Sdílet prostřednictvím


Standardní hodnoty zabezpečení Azure pro functions

Tento standardní plán zabezpečení použije na Functions pokyny z srovnávacího testu cloudového zabezpečení od Microsoftu verze 1.0 . Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení, jak můžete zabezpečit cloudová řešení v Azure. Obsah je seskupený podle ovládacích prvků zabezpečení definovaných srovnávacím testem cloudového zabezpečení Microsoftu a souvisejících pokynů týkajících se funkcí.

Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí Microsoft Defender pro cloud. Azure Policy definice budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender pro cloud.

Pokud má funkce relevantní definice Azure Policy, jsou uvedené v tomto směrném plánu, aby vám pomohly měřit dodržování předpisů a doporučení srovnávacích testů zabezpečení cloudu od Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defender, aby bylo možné povolit určité scénáře zabezpečení.

Poznámka

Funkce , které se nevztahují na funkce, byly vyloučeny. Pokud chcete zjistit, jak se Funkce plně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení functions.

Profil zabezpečení

Profil zabezpečení shrnuje chování funkcí s vysokým dopadem, což může mít za následek zvýšené aspekty zabezpečení.

Atribut chování služby Hodnota
Kategorie produktu Výpočetní prostředky, web
Zákazník má přístup k hostiteli nebo operačnímu systému Zakázaný přístup
Službu je možné nasadit do virtuální sítě zákazníka. Ano
Ukládá obsah zákazníka v klidovém stavu. Ano

Zabezpečení sítě

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Zabezpečení sítě.

NS-1: Vytvoření hranic segmentace sítě

Funkce

Integrace virtuální sítě

Popis: Služba podporuje nasazení do privátní Virtual Network zákazníka (VNet). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Přiřaďte k prostředku privátní IP adresy (tam, kde je to možné), pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku.

Poznámka: Funkce sítě jsou službou zpřístupněny, ale je potřeba je pro aplikaci nakonfigurovat. Ve výchozím nastavení je veřejný síťový přístup povolený.

Referenční informace: možnosti Azure Functions sítě

Podpora skupiny zabezpečení sítě

Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě ve svých podsítích. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) můžete omezit nebo monitorovat provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG, která omezí otevřené porty vaší služby (například zabrání přístupu k portům pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a Azure Load Balancerů.

Referenční informace: možnosti Azure Functions sítě

NS-2: Zabezpečení cloudových služeb pomocí ovládacích prvků sítě

Funkce

Popis: Funkce nativního filtrování IP adres služby pro filtrování síťového provozu (nezaměňovat se skupinou zabezpečení sítě nebo Azure Firewall). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Nasazení privátních koncových bodů pro všechny prostředky Azure, které podporují funkci Private Link, za účelem vytvoření privátního přístupového bodu pro prostředky.

Referenční informace: možnosti Azure Functions sítě

Zakázání přístupu k veřejné síti

Popis: Služba podporuje zakázání přístupu k veřejné síti buď pomocí pravidla filtrování seznamu ACL na úrovni služby (nikoli NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Azure Functions je možné nakonfigurovat s privátními koncovými body, ale v současné době není k dispozici jediný přepínač pro zakázání přístupu k veřejné síti bez konfigurace privátních koncových bodů.

Pokyny ke konfiguraci: Zakažte veřejný síťový přístup pomocí pravidla filtrování seznamu ACL na úrovni služby nebo přepínače přepínáním pro přístup k veřejné síti.

Správa identit

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa identit.

IM-1: Použití centralizované identity a ověřovacího systému

Funkce

Azure AD ověřování vyžadované pro přístup k rovině dat

Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Koncové body vlastněné zákazníkem můžou být nakonfigurované tak, aby vyžadovaly Azure AD požadavky na ověřování. Systémové koncové body pro operace nasazení a pokročilé vývojářské nástroje podporují Azure AD ale ve výchozím nastavení mají možnost alternativně použít přihlašovací údaje pro publikování. Tyto přihlašovací údaje publikování je možné zakázat. K některým koncovým bodům roviny dat v aplikaci můžou přistupovat klíče pro správu nakonfigurované v hostiteli Functions, které v tuto chvíli není možné konfigurovat s Azure AD požadavky.

Pokyny ke konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.

Referenční informace: Konfigurace přihlašovacích údajů nasazení – zákaz základního ověřování

Metody místního ověřování pro přístup k rovině dat

Popis: Metody místního ověřování podporované pro přístup k rovině dat, jako je místní uživatelské jméno a heslo. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Poznámky k funkcím: Přihlašovací údaje pro nasazení se vytvářejí ve výchozím nastavení, ale dají se zakázat. Některé operace vystavené modulem runtime aplikace je možné provádět pomocí klíče pro správu, který v současné době nelze zakázat. Tento klíč je možné uložit v Azure Key Vault a kdykoli ho můžete znovu vygenerovat. Vyhněte se používání místních metod ověřování nebo účtů, tyto metody by měly být zakázány všude, kde je to možné. Místo toho použijte k ověřování Azure AD, kde je to možné.

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

Referenční informace: Zákaz základního ověřování

IM-3: Zabezpečená a automatická správa identit aplikací

Funkce

Spravované identity

Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pokud je to možné, použijte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměňované a chráněné platformou, takže se vyhnete pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.

Referenční informace: Použití spravovaných identit pro App Service a Azure Functions

Instanční objekty

Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinovaných definic – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
App Service aplikace by měly používat spravovanou identitu Použití spravované identity pro rozšířené zabezpečení ověřování AuditIfNotExists, Zakázáno 3.0.0

IM-7: Omezení přístupu k prostředkům na základě podmínek

Funkce

Podmíněný přístup pro rovinu dat

Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Pro koncové body roviny dat, které aplikace nedefinuje, bude potřeba nakonfigurovat podmíněný přístup ve správě služeb Azure.

Pokyny ke konfiguraci: Definujte příslušné podmínky a kritéria pro podmíněný přístup Azure Active Directory (Azure AD) v úloze. Zvažte běžné případy použití, jako je blokování nebo udělení přístupu z konkrétních umístění, blokování rizikového přihlašování nebo vyžadování zařízení spravovaných organizací pro konkrétní aplikace.

IM-8: Omezení odhalení přihlašovacích údajů a tajných kódů

Funkce

Podpora integrace a úložiště přihlašovacích údajů a tajných kódů služby v Azure Key Vault

Popis: Rovina dat podporuje nativní použití Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Zajistěte, aby tajné kódy a přihlašovací údaje byly uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne vkládejte je do kódu nebo konfiguračních souborů.

Referenční informace: Použití odkazů Key Vault pro App Service a Azure Functions

Privilegovaný přístup

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Privilegovaný přístup.

PA-1: Oddělte a omezte vysoce privilegované uživatele nebo uživatele s oprávněními pro správu.

Funkce

Místní účty Správa

Popis: Služba má koncept místního účtu pro správu. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

PA-7: Dodržujte pouze dostatečný princip správy (nejnižší oprávnění)

Funkce

Azure RBAC pro rovinu dat

Popis: Azure Role-Based Access Control (Azure RBAC) je možné použít ke spravovanému přístupu k akcím roviny dat služby. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Jediné akce roviny dat, které můžou využít Azure RBAC, jsou koncové body Kudu, SCM nebo nasazení. Ty vyžadují oprávnění k Microsoft.Web/sites/publish/Action operaci. Azure RBAC se nevztahuje na koncové body vystavené samotnou zákaznickou aplikací.

Pokyny ke konfiguraci: Řízení přístupu na základě role v Azure (Azure RBAC) slouží ke správě přístupu k prostředkům Azure prostřednictvím předdefinovaných přiřazení rolí. Role Azure RBAC je možné přiřadit uživatelům, skupinám, instančním objektům a spravovaným identitám.

Referenční informace: Oprávnění RBAC požadovaná pro přístup ke Kudu

PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu

Funkce

Customer Lockbox

Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Ve scénářích podpory, kdy Microsoft potřebuje získat přístup k vašim datům, použijte Customer Lockbox ke kontrole a následnému schválení nebo zamítnutí každé žádosti Microsoftu o přístup k datům.

Ochrana dat

Další informace najdete v tématu Srovnávací test cloudového zabezpečení Microsoftu: Ochrana dat.

DP-2: Monitorování anomálií a hrozeb cílených na citlivá data

Funkce

Ochrana před únikem nebo ztrátou dat

Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

DP-3: Šifrování přenášených citlivých dat

Funkce

Šifrování dat při přenosu

Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Aplikace funkcí se ve výchozím nastavení vytvářejí tak, aby podporovaly protokol TLS 1.2 jako minimální verzi, ale aplikaci je možné nakonfigurovat s nižší verzí prostřednictvím nastavení konfigurace. U příchozích požadavků se protokol HTTPS ve výchozím nastavení nevyžaduje, ale dá se nastavit také prostřednictvím nastavení konfigurace. V takovém okamžiku se všechny požadavky HTTP automaticky přesměrují na použití protokolu HTTPS.

Pokyny ke konfiguraci: Povolte zabezpečený přenos ve službách, kde je integrovaná funkce nativního šifrování přenášených dat. Vynucujte https u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0 nebo TLS v1.0, by měly být zakázané. Pro vzdálenou správu Virtual Machines použijte místo nešifrovaného protokolu SSH (pro Linux) nebo RDP/TLS (pro Windows).

Referenční informace: Přidání a správa certifikátů TLS/SSL v Azure App Service

Microsoft Defender pro monitorování cloudu

Azure Policy předdefinovaných definic – Microsoft.Web:

Name
(Azure Portal)
Description Efekty Verze
(GitHub)
App Service aplikace by měly být přístupné jenom přes HTTPS. Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání na síťové vrstvě. Audit, Zakázáno, Odepřít 4.0.0

DP-4: Ve výchozím nastavení povolte šifrování neaktivních uložených dat.

Funkce

Šifrování dat v klidovém stavu pomocí klíčů platformy

Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno. Veškerý uložený obsah zákazníka se šifruje pomocí těchto klíčů spravovaných Microsoftem. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ano Microsoft

Pokyny ke konfiguraci: Nejsou potřeba žádné další konfigurace, protože je tato možnost povolená ve výchozím nasazení.

DP-5: Použití možnosti klíče spravovaného zákazníkem při šifrování neaktivních uložených dat v případě potřeby

Funkce

Šifrování dat v klidovém stavu pomocí CMK

Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem se podporuje pro obsah zákazníka uložený službou. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Azure Functions tuto funkci přímo nepodporuje, ale aplikaci je možné nakonfigurovat tak, aby využívala služby, které k tomu slouží místo jakéhokoli možného úložiště dat ve Funkcích. Azure Files může být připojený jako systém souborů, všechna nastavení aplikace, včetně tajných kódů, můžou být uložená v Azure Key Vault a možnosti nasazení, jako je spuštění z balíčku, můžou načíst obsah ze služby Azure Blob Storage.

Pokyny ke konfiguraci: V případě potřeby pro dodržování právních předpisů definujte případ použití a obor služby, kde se vyžaduje šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby.

Referenční informace: Šifrování neaktivních uložených dat aplikace pomocí klíčů spravovaných zákazníkem

DP-6: Použití zabezpečeného procesu správy klíčů

Funkce

Správa klíčů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny klíče, tajné kódy nebo certifikáty zákazníků. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus šifrovacích klíčů, včetně generování, distribuce a úložiště klíčů. Obměňujte a odvolávejte klíče v Azure Key Vault a vaší službě na základě definovaného plánu nebo v případě, že dojde k vyřazení nebo ohrožení zabezpečení klíče. Pokud je potřeba použít klíč spravovaný zákazníkem (CMK) na úrovni úlohy, služby nebo aplikace, ujistěte se, že dodržujete osvědčené postupy pro správu klíčů: Pomocí hierarchie klíčů vygenerujte samostatný šifrovací klíč dat (DEK) s šifrovacím klíčem klíče (KEK) ve vašem trezoru klíčů. Ujistěte se, že jsou klíče zaregistrované v Azure Key Vault a odkazované prostřednictvím ID klíčů ze služby nebo aplikace. Pokud potřebujete do služby přinést vlastní klíč (BYOK) (například import klíčů chráněných HSM z místních modulů HSM do Azure Key Vault), postupujte podle doporučených pokynů a proveďte počáteční generování a přenos klíče.

Referenční informace: Použití odkazů Key Vault pro App Service a Azure Functions

DP-7: Použití zabezpečeného procesu správy certifikátů

Funkce

Správa certifikátů v Azure Key Vault

Popis: Služba podporuje integraci azure Key Vault pro všechny zákaznické certifikáty. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí Azure Key Vault můžete vytvořit a řídit životní cyklus certifikátu, včetně vytvoření, importu, obměně, odvolání, úložiště a vymazání certifikátu. Ujistěte se, že generování certifikátů odpovídá definovaným standardům bez použití nezabezpečených vlastností, například: nedostatečná velikost klíče, příliš dlouhá doba platnosti nebo nezabezpečená kryptografie. Nastavte automatickou obměnu certifikátu v Azure Key Vault a službě Azure (pokud je podporována) na základě definovaného plánu nebo v případě vypršení platnosti certifikátu. Pokud aplikace nepodporuje automatické otáčení, ujistěte se, že se stále obměňuje pomocí ručních metod v Azure Key Vault a v aplikaci.

Referenční informace: Přidání certifikátu TLS/SSL v Azure App Service

Správa aktiv

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Správa prostředků.

AM-2: Používejte jenom schválené služby

Funkce

Podpora služby Azure Policy

Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím Azure Policy. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Pomocí Microsoft Defender for Cloud nakonfigurujte Azure Policy k auditování a vynucování konfigurací prostředků Azure. Azure Monitor slouží k vytváření upozornění, když se u prostředků zjistí odchylka konfigurace. K vynucení zabezpečené konfigurace napříč prostředky Azure použijte efekty Azure Policy [odepřít] a [nasadit, pokud neexistuje].

Protokolování a detekce hrozeb

Další informace najdete v tématu Microsoft Cloud Security Benchmark: Protokolování a detekce hrozeb.

LT-1: Povolení možností detekce hrozeb

Funkce

Microsoft Defender pro službu / nabídku produktů

Popis: Služba má řešení Microsoft Defender specifické pro konkrétní nabídku, které umožňuje monitorovat a upozorňovat na problémy se zabezpečením. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Defender for App Service zahrnuje Azure Functions. Pokud je toto řešení povolené, budou zahrnuté aplikace funkcí v rozsahu povolení.

Pokyny ke konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině správy. Když od Microsoft Defender dostanete upozornění na Key Vault, prošetřete upozornění a zareagujte na ni.

Referenční informace: Defender for App Service

LT-4: Povolení protokolování pro šetření zabezpečení

Funkce

Protokoly prostředků Azure

Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní datové jímky, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Pokyny ke konfiguraci: Povolte pro službu protokoly prostředků. Například Key Vault podporuje další protokoly prostředků pro akce, které získávají tajný kód z trezoru klíčů, nebo Azure SQL obsahuje protokoly prostředků, které sledují požadavky na databázi. Obsah protokolů prostředků se liší podle služby Azure a typu prostředku.

Referenční informace: Monitorování Azure Functions s využitím protokolů služby Azure Monitor

Backup a obnovení

Další informace najdete v tématu Srovnávací test zabezpečení cloudu Microsoftu: Zálohování a obnovení.

BR-1: Zajištění pravidelného automatizovaného zálohování

Funkce

Azure Backup

Popis: Službu může zálohovat služba Azure Backup. Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ne Neuvedeno Neuvedeno

Poznámky k funkcím: Funkce pro zálohování aplikace je k dispozici, pokud je hostovaná v plánu Standard, Premium nebo Izolované App Service. Tato funkce nevyužívá Azure Backup a nezahrnuje zdroje událostí ani externě propojené úložiště. Další podrobnosti najdete v tématu /azure/app-service/manage-backup.

Pokyny ke konfiguraci: Tato funkce není podporována k zabezpečení této služby.

Funkce nativního zálohování služby

Popis: Služba podporuje vlastní nativní zálohování (pokud nepoužíváte Azure Backup). Další informace.

Podporuje se Povoleno ve výchozím nastavení Odpovědnost za konfiguraci
Ano Ne Zákazník

Poznámky k funkcím: Funkce zálohování je k dispozici pro aplikace spuštěné v plánech Standard, Premium a Isolated App Service. Nezahrnuje zálohování zdrojů událostí ani externě poskytované úložiště.

Pokyny ke konfiguraci: Pro konfiguraci této funkce nejsou k dispozici žádné aktuální pokyny microsoftu. Zkontrolujte a určete, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.

Referenční informace: Zálohování a obnovení aplikace v Azure App Service

Další kroky