Určení požadavků na zabezpečení pro webové úlohy
Tato lekce shrnuje standardní hodnoty zabezpečení Azure pro Službu App Service , které vám pomůžou při vytváření nových specifikací požadavků pro webové úlohy.
Další informace o srovnávacím testu Microsoft Cloud Security Benchmark najdete v tématu Úvod do referenční architektury kyberbezpečnosti Microsoftu a srovnávacího testu zabezpečení cloudu.
V následující tabulce jsme zahrnuli ovládací prvky z úplného směrného plánu, kde:
- Ovládací prvky zabezpečení byly podporovány, ale ve výchozím nastavení nejsou povolené.
- Existovaly explicitní pokyny, které obsahovaly opatření, která se mají provést na straně zákazníka.
| Plocha | Ovládací prvek | Funkce | Souhrn doprovodných materiálů |
|---|---|---|---|
| Zabezpečení sítě | NS-1: Vytvoření hranic segmentace sítě | Integrace virtuální sítě | Zajistěte stabilní IP adresu pro odchozí komunikaci směrem k internetovým adresě: Pomocí funkce integrace virtuální sítě můžete poskytnout stabilní odchozí IP adresu. V případě potřeby tak přijímající strana povolí seznam povolených na základě IP adresy. |
| NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Azure Private Link | Pomocí privátních koncových bodů pro službu Azure Web Apps povolte klientům umístěným ve vaší privátní síti zabezpečený přístup k aplikacím přes Private Link. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě Azure. | |
| NS-2: Zabezpečení cloudových služeb pomocí síťových ovládacích prvků | Zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pomocí pravidel filtrování seznamu IP adres na úrovni služby nebo privátních koncových bodů nebo nastavením vlastnosti publicNetworkAccess na Zakázáno v Azure Resource Manageru. | |
| NS-5: Nasazení ochrany před útoky DDoS | Povolte službu DDoS Protection ve virtuální síti hostující firewall webových aplikací služby App Service. Azure poskytuje ochranu infrastruktury DDoS (Basic) ve své síti. Pro vylepšené inteligentní funkce DDoS povolte službu Azure DDoS Protection, která se učí o normálních vzorech provozu a dokáže detekovat neobvyklé chování. Azure DDoS Protection má dvě úrovně; Ochrana sítě a ochrana IP. | ||
| NS-6: Nasazení firewallu webových aplikací | Vyhněte se obejití WAF pro vaše aplikace. Ujistěte se, že WAF nejde obejít uzamčením přístupu pouze k WAF. Použijte kombinaci omezení přístupu, koncových bodů služeb a privátních koncových bodů. | ||
| Správa identit | IM-1: Použití centralizovaného systému identit a ověřování | Ověřování Microsoft Entra vyžadováno pro přístup k rovině dat | U ověřených webových aplikací používejte k ověřování a autorizaci přístupu uživatelů pouze známé zprostředkovatele identity. |
| Místní metody ověřování pro přístup k rovině dat | Omezte použití místních metod ověřování pro přístup k rovině dat. Místo toho použijte Microsoft Entra ID jako výchozí metodu ověřování pro řízení přístupu k rovině dat. | ||
| IM-3: Zabezpečená a automatická správa identit aplikací | Spravované identity | Pokud je to možné, používejte spravované identity Azure místo instančních objektů, které se můžou ověřovat ve službách a prostředcích Azure, které podporují ověřování Microsoft Entra. Přihlašovací údaje spravované identity jsou plně spravované, obměněné a chráněné platformou. Vyhnete se pevně zakódovaným přihlašovacím údajům ve zdrojovém kódu nebo konfiguračních souborech. | |
| IM-7: Omezení přístupu k prostředkům na základě podmínek | Podmíněný přístup pro rovinu dat | Definujte příslušné podmínky a kritéria pro podmíněný přístup Microsoft Entra v úloze. | |
| IM-8: Omezení vystavení přihlašovacích údajů a tajných kódů | Integrace přihlašovacích údajů a tajných kódů služby a úložiště ve službě Azure Key Vault | Ujistěte se, že jsou tajné kódy a přihlašovací údaje aplikace uložené v zabezpečených umístěních, jako je Azure Key Vault, a ne je vkládat do kódu nebo konfiguračních souborů. Pomocí spravované identity v aplikaci pak můžete získat přístup k přihlašovacím údajům nebo tajným kódům uloženým ve službě Key Vault zabezpečeným způsobem. | |
| Privilegovaný přístup | PA-8: Určení procesu přístupu pro podporu poskytovatele cloudu | Customer Lockbox | Ve scénářích podpory, ve kterých Microsoft potřebuje přístup k vašim datům, zkontrolujte pomocí Customer Lockboxu a pak schvalte nebo odmítněte žádosti o přístup k datům od Microsoftu. |
| Ochrana dat | DP-3: Šifrování citlivých dat během přenosu | Šifrování dat při přenosu | Použijte a vynucujte výchozí minimální verzi protokolu TLS verze 1.2 nakonfigurovanou v nastavení protokolu TLS/SSL pro šifrování všech přenášených informací. Také se ujistěte, že všechny požadavky na připojení HTTP jsou přesměrované na HTTPS. |
| DP-5: Použití možnosti klíče spravovaného zákazníkem v šifrování neaktivních uložených dat v případě potřeby | Šifrování neaktivních uložených dat pomocí cmk | V případě potřeby dodržování právních předpisů definujte případ použití a rozsah služby, kde je potřeba šifrování pomocí klíčů spravovaných zákazníkem. Povolte a implementujte šifrování neaktivních uložených dat pomocí klíče spravovaného zákazníkem pro tyto služby. | |
| DP-6: Použití zabezpečeného procesu správy klíčů | Správa klíčů ve službě Azure Key Vault | Pomocí služby Azure Key Vault můžete vytvářet a řídit životní cyklus šifrovacích klíčů, včetně generování klíčů, distribuce a úložiště. Obměna a odvolávání klíčů ve službě Azure Key Vault a vaší službě na základě definovaného plánu nebo v případech, kdy dojde k vyřazení klíče nebo ohrožení zabezpečení. | |
| DP-7: Použití zabezpečeného procesu správy certifikátů | Správa certifikátů ve službě Azure Key Vault | Službu App Service je možné nakonfigurovat s protokolem SSL/TLS a dalšími certifikáty, které je možné nakonfigurovat přímo ve službě App Service nebo odkazovat ze služby Key Vault. Pokud chcete zajistit centrální správu všech certifikátů a tajných kódů, uložte všechny certifikáty používané službou App Service ve službě Key Vault místo jejich místního nasazení ve službě App Service přímo. | |
| Správa aktiv | AM-2: Používejte pouze schválené služby. | ||
| AM-4: Omezení přístupu ke správě prostředků | Izolujte systémy, které zpracovávají citlivé informace. K tomu použijte samostatné plány služby App Service nebo prostředí App Service a zvažte použití různých předplatných nebo skupin pro správu. | ||
| Protokolování a detekce hrozeb | LT-1: Povolení možností detekce hrozeb | Microsoft Defender for Service / Nabídka produktů | K identifikaci útoků, které cílí na aplikace spuštěné přes App Service, použijte Microsoft Defender for App Service. |
| LT-4: Povolení protokolování pro šetření zabezpečení | Protokoly prostředků Azure | Povolte protokoly prostředků pro webové aplikace ve službě App Service. | |
| Správa stavu a ohrožení zabezpečení | PV-2: Auditování a vynucování zabezpečených konfigurací | Vypněte vzdálené ladění, vzdálené ladění nesmí být pro produkční úlohy zapnuté, protože tím se ve službě otevírá více portů, což zvyšuje prostor pro útoky. | |
| PV-7: Provádění pravidelných červených operací týmu | Proveďte pravidelné penetrační testy na webových aplikacích podle pravidel penetračního testování zapojení. | ||
| Zálohování a obnovování | BR-1: Zajištění pravidelných automatizovaných záloh | Azure Backup | Pokud je to možné, implementujte návrh bezstavové aplikace, aby se zjednodušily scénáře obnovení a zálohování pomocí služby App Service. Pokud opravdu potřebujete udržovat stavovou aplikaci, povolte ve službě App Service funkci Zálohování a obnovení, která umožňuje snadno vytvářet zálohy aplikací ručně nebo podle plánu. |
| Zabezpečení DevOps | DS-6: Vynucování zabezpečení úloh v průběhu životního cyklu DevOps | Nasaďte kód do služby App Service z řízeného a důvěryhodného prostředí, jako je dobře spravovaný a zabezpečený kanál nasazení DevOps. Tím se vyhnete kódu, který nebyl kontrolovaný a ověřený tak, aby byl nasazený ze škodlivého hostitele. |