Standardní hodnoty zabezpečení Azure pro Azure Container Apps
Tento směrný plán zabezpečení používá pokyny z srovnávacího testu zabezpečení cloudu Microsoftu verze 1.0 pro Azure Container Apps. Srovnávací test zabezpečení cloudu Microsoftu poskytuje doporučení týkající se zabezpečení cloudových řešení v Azure. Obsah se seskupí podle kontrolních mechanismů zabezpečení definovaných srovnávacím testem zabezpečení cloudu Microsoftu a souvisejícími pokyny souvisejícími s Azure Container Apps.
Tento standardní plán zabezpečení a jeho doporučení můžete monitorovat pomocí programu Microsoft Defender for Cloud. Definice azure Policy budou uvedené v části Dodržování právních předpisů na stránce portálu Microsoft Defender for Cloud.
Pokud má funkce relevantní definice služby Azure Policy, jsou uvedené v tomto směrném plánu, které vám pomůžou měřit dodržování předpisů s kontrolními mechanismy a doporučeními srovnávacích testů zabezpečení cloudu Microsoftu. Některá doporučení můžou vyžadovat placený plán Microsoft Defenderu, aby bylo možné povolit určité scénáře zabezpečení.
Poznámka:
Funkce , které se nevztahují na Azure Container Apps, byly vyloučeny. Pokud chcete zjistit, jak se Azure Container Apps kompletně mapuje na srovnávací test zabezpečení cloudu Microsoftu, podívejte se na úplný soubor mapování standardních hodnot zabezpečení služby Azure Container Apps.
Profil zabezpečení
Profil zabezpečení shrnuje chování služby Azure Container Apps s vysokým dopadem, což může vést k vyšším aspektům zabezpečení.
| Atribut chování služby | Hodnota |
|---|---|
| Kategorie produktu | Kontejnery |
| Zákazník má přístup k hostiteli nebo operačnímu systému | Bez přístupu |
| Službu je možné nasadit do virtuální sítě zákazníka. | True |
| Ukládá neaktivní uložený obsah zákazníka. | True |
Zabezpečení sítě
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zabezpečení sítě.
NS-1: Vytvoření hranic segmentace sítě
Funkce
Integrace virtuální sítě
Popis: Služba podporuje nasazení do privátní virtuální sítě zákazníka. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Nasaďte službu do virtuální sítě. Pokud neexistuje silný důvod k přiřazení veřejných IP adres přímo k prostředku, přiřaďte k prostředku privátní IP adresy (pokud je to možné).
Referenční informace: Integrace virtuální sítě Azure Container Apps
Podpora skupin zabezpečení sítě
Popis: Síťový provoz služby respektuje přiřazení pravidla skupin zabezpečení sítě v jejích podsítích. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Pomocí skupin zabezpečení sítě (NSG) omezte nebo monitorujte provoz podle portu, protokolu, zdrojové IP adresy nebo cílové IP adresy. Vytvořte pravidla NSG pro omezení otevřených portů vaší služby (například zabránění přístupu portů pro správu z nedůvěryhodných sítí). Mějte na paměti, že skupiny zabezpečení sítě ve výchozím nastavení zakazují veškerý příchozí provoz, ale povolují provoz z virtuální sítě a služby Azure Load Balancers.
Referenční informace: Zabezpečení vlastní virtuální sítě v Azure Container Apps
NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků
Funkce
Zakázání přístupu k veřejné síti
Popis: Služba podporuje zakázání přístupu k veřejné síti buď prostřednictvím pravidla filtrování seznamu ACL na úrovni služby (ne NSG nebo Azure Firewall), nebo pomocí přepínače Zakázat přístup k veřejné síti. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Zakažte přístup k veřejné síti nasazením konfigurace prostředí kontejnerových aplikací jen pro interní prostředí.
Referenční informace: Poskytnutí virtuální sítě internímu prostředí Azure Container Apps
Správa identit
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa identit.
IM-1: Použití centralizovaného systému identit a ověřování
Funkce
Vyžadováno ověřování Azure AD pro přístup k rovině dat
Popis: Služba podporuje použití ověřování Azure AD pro přístup k rovině dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Jako výchozí metodu ověřování použijte Azure Active Directory (Azure AD) k řízení přístupu k rovině dat.
Referenční informace: Povolení ověřování a autorizace v Azure Container Apps pomocí Azure Active Directory
Místní metody ověřování pro přístup k rovině dat
Popis: Místní metody ověřování podporované pro přístup k rovině dat, například místní uživatelské jméno a heslo. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-3: Zabezpečená a automatická správa identit aplikací
Funkce
Spravované identity
Popis: Akce roviny dat podporují ověřování pomocí spravovaných identit. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Poznámky k funkcím: Spravovaná identita je podporovaná pro komponenty Container Apps a Dapr, ale zatím není určená pro pravidla škálování v kontejnerové aplikaci.
Pokyny ke konfiguraci: Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure podporujících ověřování Azure Active Directory (Azure AD). Přihlašovací údaje spravované identity jsou plně spravované, obměněné a chráněné platformou. Vyhnete se pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech.
Referenční informace: Použití spravované identity v Azure Container Apps
Instanční objekty
Popis: Rovina dat podporuje ověřování pomocí instančních objektů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci konfigurace: Pro tuto konfiguraci funkcí nejsou žádné aktuální pokyny Microsoftu. Zkontrolujte a zjistěte, jestli vaše organizace chce tuto funkci zabezpečení nakonfigurovat.
IM-7: Omezení přístupu k prostředkům na základě podmínek
Funkce
Podmíněný přístup pro rovinu dat
Popis: Přístup k rovině dat je možné řídit pomocí zásad podmíněného přístupu Azure AD. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů
Funkce
Integrace přihlašovacích údajů a tajných kódů služby a úložiště ve službě Azure Key Vault
Popis: Rovina dat podporuje nativní použití služby Azure Key Vault pro úložiště přihlašovacích údajů a tajných kódů. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | Použitelné | Použitelné |
Poznámky k funkcím: Pro kontejnerové aplikace s podporou Dapr můžou zákazníci využít Azure Key Vault pro tajné odkazy.
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Privilegovaný přístup
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Privilegovaný přístup.
PA-1: Oddělení a omezení vysoce privilegovaných nebo administrativních uživatelů
Funkce
Účty místního správce
Popis: Služba má koncept účtu místního správce. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-7: Využívání správy jen v potřebném rozsahu (princip nejnižší úrovně nutných oprávnění)
Funkce
Azure RBAC pro rovinu dat
Popis: Řízení přístupu na základě role v Azure (Azure RBAC) se dá použít ke správě přístupu k akcím roviny dat služby. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu
Funkce
Customer Lockbox
Popis: Customer Lockbox je možné použít pro přístup k podpoře Microsoftu. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Ochrana dat
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Ochrana dat.
DP-1: Zjišťování, klasifikace a označování citlivých dat
Funkce
Zjišťování a klasifikace citlivých dat
Popis: Nástroje (například Azure Purview nebo Azure Information Protection) se dají použít ke zjišťování a klasifikaci dat ve službě. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-2: Monitorování anomálií a hrozeb, které cílí na citlivá data
Funkce
Únik dat / Ochrana před únikem informací
Popis: Služba podporuje řešení ochrany před únikem informací pro monitorování přesunu citlivých dat (v obsahu zákazníka). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-3: Šifrování citlivých dat během přenosu
Funkce
Šifrování dat při přenosu
Popis: Služba podporuje šifrování přenášených dat pro rovinu dat. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Povolení zabezpečeného přenosu ve službách, kde je integrovaná nativní funkce šifrování přenosu dat. Vynucujte HTTPS u všech webových aplikací a služeb a ujistěte se, že se používá protokol TLS verze 1.2 nebo novější. Starší verze, jako je SSL 3.0, tls v1.0 by měly být zakázané. Pro vzdálenou správu virtuálních počítačů použijte protokol SSH (pro Linux) nebo protokol RDP/TLS (pro Windows) místo nešifrovaného protokolu.
Referenční informace: Nastavení příchozího přenosu dat HTTPS nebo TCP v Azure Container Apps
DP-4: Povolení šifrování neaktivních uložených dat ve výchozím nastavení
Funkce
Šifrování neaktivních uložených dat pomocí klíčů platformy
Popis: Šifrování neaktivních uložených dat pomocí klíčů platformy je podporováno, veškerý neaktivní uložený obsah zákazníka je šifrovaný pomocí těchto klíčů spravovaných Microsoftem. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Poznámky k funkcím: Azure Container Apps využívá výchozí šifrování neaktivních uložených dat od Microsoftu.
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Dvojité šifrování
DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby
Funkce
Šifrování neaktivních uložených dat pomocí cmk
Popis: Šifrování neaktivních uložených dat pomocí klíčů spravovaných zákazníkem je podporováno pro obsah zákazníka uložený službou. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-6: Použití zabezpečeného procesu správy klíčů
Funkce
Správa klíčů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny klíče zákazníka, tajné kódy nebo certifikáty. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
DP-7: Použití zabezpečeného procesu správy certifikátů
Funkce
Správa certifikátů ve službě Azure Key Vault
Popis: Služba podporuje integraci služby Azure Key Vault pro všechny certifikáty zákazníků. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Správa aktiv
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Správa prostředků.
AM-2: Používejte pouze schválené služby.
Funkce
Podpora služby Azure Policy
Popis: Konfigurace služeb je možné monitorovat a vynucovat prostřednictvím služby Azure Policy. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Pomocí Microsoft Defenderu pro cloud nakonfigurujte Azure Policy tak, aby auditovali a vynucovali konfigurace vašich prostředků Azure. Pomocí služby Azure Monitor můžete vytvářet výstrahy, když se u prostředků zjistí odchylka konfigurace. Pokud chcete vynutit zabezpečenou konfiguraci napříč prostředky Azure, použijte azure Policy [odepřít] a [nasadit, pokud neexistuje].
Referenční informace: Předdefinované definice služby Azure Policy pro Azure Container Apps
Protokolování a detekce hrozeb
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Protokolování a detekce hrozeb.
LT-1: Povolení možností detekce hrozeb
Funkce
Microsoft Defender for Service / Nabídka produktů
Popis: Služba má řešení Microsoft Defenderu specifické pro konkrétní nabídku pro monitorování a upozorňování na problémy se zabezpečením. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
LT-4: Povolení protokolování pro šetření zabezpečení
Funkce
Protokoly prostředků Azure
Popis: Služba vytváří protokoly prostředků, které můžou poskytovat rozšířené metriky a protokolování specifické pro službu. Zákazník může tyto protokoly prostředků nakonfigurovat a odeslat je do vlastní jímky dat, jako je účet úložiště nebo pracovní prostor služby Log Analytics. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | True | Microsoft |
Pokyny ke konfiguraci: Pro výchozí nasazení nejsou vyžadovány žádné další konfigurace.
Referenční informace: Možnosti úložiště protokolů a monitorování v Azure Container Apps
Správa stavu a ohrožení zabezpečení
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu: Stav a správa ohrožení zabezpečení.
PV-3: Vytvoření zabezpečených konfigurací pro výpočetní prostředky
Funkce
Image vlastních kontejnerů
Popis: Služba podporuje použití uživatelsky zadaných imagí kontejnerů nebo předem sestavených imagí z marketplace s předem použitými konkrétními standardními konfiguracemi. Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| True | False | Zákazník |
Pokyny ke konfiguraci: Image z privátních úložišť ve službě Microsoft Azure Container Registry můžete načíst pomocí spravovaných identit pro ověřování, abyste se vyhnuli použití přihlašovacích údajů správce. Spravovanou identitu přiřazenou systémem nebo přiřazenou uživatelem můžete použít k ověření ve službě Azure Container Registry.
Referenční informace: Vyžádání image Azure Container Apps se spravovanou identitou
PV-5: Provádění posouzení ohrožení zabezpečení
Funkce
Posouzení ohrožení zabezpečení pomocí programu Microsoft Defender
Popis: Službu je možné zkontrolovat kontrolu ohrožení zabezpečení pomocí programu Microsoft Defender for Cloud nebo jiných služeb microsoft Defenderu vložených do posouzení ohrožení zabezpečení (včetně Microsoft Defenderu pro server, registru kontejnerů, služby App Service, SQL a DNS). Další informace
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Nelze použít | Nelze použít |
Pokyny ke konfiguraci: I když Container Apps nepodporuje posouzení ohrožení zabezpečení prováděné defenderem for Containers, služba Azure Container Registry, která může být integrovaná se službou Container Apps, podporuje posouzení ohrožení zabezpečení.
Referenční informace: Použití defenderu for Containers ke kontrole ohrožení zabezpečení imagí služby Azure Container Registry
Zálohování a obnovování
Další informace najdete v srovnávacím testu zabezpečení cloudu Microsoftu : Zálohování a obnovení.
BR-1: Zajištění pravidelných automatizovaných záloh
Funkce
Azure Backup
Popis: Službu může zálohovat služba Azure Backup. Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Funkce nativního zálohování služby
Popis: Služba podporuje svou vlastní nativní funkci zálohování (pokud nepoužíváte Azure Backup). Další informace.
| Podporováno | Povoleno ve výchozím nastavení | Odpovědnost za konfiguraci |
|---|---|---|
| False | Neuvedeno | Neuvedeno |
Pokyny ke konfiguraci: Tato funkce není podporována pro zabezpečení této služby.
Další kroky
- Podívejte se na přehled srovnávacího testu zabezpečení cloudu Microsoftu .
- Přečtěte si další informace o standardních hodnotách zabezpečení Azure.