分享方式:


Functions 的 Azure 安全性基準

此安全性基準會將 Microsoft 雲端安全性基準 1.0 版的指引套用至 Functions。 Microsoft 雲端安全性基準提供如何在 Azure 上保護雲端解決方案的建議。 內容會依 Microsoft 雲端安全性效能評定所定義的安全性控件和適用於 Functions 的相關指引分組。

您可以使用 Microsoft Defender for Cloud 來監視此安全性基準及其建議。 Azure 原則 定義將會列在 Cloud 入口網站 Microsoft Defender 頁面的 [法規合規性] 區段中。

當功能有相關的 Azure 原則 定義時,這些定義會列在此基準中,以協助您測量 Microsoft 雲端安全性效能評定控件和建議的合規性。 某些建議可能需要付費 Microsoft Defender 方案,才能啟用特定安全性案例。

注意

已排除不適用於 Functions 的功能。 若要查看 Functions 如何完全對應至 Microsoft 雲端安全性基準檢驗,請參閱 完整的 Functions 安全性基準對應檔案

安全性配置檔

安全性配置檔摘要說明函式的高影響行為,這可能會導致安全性考慮增加。

服務行為屬性
產品類別 計算、Web
客戶可以存取 HOST / OS 無存取權
服務可以部署到客戶的虛擬網路
儲存待用客戶內容

網路安全性

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:網路安全性

NS-1:建立網路分割界限

功能

虛擬網路整合

描述:服務支援部署到客戶的私人 虛擬網路 (VNet) 。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:將服務部署至虛擬網路。 除非有將公用IP直接指派給資源的強大原因,否則請將私人IP指派給資源, (適用的) 。

注意:網路功能會由服務公開,但需要為應用程式設定。 根據預設,允許公用網路存取。

參考Azure Functions 網路選項

網路安全組支援

描述:服務網路流量會遵守其子網上的網路安全組規則指派。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:使用網路安全組 (NSG) 來限制或監視埠、通訊協定、來源 IP 位址或目的地 IP 位址的流量。 建立 NSG 規則來限制服務的開放連接埠 (例如防止從不受信任的網路存取管理連接埠)。 請注意,NSG 預設會拒絕所有輸入流量,但允許來自虛擬網路和 Azure Load Balancer 的流量。

參考Azure Functions 網路選項

NS-2:使用網路控制保護雲端服務

功能

描述:用於篩選網路流量的服務原生IP篩選功能, (不會與NSG或 Azure 防火牆) 混淆。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:針對支援 Private Link 功能的所有 Azure 資源部署私人端點,以建立資源的私人存取點。

參考Azure Functions 網路選項

停用公用網路存取

描述:服務支援透過使用服務層級IP ACL篩選規則來停用公用網路存取, (非 NSG 或 Azure 防火牆) 或使用 [停用公用網络存取] 切換開關。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能注意事項:Azure Functions 可以使用私人端點進行設定,但目前沒有單一切換,無法停用公用網路存取,而未設定私人端點。

設定指引:使用服務層級IP ACL篩選規則或切換交換器來存取公用網路,停用公用網路存取。

身分識別管理

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:身分識別管理

IM-1:使用集中式身分識別和驗證系統

功能

資料平面存取所需的 Azure AD 驗證

描述:服務支援使用 Azure AD 驗證進行數據平面存取。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能注意事項:客戶擁有的端點可以設定為需要 Azure AD 驗證需求。 部署作業和進階開發人員工具的系統提供的端點支援 Azure AD,但預設能夠替代使用發佈認證。 這些發佈認證可以停用。 應用程式上的某些數據平面端點可由 Functions 主機中設定的系統管理金鑰存取,而且目前無法透過 Azure AD 需求來設定這些端點。

設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的數據平面存取。

參考設定部署認證 - 停用基本身份驗證

資料平面存取的本機驗證方法

描述:數據平面存取支援的本機驗證方法,例如本機使用者名稱和密碼。 深入瞭解

支援 默認啟用 設定責任
Microsoft

功能注意事項:預設會建立部署認證,但可以停用。 應用程式運行時間公開的某些作業可能會使用系統管理密鑰來執行,但目前無法停用。 此密鑰可以儲存在 Azure 金鑰保存庫 中,而且可以隨時重新產生。 請避免使用本機驗證方法或帳戶,請盡可能停用這些方法。 請改用 Azure AD 在可能的情況下進行驗證。

設定指引:預設部署上啟用此設定時不需要其他設定。

參考停用基本身份驗證

IM-3:安全且自動地管理應用程式身分識別

功能

受控識別

描述:數據平面動作支援使用受控識別進行驗證。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:盡可能使用 Azure 受控識別,而不是服務主體,以便向支援 Azure Active Directory 的 Azure 服務和資源進行驗證 (Azure AD) 驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。

參考如何使用受控識別進行 App Service 和 Azure Functions

服務主體

描述:數據平面支援使用服務主體進行驗證。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:這項功能設定目前沒有 Microsoft 指導方針。 請檢閱並判斷您的組織是否要設定此安全性功能。

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.Web

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
App Service 應用程式應使用受控識別 使用受控識別來增強驗證安全性 AuditIfNotExists, Disabled 3.0.0

IM-7:根據條件限制資源存取

功能

資料平面的條件式存取

描述:您可以使用 Azure AD 條件式存取原則來控制數據平面存取。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:對於應用程式未定義的數據平面端點,必須針對 Azure 服務管理設定條件式存取。

設定指引:在工作負載中定義 Azure Active Directory (Azure AD) 條件式存取適用的條件和準則。 請考慮常見的使用案例,例如封鎖或授與特定位置的存取權、封鎖有風險的登入行為,或要求特定應用程式的組織管理裝置。

IM-8:限制認證和祕密的公開

功能

Azure Key Vault 中服務認證和秘密支援整合和儲存

描述:數據平面支援針對認證和秘密存放區使用 Azure 金鑰保存庫。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:確定秘密和認證會儲存在安全的位置,例如 Azure 金鑰保存庫,而不是將它們內嵌到程式碼或組態檔中。

參考針對 App Service 和 Azure Functions 使用 金鑰保存庫 參考

特殊權限存取

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:特殊許可權存取

PA-1:劃分和限制高度權限/系統管理使用者

功能

本機 管理員 帳戶

描述:服務具有本機系統管理帳戶的概念。 深入瞭解

支援 默認啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

PA-7:受保護的系統管理員

功能

適用於數據平面的 Azure RBAC

描述:Azure Role-Based 存取控制 (Azure RBAC) 可用來管理對服務數據平面動作的存取。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:唯一可以利用 Azure RBAC 的數據平面動作是 Kudu/SCM/deployment 端點。 這些需要作業的許可權 Microsoft.Web/sites/publish/Action 。 Azure RBAC 不會涵蓋客戶應用程式本身所公開的端點。

設定指引:使用 Azure 角色型訪問控制 (Azure RBAC) ,透過內建角色指派來管理 Azure 資源存取。 Azure RBAC 角色可以指派給使用者、群組、服務主體和受控識別。

參考存取 Kudu 所需的 RBAC 許可權

PA-8:判斷雲端提供者支援的存取程序

功能

客戶加密箱

描述:客戶加密箱可用於 Microsoft 支援存取。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

設定指引:在 Microsoft 需要存取數據的支援案例中,使用客戶加密箱來檢閱,然後核准或拒絕每個 Microsoft 的數據存取要求。

資料保護

如需詳細資訊,請參閱 Microsoft 雲端安全性基準:數據保護

DP-2:監視以敏感性資料為目標的異常和威脅

功能

數據外洩/外洩防護

描述:服務支援 DLP 解決方案,以監視客戶內容) 中的敏感數據移動 (。 深入瞭解

支援 默認為啟用 設定責任
False 不適用 不適用

設定指引:不支援此功能來保護此服務。

DP-3:加密傳輸中的敏感性資料

功能

傳輸中資料加密

描述:服務支持數據平面的數據傳輸中加密。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能資訊:預設會建立函式應用程式以支援 TLS 1.2 作為最低版本,但應用程式可以透過組態設定來設定較低版本。 根據預設,傳入要求不需要 HTTPS,但也可以透過組態設定來設定,此時任何 HTTP 要求都會自動重新導向至使用 HTTPS。

設定指引:在內建原生數據傳輸加密功能的服務中啟用安全傳輸。 在任何 Web 應用程式和服務上強制執行 HTTPS,並確保使用 TLS v1.2 或更新版本。 應停用舊版的 SSL 3.0、TLS v1.0。 若要遠端管理 虛擬機器,請使用適用於 Linux) 的 SSH (或適用於 Windows) 的 RDP/TLS (,而不是未加密的通訊協定。

參考在 Azure App 服務 中新增和管理 TLS/SSL 憑證

適用於雲端的 Microsoft Defender 監視

Azure 原則 內建定義 - Microsoft.Web

名稱
(Azure 入口網站)
描述 效果 版本
(GitHub)
應該僅限透過 HTTPS 來存取 App Service 應用程式 使用 HTTPS 可確保伺服器/服務驗證,並保護傳輸中的資料不受網路層的竊聽攻擊。 稽核、停用、拒絕 4.0.0

DP-4:預設啟用待用資料加密

功能

使用平台金鑰進行待用數據加密

描述:支援使用平臺密鑰進行待用數據加密,任何待用客戶內容都會使用這些 Microsoft 管理的密鑰加密。 深入瞭解

支援 默認為啟用 設定責任
Microsoft

設定指引:在預設部署上啟用此設定時,不需要任何其他設定。

DP-5:必要時在待用資料加密中使用客戶自控金鑰選項

功能

使用 CMK 進行待用資料加密

描述:服務所儲存的客戶內容支援使用客戶自控密鑰進行待用數據加密。 深入瞭解

支援 默認為啟用 設定責任
False 客戶

功能注意事項:Azure Functions 並不直接支援這項功能,但應用程式可以設定為利用可取代 Functions 中任何可能數據記憶體的服務。 Azure 檔案儲存體 可能會掛接為文件系統,包括秘密在內的所有應用程式設定都可能會儲存在 Azure 金鑰保存庫 中,而執行套件之類的部署選項可能會從 Azure Blob 記憶體提取內容。

設定指引:如果需要法規合規性,請定義需要使用客戶自控密鑰加密的使用案例和服務範圍。 針對這些服務,使用客戶自控金鑰來啟用和實作待用資料加密。

參考使用客戶管理的金鑰加密待用應用程式數據

DP-6:使用安全金鑰管理程序

功能

Azure Key Vault 中的金鑰管理

描述:此服務支援任何客戶密鑰、秘密或憑證的 Azure 金鑰保存庫 整合。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用 Azure 金鑰保存庫 來建立及控制加密金鑰的生命週期,包括金鑰產生、散發和記憶體。 根據定義的排程或密鑰淘汰或入侵時,輪替和撤銷 Azure 金鑰保存庫 和服務中的密鑰。 如果您需要在工作負載、服務或應用層級中使用客戶管理的密鑰 (CMK) ,請確定您遵循金鑰管理的最佳做法:使用金鑰階層在金鑰保存庫中產生個別的數據加密金鑰 (DEK) 與金鑰加密金鑰 (KEK) 。 請確定金鑰已向 Azure 金鑰保存庫 註冊,並透過服務或應用程式的金鑰標識碼加以參考。 如果您需要將自己的金鑰 (BYOK) 帶入服務 (,例如將受 HSM 保護的金鑰從內部部署 HSM 匯入 Azure 金鑰保存庫) ,請遵循建議的指導方針來執行初始密鑰產生和金鑰傳輸。

參考針對 App Service 和 Azure Functions 使用 金鑰保存庫 參考

DP-7:使用安全的憑證管理程序

功能

Azure Key Vault 中的憑證管理

描述:此服務支援任何客戶憑證的 Azure 金鑰保存庫 整合。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用 Azure 金鑰保存庫 來建立和控制憑證生命週期,包括建立、匯入、輪替、撤銷、記憶體,以及清除憑證。 請確定憑證產生遵循定義的標準,而不使用任何不安全的屬性,例如:密鑰大小不足、有效期間過長、不安全的密碼編譯。 根據定義的排程或憑證到期時) ,設定 Azure 金鑰保存庫 和 Azure 服務 (自動輪替憑證。 如果應用程式中不支援自動輪替,請確定它們仍會使用 Azure 金鑰保存庫 和應用程式中的手動方法輪替。

參考在 Azure App 服務 中新增 TLS/SSL 憑證

資產管理

如需詳細資訊,請參閱 Microsoft 雲端安全性基準檢驗:資產管理

AM-2:僅使用核准的服務

功能

Azure 原則支援

描述:服務組態可以透過 Azure 原則 監視和強制執行。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:使用雲端 Microsoft Defender 來設定 Azure 原則 稽核及強制執行 Azure 資源的設定。 使用 Azure 監視器,在偵測到資源有設定偏差時建立警示。 使用 Azure 原則 [deny] 和 [如果不存在] 效果來強制執行跨 Azure 資源的安全設定。

記錄和威脅偵測

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:記錄和威脅偵測

LT-1:啟用威脅偵測功能

功能

適用於服務/產品供應項目的 Microsoft Defender

描述:服務具有供應專案特定的 Microsoft Defender 解決方案,可監視和警示安全性問題。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:適用於 App Service 的Defender包含 Azure Functions。 如果啟用此解決方案,將會包含啟用範圍下的函式應用程式。

設定指引:使用 Azure Active Directory (Azure AD) 作為預設驗證方法來控制您的管理平面存取。 當您從 Microsoft Defender 取得 金鑰保存庫 警示時,請調查並回應警示。

參考適用於 App Service 的Defender

LT-4:啟用安全性調查的記錄

功能

Azure 資源記錄

描述:服務會產生資源記錄,可提供增強的服務特定計量和記錄。 客戶可以設定這些資源記錄,並將其傳送至自己的數據接收,例如記憶體帳戶或記錄分析工作區。 深入瞭解

支援 默認啟用 設定責任
False 客戶

設定指引:啟用服務的資源記錄。 例如,金鑰保存庫 支援從密鑰保存庫取得秘密或 Azure SQL 具有追蹤資料庫要求之動作的其他資源記錄。 資源記錄的內容會依 Azure 服務和資源類型而有所不同。

參考使用 Azure 監視器記錄監視 Azure Functions

備份與復原

如需詳細資訊,請參閱 Microsoft 雲端安全性效能評定:備份和復原

BR-1:確保定期自動備份

功能

Azure 備份

描述:服務可由 Azure 備份 服務備份。 深入瞭解

支援 默認啟用 設定責任
False 不適用 不適用

功能附註:如果裝載於標準、進階或隔離式 App Service 方案上,即可使用備份應用程式的功能。 這項功能不會利用 Azure 備份,而且不包含事件來源或外部鏈接的記憶體。 如需詳細資訊,請參閱 /azure/app-service/manage-backup。

設定指引:不支援此功能來保護此服務。

服務原生備份功能

描述:若未使用 Azure 備份) ,服務支援其本身的原生備份功能 (。 深入瞭解

支援 默認啟用 設定責任
False 客戶

功能注意事項:備份功能適用於在標準、進階和隔離式 App Service 方案上執行的應用程式。 這不包括備份事件來源或外部提供的記憶體。

設定指引:這項功能設定沒有目前的 Microsoft 指引。 請檢閱並判斷您的組織是否想要設定此安全性功能。

參考在 Azure App 服務 中備份和還原您的應用程式

下一步