och återställa din app i Azure App Service

Nästa steg