Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Önemli
Bu güvenlik temeli, Microsoft Bulut Güvenliği Karşılaştırması'nın (v1.0) önceki bir sürümünü temel alır ve güncel olmayan yönergeler içerebilir. En son güvenlik yönergeleri için İşlevler belgelerine bakın.
Bu güvenlik temel standardı, İşlevler'e Microsoft bulut güvenlik karşılaştırması sürüm 1.0'ın yönergelerini uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğinize ilişkin öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve İşlevler için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender'ı kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut için Microsoft Defender portalı sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özellik ilgili Azure İlkesi Tanımlarına sahip olduğunda, Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Uyarı
İşlevler için geçerli olmayan özellikler dışlandı. İşlevler'in Microsoft bulut güvenliği karşılaştırmasına tamamen nasıl eşlediğini görmek için İşlevler güvenlik temeli eşleme dosyasının tamamına bakın.
Güvenlik profili
Güvenlik profili, İşlevlerin yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | Hesaplama, Web |
| Müşteri HOST/ işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Hareketsiz müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyonu sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağına (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmeti bir sanal ağa dağıtın. Genel IP'leri kaynağa doğrudan atamak için güçlü bir neden olmadığı sürece kaynağa özel IP'ler atayın (varsa).
Not: Ağ özellikleri hizmet tarafından kullanıma sunulur ancak uygulama için yapılandırılması gerekir. Varsayılan olarak, genel ağ erişimine izin verilir.
Referans: Azure İşlevleri ağ seçenekleri
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Trafiği bağlantı noktası, protokol, kaynak IP adresi veya hedef IP adresine göre kısıtlamak veya izlemek için ağ güvenlik gruplarını (NSG) kullanın. Hizmetinizin açık bağlantı noktalarını kısıtlamak için NSG kuralları oluşturun (örneğin, yönetim bağlantı noktalarına güvenilmeyen ağlardan erişilmesini engelleme). NSG'lerin varsayılan olarak tüm gelen trafiği reddettiklerine ancak sanal ağ ve Azure Load Balancer'lardan gelen trafiğe izin verdiğine dikkat edin.
Referans: Azure İşlevleri ağ seçenekleri
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Özel Bağlantı özelliğini destekleyen tüm Azure kaynakları için özel uç noktaları dağıtarak kaynaklar için özel bir erişim noktası oluşturun.
Referans: Azure İşlevleri ağ seçenekleri
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure İşlevleri özel uç noktalarla yapılandırılabilir, ancak şu anda özel uç noktaları yapılandırırken genel ağ erişimini devre dışı bırakmak için tek bir geçiş yoktur.
Yapılandırma Kılavuzu: Hizmet düzeyi IP ACL filtreleme kuralını veya genel ağ erişimi için geçiş anahtarını kullanarak genel ağ erişimini devre dışı bırakın.
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
Veri Düzlemi Erişimi için Azure AD Kimlik Doğrulaması Gerekiyor
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasını kullanmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Müşteriye ait uç noktalar Azure AD kimlik doğrulaması gereksinimlerini gerektirecek şekilde yapılandırılabilir. Dağıtım işlemleri ve gelişmiş geliştirici araçları için sistem tarafından sağlanan uç noktalar Azure AD'yi destekler, ancak varsayılan olarak yayımlama kimlik bilgilerini alternatif olarak kullanabilir. Bu yayımlama kimlik bilgileri devre dışı bırakılabilir. Uygulamadaki bazı veri düzlemi uç noktalarına İşlevler ana bilgisayarında yapılandırılan yönetim anahtarları tarafından erişilebilir ve bunlar şu anda Azure AD gereksinimleriyle yapılandırılamaz.
Yapılandırma Kılavuzu: Veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: Dağıtım kimlik bilgilerini yapılandırma - temel kimlik doğrulamayı devre dışı bırakma
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Dağıtım kimlik bilgileri varsayılan olarak oluşturulur, ancak devre dışı bırakılabilir. Uygulama çalışma zamanı tarafından kullanıma sunulan bazı işlemler, şu anda devre dışı bırakılamayan bir yönetim anahtarı kullanılarak gerçekleştirilebilir. Bu anahtar Azure Key Vault'ta depolanabilir ve istediğiniz zaman yeniden oluşturulabilir. Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olan her yerde devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: Temel kimlik doğrulamayı devre dışı bırakma
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mümkün olduğunda hizmet sorumluları yerine Azure tarafından yönetilen kimlikler kullanın. Bu kimlikler, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilir. Yönetilen kimlik doğrulama bilgileri platform tarafından yönetilir, düzenli olarak değiştirilir ve korunur; kaynak kodu veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgileri kullanımı önlenir.
Referans: App Service ve Azure İşlevleri için yönetilen kimliklerin kullanımı
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Web:
| İsim (Azure portalı) |
Description | Effect(s) | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamaları yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | DenetleEğerMevcutDeğilse, Devre Dışı | 3.0.0 |
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Uygulama tarafından tanımlanmayan veri düzlemi uç noktaları için koşullu erişimin Azure Hizmet Yönetimi'ne göre yapılandırılması gerekir.
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişim engelleme veya erişim verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım örneklerini göz önünde bulundurun.
IM-8: Kimlik bilgilerinin ve sırların açığa çıkmasını kısıtlama
Özellikler
Azure Key Vault'ta Hizmet Kimlik Bilgileri ve Gizli Bilgiler Entegrasyon ve Depolama Desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault'un yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Gizli dizilerin ve kimlik bilgilerinin kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Başvuru: App Service ve Azure İşlevleri için Key Vault başvurularını kullanma
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırma ve sınırlama
Özellikler
Yerel Yönetici Hesapları
Açıklama: Hizmet, yerel bir yönetim hesabı kavramına sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Azure Role-Based Erişim Denetimi (Azure RBAC), hizmetin veri düzlemi eylemlerine yönetilen erişim için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure RBAC'yi kullanabilen tek veri düzlemi eylemleri Kudu/SCM/dağıtım uç noktalarıdır. Bunlar işlem üzerinde Microsoft.Web/sites/publish/Action izin gerektirir. Müşteri uygulamasının kendisi tarafından kullanıma sunulan uç noktalar Azure RBAC kapsamında değildir.
Yapılandırma Kılavuzu: Yerleşik rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. Azure RBAC rolleri kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere atanabilir.
Başvuru: Kudu'ya erişmek için gereken RBAC izinleri
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kilidi Kutusu
Açıklama: Customer Lockbox, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, gözden geçirmek için Müşteri Kasası'nu kullanın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri hareketlerini izlemek için DLP çözümünü destekler (müşterinin içeriğinde). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
Veri Aktarımı Sırasındaki Şifreleme
Açıklama: Hizmet, veri düzlemi için aktarım içi veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: İşlev uygulamaları varsayılan olarak en düşük sürüm olarak TLS 1.2'yi destekleyecek şekilde oluşturulur, ancak bir uygulama yapılandırma ayarı aracılığıyla daha düşük bir sürümle yapılandırılabilir. HTTPS, varsayılan olarak gelen istekler için gerekli değildir, ancak bu, herhangi bir HTTP isteğinin HTTPS kullanmak üzere otomatik olarak yeniden yönlendirileceği bir yapılandırma ayarı aracılığıyla da ayarlanabilir.
Yapılandırma Kılavuzu: Yerleşik aktarım şifrelemesi özelliğinde yerel verilerin bulunduğu hizmetlerde güvenli aktarımı etkinleştirin. Herhangi bir web uygulaması ve hizmeti üzerinde HTTPS uygulayın ve TLS v1.2 veya üzerinin kullanıldığından emin olun. SSL 3.0, TLS v1.0 gibi eski sürümler devre dışı bırakılmalıdır. Sanal Makinelerin uzaktan yönetimi için şifrelenmemiş bir protokol yerine SSH (Linux için) veya RDP/TLS (Windows için) kullanın.
Başvuru: Azure App Service'te TLS/SSL sertifikaları ekleme ve yönetme
Microsoft Defender Bulut İzleme
Azure İlkesi yerleşik tanımları - Microsoft.Web:
| İsim (Azure portalı) |
Description | Effect(s) | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalarına yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulaması sağlar ve aktarımdaki verileri ağ katmanı dinleme saldırılarından korur. | Denetim, Devre Dışı Bırak, Reddet | 4.0.0 |
DP-4: Hareketsiz durumdaki veri şifrelemesini varsayılan olarak etkinleştirin
Özellikler
Platform Anahtarlarını Kullanarak Hareketsiz Veri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir; bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Yapılandırma Kılavuzu: Bu varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-5: Gerektiğinde durağan veri şifrelemesinde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Veri Şifrelemesi
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak dinlenme hâlindeki verilerin şifrelenmesi, hizmet tarafından depolanan müşteri içeriği için bir özellik olarak sunulur. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Azure İşlevleri bu özelliği doğrudan desteklemez, ancak bir uygulama İşlevler'deki olası veri depolama alanı yerine bunu yapan hizmetlerden yararlanacak şekilde yapılandırılabilir. Azure Dosyalar dosya sistemi olarak bağlanabilir, sırlar da dahil olmak üzere tüm Uygulama Ayarları Azure Key Vault'ta depolanabilir ve paketten çalıştırma gibi dağıtım seçenekleri Azure Blob depolamadan içerik çekebilir.
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Başvuru: Müşteri tarafından yönetilen anahtarları kullanarak uygulama verilerinizi beklemedeyken şifreleyin
DP-6: Güvenli bir anahtar yönetim süreci kullanın
Özellikler
Azure Key Vault'ta Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Azure Key Vault'taki anahtarlarınızı ve hizmetinizi belirlenmiş bir programa göre veya anahtarın kullanım süresi dolduğunda ya da güvenliği tehlikede olduğunda döndürün ve iptal edin. İş yükünde, hizmette veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarların Azure Key Vault'a kaydedildiğinden ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvurıldığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (şirket içi HSM'lerinizdeki HSM korumalı anahtarları Azure Key Vault'a aktarma gibi), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: App Service ve Azure İşlevleri için Key Vault başvurularını kullanma
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'ta Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Sertifika oluşturma, içeri aktarma, döndürme, iptal etme, depolama ve sertifikayı temizleme dahil olmak üzere sertifika yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault'u kullanın. Sertifika oluşturma işleminin, aşağıdakiler gibi güvenli olmayan özellikler kullanmadan tanımlı standartlara uydığından emin olun: yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme. Azure Key Vault'ta ve Azure hizmetinde (destekleniyorsa) sertifikanın otomatik döndürmesini, tanımlı bir zamanlamaya göre veya sertifika süre sonu olduğunda ayarlayın. Uygulamada otomatik döndürme desteklenmiyorsa, Azure Key Vault'ta ve uygulamada el ile kullanılan yöntemler kullanılarak bunların hala döndürüldüğünden emin olun.
Başvuru: Azure App Service'te TLS/SSL sertifikası ekleme
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi'ni yapılandırmak üzere Bulut için Microsoft Defender'ı kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı sağlamak için Azure Policy [reddet] ve [eğer yoksa dağıt] efektlerini kullanın.
Log tutma ve tehdit algılama
Daha fazla bilgi için bkz: Microsoft Bulut Güvenliği Kriterleri: Kayıt ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Microsoft Defender Hizmet/Ürün Sunumu
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarmak için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: App Service için Defender, Azure İşlevleri'ne sahiptir. Bu çözüm etkinleştirilirse, etkinleştirme kapsamı altındaki işlev uygulamaları dahil edilir.
Yapılandırma Kılavuzu: Yönetim düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın. Key Vault için Microsoft Defender'dan bir uyarı aldığınızda, uyarıyı araştırın ve yanıt verin.
Referans: App Service için Defender
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya Log Analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet için kaynak günlüklerini etkinleştirin. Örneğin, Key Vault, bir anahtar kasasından sır alan eylemler için ek kaynak günlüklerini desteklerken, Azure SQL, veritabanına yapılan istekleri izlemek için kaynak günlüklerine sahiptir. Kaynak günlüklerinin içeriği Azure hizmetine ve kaynak türüne göre değişir.
Başvuru: Azure İzleyici Günlükleriyle Azure İşlevlerini İzleme
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Standart, Premium veya Yalıtılmış App Service planında barındırılıyorsa bir uygulamayı yedekleme özelliği kullanılabilir. Bu özellik Azure Backup'ı kullanmaz ve olay kaynaklarını veya harici olarak bağlı depolamayı içermez. Diğer ayrıntılar için bkz. /azure/app-service/manage-backup.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Standart, Premium ve Yalıtılmış App Service planlarında çalışan uygulamalar için bir yedekleme özelliği kullanılabilir. Bu, olay kaynaklarını veya dışarıdan sağlanan depolamayı yedeklemeyi içermez.
Yapılandırma Kılavuzu: Bu özellik yapılandırması için geçerli bir Microsoft kılavuzu yoktur. Lütfen kuruluşunuzun bu güvenlik özelliğini yapılandırmak isteyip istemediğini gözden geçirin ve belirleyin.
Başvuru: Azure App Service'te uygulamanızı yedekleme ve geri yükleme
Sonraki Adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin