Especificación de requisitos de seguridad para cargas de trabajo web
En esta unidad se resume la línea base de seguridad de Azure para App Service, con el fin de ayudarle a crear nuevas especificaciones de requisitos para cargas de trabajo web.
Consulte Introducción a la Arquitectura de referencia de ciberseguridad de Microsoft y Cloud Security Benchmark para obtener más información sobre Microsoft Cloud Security Benchmark.
En la tabla siguiente, hemos incluido controles de la línea base completa, donde:
- Se admitían controles de seguridad, pero no estaban habilitados de forma predeterminada.
- Había instrucciones explícitas con medidas que debía tomar el cliente.
| Área | Control | Característica | Resumen de la guía |
|---|---|---|---|
| Seguridad de las redes | NS-1: Establecimiento de límites de segmentación de red | Integración de Virtual Network | Garantice una dirección IP estable para las comunicaciones salientes hacia direcciones de Internet: puede proporcionar una dirección IP de salida estable mediante la característica de integración de Virtual Network. Esto permite a la entidad receptora, si es necesario, hacer una lista de permitidos basada en la IP. |
| NS-2: Servicios en la nube seguros con controles de red | Azure Private Link | Use los puntos de conexión privados para Azure Web Apps a fin de permitir que los clientes ubicados en la red privada accedan de forma segura a la aplicación a través de Private Link. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual de Azure. | |
| NS-2: Servicios en la nube seguros con controles de red | Deshabilitación del acceso de la red pública | Deshabilite el acceso a la red pública mediante reglas de filtrado o puntos de conexión privados de ACL de IP de nivel de servicio o mediante el establecimiento de la propiedad publicNetworkAccess como Deshabilitada en Azure Resource Manager. | |
| NS-5: Implementación de protección contra DDoS | Habilite DDoS Protection en la red virtual que hospeda el Web Application Firewall de App Service. Azure proporciona protección de la infraestructura contra DDoS (Básica) en su red. Para mejorar las funcionalidades DDoS inteligentes, habilite Azure DDoS Protection, que aprende sobre los patrones de tráfico normales y puede detectar un comportamiento inusual. Azure DDoS Protection tiene dos niveles; Protección de red y Protección de IP. | ||
| NS-6: Implementación de un firewall de aplicaciones web | Evite que el WAF se omita para las aplicaciones. Asegúrese de que el WAF no se puede omitir bloqueando el acceso solo al WAF. Use una combinación de restricciones de acceso, puntos de conexión de servicio y puntos de conexión privados. | ||
| Administración de identidades | IM-1: Uso de una identidad centralizada y un sistema de autenticación | Autenticación de Microsoft Entra necesaria para el acceso al plano de datos | En el caso de las aplicaciones web autenticadas, use solo proveedores de identidades establecidos conocidos para autenticar y autorizar el acceso de usuario. |
| Métodos de autenticación local para el acceso al plano de datos | Limite el uso de métodos de autenticación local para el acceso al plano de datos. En su lugar, use Microsoft Entra ID como método de autenticación predeterminado para controlar el acceso al plano de datos. | ||
| IM-3: Administración de identidades de aplicaciones de forma segura y automática | Identidades administradas | Use siempre que sea posible identidades administradas de Azure en lugar de entidades de servicio, que pueden autenticarse en los servicios y recursos de Azure que admiten la autenticación de Microsoft Entra. La plataforma administra totalmente, rota y protege las credenciales de identidad administrada, lo que evita las credenciales codificadas de forma rígida en el código fuente o en los archivos de configuración. | |
| IM-7: Restricción del acceso a los recursos en función de las condiciones | Acceso condicional para el plano de datos | Defina las condiciones y los criterios aplicables para el acceso condicional de Microsoft Entra en la carga de trabajo. | |
| IM-8: Restricción de la exposición de credenciales y secretos | Integración y almacenamiento de credenciales y secretos de servicio en Azure Key Vault | Asegúrese de que los secretos y credenciales de las aplicaciones se almacenen en ubicaciones seguras, como Azure Key Vault, en lugar de insertarlos en los archivos de código o configuración. Use una identidad administrada en la aplicación para acceder a las credenciales o los secretos almacenados en Key Vault de forma segura. | |
| Acceso con privilegios | PA-8: Determinación del proceso de acceso para soporte técnico a proveedores de nube | Caja de seguridad del cliente | En escenarios de soporte técnico en los que Microsoft tenga que acceder a los datos, use Caja de seguridad del cliente para revisar y aprobar o rechazar la solicitud de acceso a datos de Microsoft. |
| Protección de los datos | DP-3: Cifrado de datos confidenciales en tránsito | Cifrado de los datos en tránsito | Use y aplique la versión mínima predeterminada de TLS v1.2, configurada en las opciones de TLS/SSL, para cifrar toda la información en tránsito. Asegúrese también de que todas las solicitudes de conexión HTTP se redirigen a HTTPS. |
| DP-5: Uso de la opción de clave administrada por el cliente en el cifrado de datos en reposo cuando sea necesario | Cifrado de datos en reposo mediante CMK | Si es necesario para el cumplimiento normativo, defina el caso de uso y el ámbito de servicio donde se necesite el cifrado mediante claves administradas por el cliente. Habilite e implemente el cifrado de datos en reposo mediante la clave administrada por el cliente en los servicios. | |
| DP-6: Uso de un proceso seguro de administración de claves | Administración de claves en Azure Key Vault | Use Azure Key Vault para crear y controlar el ciclo de vida de las claves de cifrado, incluida la generación, la distribución y el almacenamiento de claves. Rote y revoque las claves en Azure Key Vault y en su servicio según la programación definida y cuando haya una retirada de clave o un riesgo para ella. | |
| DP-7: Uso de un proceso seguro de administración de certificados | Administración de certificados en Azure Key Vault | App Service se puede configurar con SSL/TLS y otros certificados, que se pueden configurar directamente en App Service o hacer referencia a ellos desde Key Vault. Para garantizar la administración central de todos los certificados y secretos, almacene los certificados usados por App Service en Key Vault en lugar de implementarlos localmente en App Service directamente. | |
| Administración de recursos | AM-2: Uso exclusivo de los servicios aprobados | ||
| AM-4: Limitación del acceso a la administración de recursos | Aísle los sistemas que procesan información confidencial. Para ello, use planes o entornos de App Service independientes y considere el uso de diferentes suscripciones o grupos de administración. | ||
| Registro y detección de amenazas | LT-1: Habilitación de las funcionalidades de detección de amenazas | Microsoft Defender para la oferta de servicio o producto | Use Microsoft Defender para App Service para identificar ataques dirigidos a aplicaciones que se ejecutan mediante App Service. |
| LT-4: Habilitación del registro para la investigación de seguridad | Registros de recursos de Azure | Habilite los registros de recursos para las aplicaciones web en App Service. | |
| Posición y administración de vulnerabilidades | PV-2: Auditoría y aplicación de configuraciones seguras | Desactive la depuración remota, la depuración remota no debe estar activada para cargas de trabajo de producción, ya que esto abre más puertos en el servicio, lo que aumenta la superficie expuesta a ataques. | |
| PV-7: Realización de operaciones periódicas del equipo rojo | Realice pruebas de penetración periódicas en las aplicaciones web siguiendo las reglas de prueba de penetración de la involucración. | ||
| Copia de seguridad y recuperación | BR-1: Garantía de copias de seguridad automáticas periódicas | Azure Backup | Siempre que sea posible, implemente el diseño de aplicaciones sin estado para simplificar los escenarios de copia de seguridad y recuperación con App Service. Si realmente necesita mantener una aplicación con estado, habilite la característica Copia de seguridad y restauración en App Service, lo que le permite crear fácilmente copias de seguridad de aplicaciones manualmente o según una programación. |
| Seguridad de DevOps | DS-6: Aplicación de seguridad de cargas de trabajo mediante el ciclo de vida de DevOps | Implemente código en App Service desde un entorno controlado y de confianza, como una canalización de implementación de DevOps bien administrada y protegida. Esto evita el código que no pasó por el control de versiones ni se comprobó se implemente desde un host malintencionado. |