Azure-Sicherheitsbaseline für Azure Container Apps
Diese Sicherheitsgrundlinie wendet Anleitungen aus der Microsoft Cloud Security-Benchmark-Version 1.0 auf Azure-Container-Apps an. Die Microsoft-Cloudsicherheitsbenchmark enthält Empfehlungen dazu, wie Sie Ihre Cloudlösungen in Azure schützen können. Der Inhalt wird nach den Sicherheitssteuerelementen gruppiert, die durch den Microsoft Cloud Security-Benchmark und die zugehörigen Richtlinien für Azure-Container-Apps definiert sind.
Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy-Definitionen werden im Abschnitt „Einhaltung gesetzlicher Bestimmungen“ der Microsoft Defender for Cloud-Portalseite aufgeführt.
Wenn eine Funktion über relevante Azure Policy-Definitionen verfügt, werden sie in dieser Baseline aufgeführt, um Sie dabei zu unterstützen, die Einhaltung der Kontrollen und Empfehlungen des Cloudsicherheitsvergleichstests von Microsoft zu messen. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender-Plan, um bestimmte Sicherheitsszenarios zu ermöglichen.
Hinweis
Features , die nicht für Azure-Container-Apps gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Container Apps vollständig dem Microsoft Cloud Security-Benchmark zugeordnet sind, finden Sie in der vollständigen Azure Container Apps-Sicherheitsbasisplanzuordnungsdatei.
Sicherheitsprofil
Das Sicherheitsprofil fasst das Verhalten von Azure-Container-Apps zusammen, was zu erhöhten Sicherheitsaspekten führen kann.
| Dienstverhaltensattribut | Wert |
|---|---|
| Produktkategorie | Container |
| Der Kunde kann auf den Host bzw. das Betriebssystem zugreifen. | Kein Zugriff |
| Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. | True |
| Ruhende Kundeninhalte werden gespeichert. | True |
Netzwerksicherheit
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Netzwerksicherheit.
NS-1: Einrichten von Grenzen für die Netzwerksegmentierung
Features
Virtual Network-Integration
Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten virtuellen Netzwerk (VNet) des Kunden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Bereitstellen des Diensts in einem virtuellen Netzwerk. Weisen Sie der Ressource (sofern möglich) private IP-Adressen zu, es sei denn, es gibt einen guten Grund, öffentliche IP-Adressen direkt der Ressource zuzuweisen.
Referenz: Azure Container Apps Virtual Network Integration
Netzwerksicherheitsgruppenunterstützung
Beschreibung: Der Netzwerkdatenverkehr des Diensts berücksichtigt die Regelzuweisung für Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Verwenden von Netzwerksicherheitsgruppen (Network Security Groups, NSG) zum Einschränken oder Überwachen des Datenverkehrs nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird). Beachten Sie, dass NSGs standardmäßig den gesamten eingehenden Datenverkehr verweigern, Datenverkehr aus virtuellen Netzwerken und Azure Load Balancer-Instanzen jedoch zulassen.
Referenz: Sichern eines benutzerdefinierten VNET in Azure-Container-Apps
NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen
Features
Deaktivieren des Zugriffs aus öffentlichen Netzwerken
Beschreibung: Der Dienst unterstützt das Deaktivieren des öffentlichen Netzwerkzugriffs entweder mithilfe der IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschalters „Öffentlichen Netzwerkzugriff deaktivieren“. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Deaktivieren sie den Zugriff auf öffentliche Netzwerke, indem Sie eine Konfiguration für interne Container-Apps bereitstellen.
Referenz: Bereitstellen eines virtuellen Netzwerks für eine interne Azure-Container-Apps-Umgebung
Identitätsverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identitätsverwaltung.
IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems
Features
Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich
Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebenen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.
Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene
Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebenen unterstützt werden, z. B. lokaler Benutzername und Kennwort. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten
Features
Verwaltete Identitäten
Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mithilfe verwalteter Identitäten. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Featurehinweise: Verwaltete Identität wird für Container-Apps und Dapr-Komponenten unterstützt, aber noch nicht für Skalierungsregeln in einer Container-App
Konfigurationsleitfaden: Verwenden Sie verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory(Azure AD)-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.
Referenz: Verwenden der verwalteten Identität in Azure-Container-Apps
Dienstprinzipale
Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Für die Konfiguration dieser Funktion gibt es aktuell keinen Leitfaden von Microsoft. Sehen Sie sich diese Sicherheitsfunktion an, und klären Sie, ob Ihre Organisation sie konfigurieren möchte.
IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen
Features
Bedingter Zugriff für Datenebene
Beschreibung: Der Zugriff auf die Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen
Features
Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse
Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | Zutreffend | Zutreffend |
Featurehinweise: Für Dapr-fähige Container-Apps können Kunden Azure Key Vault für geheime Verweise nutzen.
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Privilegierter Zugriff
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Privilegierter Zugriff.
PA-1: Trennen und Begrenzen hoch privilegierter/administrativer Benutzer*innen
Features
Lokale Administratorkonten
Beschreibung: Der Dienst ist dem Konzept nach ein lokales Verwaltungskonto. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)
Features
Azure RBAC für die Datenebene
Beschreibung: Die rollenbasierte Zugriffssteuerung von (Azure Role-Based Access Control, Azure RBAC) kann zum verwalteten Zugriff von Aktionen des Diensts auf Datenebenen verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern
Features
Kunden-Lockbox
Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Datenschutz
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Datenschutz.
DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten
Features
Ermittlung und Klassifizierung vertraulicher Daten
Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten
Features
Verhinderung von Datenlecks/Verlusten
Beschreibung: Der Dienst unterstützt DIE DLP-Lösung zum Überwachen vertraulicher Datenbewegungen (im Kundeninhalt). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten
Features
Verschlüsselung von Daten während der Übertragung
Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung auf Datenebene. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Aktivieren der sicheren Übertragung in Diensten, in denen ein systemeigenes Daten in der Transitverschlüsselungsfunktion integriert ist. Erzwingen Sie HTTPS für alle Webanwendungen und Dienste, und stellen Sie sicher, dass TLS v1.2 oder höher verwendet wird. Ältere Versionen wie SSL 3.0, TLS v1.0 sollten deaktiviert werden. Verwenden Sie für die Remoteverwaltung virtueller Computer SSH (für Linux) oder RDP/TLS (für Windows) anstelle eines unverschlüsselten Protokolls.
Referenz: Einrichten eines HTTPS- oder TCP-Eingangs in Azure-Container-Apps
DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten
Features
Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt, alle ruhenden Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Featurehinweise: Azure Container Apps nutzt die Standardverschlüsselung von Microsoft für ruhende Daten.
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Doppelte Verschlüsselung
DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf
Features
Verschlüsselung ruhender Daten mithilfe von CMK
Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von vom Kunden verwalteten Schlüsseln wird für vom Dienst gespeicherte Kundeninhalte unterstützt. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses
Features
Schlüsselverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, geheimen Schlüssel oder Zertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses
Features
Zertifikatverwaltung in Azure Key Vault
Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenzertifikate. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Ressourcenverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Asset Management.
AM-2: Ausschließliches Verwenden genehmigter Dienste
Features
Azure Policy-Unterstützung
Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure-Richtlinie zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Die Auswirkungen von Azure Policy [verweigern] und [bereitstellen, falls nicht vorhanden] zum Erzwingen der sicheren Konfiguration über Azure-Ressourcen hinweg.
Referenz: Integrierte Azure-Richtliniendefinitionen für Azure-Container-Apps
Protokollierung und Bedrohungserkennung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.
LT-1: Aktivieren von Funktionen für die Bedrohungserkennung
Features
Microsoft Defender for Service / Produktangebot
Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender-Lösung, um Sicherheitsprobleme zu überwachen und zu benachrichtigen. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung
Features
Azure-Ressourcenprotokolle
Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke senden, z. B. an ein Speicherkonto oder an einen Log Analytics-Arbeitsbereich. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| True | True | Microsoft |
Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies bei einer Standardbereitstellung aktiviert ist.
Referenz: Protokollspeicher- und Überwachungsoptionen in Azure-Container-Apps
Status- und Sicherheitsrisikoverwaltung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Haltung und Sicherheitsrisikomanagement.
PV-3: Einrichten sicherer Konfigurationen für Computeressourcen
Features
Benutzerdefinierte Containerimages
Beschreibung: Der Dienst unterstützt die Verwendung von vom Benutzer bereitgestellten Containerimages oder vordefinierten Images vom Marketplace mit bestimmten Basiskonfigurationen, die bereits angewendet wurden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| Richtig | Falsch | Kreditor |
Konfigurationsleitfaden: Sie können Bilder aus privaten Repositorys in der Microsoft Azure-Containerregistrierung mithilfe von verwalteten Identitäten für die Authentifizierung abrufen, um die Verwendung administrativer Anmeldeinformationen zu vermeiden. Für die Authentifizierung gegenüber Azure Container Registry kann eine systemseitig oder benutzerseitig zugewiesene verwaltete Identität verwendet werden.
Referenz: Image-Pull für Azure-Container-Apps mit verwalteter Identität
PV-5: Durchführen von Sicherheitsrisikobewertungen
Features
Sicherheitsrisikobewertung mit Microsoft Defender
Beschreibung: Der Dienst kann mithilfe von Microsoft Defender für Cloud oder anderen eingebetteten Microsoft Defender-Diensten auf Sicherheitsrisikoüberprüfung überprüft werden (einschließlich Microsoft Defender für Server, Containerregistrierung, App Service, SQL und DNS). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Container-Apps unterstützen zwar keine Von Defender für Container durchgeführte Sicherheitsrisikobewertung, aber die Azure-Containerregistrierung, die in Container-Apps integriert werden kann, unterstützt die Sicherheitsrisikobewertung.
Sicherung und Wiederherstellung
Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.
BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen
Features
Azure Backup
Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Diensteigene Sicherungsfunktion
Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (sofern nicht Azure Backup verwendet wird). Weitere Informationen
| Unterstützt | Standardmäßig aktiviert | Konfigurationsverantwortung |
|---|---|---|
| False | Nicht zutreffend | Nicht zutreffend |
Konfigurationsleitfaden: Diese Funktion wird zur Sicherung dieses Diensts nicht unterstützt.
Nächste Schritte
- Siehe Übersicht über die Microsoft Cloud Security Benchmark
- Erfahren Sie mehr über Azure-Sicherheitsbaselines.