Spécifier des exigences de sécurité pour les charges de travail web
Cette unité résume la base de référence de sécurité Azure pour App Service afin de vous aider à créer de nouvelles spécifications requises pour les charges de travail web.
Pour plus d’informations sur Microsoft Cloud Security Benchmark, consultez Présentation de Microsoft Cybersecurity Reference Architecture et Cloud Security Benchmark.
Dans le tableau ci-dessous, nous avons inclus des contrôles de la base de référence complète où :
- Les contrôles de sécurité ont été pris en charge, mais pas activés par défaut
- Il y avait des recommandations explicites qui contenaient des mesures à prendre par le client
| Domaine | Control | Fonctionnalité | Résumé de l’aide |
|---|---|---|---|
| Sécurité du réseau | NS-1 : Établir des limites de segmentation réseau | Intégration du réseau virtuel | Garantir une adresse IP stable pour les communications sortantes vers les adresses Internet : vous pouvez fournir une adresse IP sortante stable à l’aide de la fonctionnalité d’intégration de réseau virtuel. Cela permet à la partie réceptrice de mettre en liste d’autorisation en fonction de l’adresse IP, si nécessaire. |
| NS-2 : Sécuriser les services cloud avec des contrôles réseau | Azure Private Link | Utilisez des points de terminaison privés pour votre application web Azure afin de permettre aux clients situés dans votre réseau privé d’accéder de façon sécurisée à l’application via une liaison privée. Le point de terminaison privé utilise une adresse IP de l’espace d’adressage de votre réseau virtuel Azure. | |
| NS-2 : Sécuriser les services cloud avec des contrôles réseau | Désactiver l’accès public au réseau | Désactivez l’accès au réseau public à l’aide de règles de filtrage de liste de contrôle d’accès IP au niveau du service ou de points de terminaison privés ou en définissant la propriété publicNetworkAccess sur Désactivé dans Azure Resource Manager. | |
| NS-5 : Déployer DDoS Protection | Activez DDoS Protection sur le réseau virtuel hébergeant le pare-feu d’applications web de votre App Service. Azure fournit une protection d’infrastructure DDoS (de base) sur son réseau. Pour améliorer les fonctionnalités DDoS intelligentes, activez Azure DDoS Protection, qui se forme sur les modèles de trafic normaux et peut détecter un comportement inhabituel. Azure DDoS Protection dispose de deux niveaux : Protection réseau et Protection IP. | ||
| NS-6 : Déployer le pare-feu d’applications web | Évitez de contourner le WAF pour vos applications. Assurez-vous que le WAF ne peut pas être contourné en verrouillant l’accès uniquement au WAF. Utilisez une combinaison de restrictions d’accès, de points de terminaison de service et de points de terminaison privés. | ||
| Gestion des identités | IM-1 : utiliser le système centralisé d’identité et d’authentification | Authentification Microsoft Entra requise pour l’accès au plan de données | Pour les applications web authentifiées, utilisez uniquement des fournisseurs d’identité bien connus pour authentifier et autoriser l’accès utilisateur. |
| Méthodes d’authentification locales pour l’accès au plan de données | Restreindre l’utilisation des méthodes d’authentification locales pour l’accès au plan de données. Au lieu de cela, utilisez Microsoft Entra ID comme méthode d’authentification par défaut pour contrôler l’accès à votre plan de données. | ||
| IM-3 : gérer les identités d’application de façon sécurisée et automatique | Identités managées | Utilisez des identités managées Azure au lieu des principaux de service lorsque cela est possible ; elles peuvent s’authentifier auprès des services et ressources Azure qui prennent en charge l’authentification Microsoft Entra. La plateforme assure entièrement la gestion, la rotation et la protection des informations d’identification d’identité managée, ce qui évite les informations d’identification codées en dur dans le code source ou les fichiers de configuration. | |
| IM-7 : restreindre l’accès aux ressources en fonction des conditions | Accès conditionnel pour le plan de données | Définissez les conditions et les critères applicables à l’accès conditionnel Microsoft Entra dans la charge de travail. | |
| IM-8 : restreindre l’exposition des informations d’identification et des secrets | Prise en charge de l’intégration et du stockage des informations d’identification et des secrets de service dans Azure Key Vault | Assurez-vous que les secrets d’application et informations d’identification sont stockées dans des emplacements sécurisés tels qu’Azure Key Vault, plutôt que de les incorporer dans les fichiers de code ou de configuration. Utilisez une identité managée sur votre application pour accéder aux informations d’identification ou aux secrets stockés dans Key Vault de manière sécurisée. | |
| Accès privilégié | PA-8 : Déterminer le processus d’accès pour la prise en charge du fournisseur de services cloud | Customer Lockbox | Dans les scénarios de prise en charge où Microsoft a besoin d’accéder à vos données, utilisez Customer Lockbox pour examiner et approuver ou refuser les demandes d’accès aux données de Microsoft. |
| Protection de données | DP-3 : chiffrer les données sensibles en transit | Chiffrement des données en transit | Utilisez et appliquez la version minimale par défaut de TLS 1.2, configurée dans les paramètres TLS/SSL, pour chiffrer toutes les informations en transit. Assurez-vous également que toutes les demandes de connexion HTTP sont redirigées vers le protocole HTTPS. |
| DP-5 : utiliser l’option de clé gérée par le client dans le chiffrement des données au repos si nécessaire | Chiffrement des données au repos à l’aide de CMK | Si nécessaire pour la conformité réglementaire, définissez le cas d’usage et l’étendue du service où le chiffrement à l’aide de clés gérées par le client est nécessaire. Activez et implémentez le chiffrement des données au repos à l’aide de la clé gérée par le client dans ces services. | |
| DP-6 : Utiliser un processus sécurisé de gestion de clés | Gestion des clés dans Azure Key Vault | Utilisez Azure Key Vault pour créer et contrôler le cycle de vie de vos clés de chiffrement, incluant la génération, la distribution et le stockage de clés. Faites pivoter et révoquez vos clés dans Azure Key Vault et votre service en fonction d’une planification définie ou en cas de suppression ou de compromission d’une clé. | |
| DP-7 : utiliser un processus de gestion des certificats sécurisé | Gestion des certificats dans Azure Key Vault | App Service peut être configuré avec SSL/TLS et d’autres certificats, qui peuvent être configurés directement sur App Service ou référencés à partir de Key Vault. Pour garantir la gestion centralisée de tous les certificats et secrets, stockez tous les certificats utilisés par App Service dans Key Vault au lieu de les déployer localement sur App Service directement. | |
| Gestion des ressources | AM-2 : Utiliser uniquement des services approuvés | ||
| AM-4 : Limiter l’accès à la gestion des ressources | Isoler les systèmes qui traitent les informations sensibles. Pour ce faire, utilisez des plans App Service distincts, ou différentes instances App Service Environment, et envisagez l’utilisation de différents abonnements ou groupes d’administration. | ||
| Journalisation et détection des menaces | LT-1 : activer les fonctionnalités de détection des menaces | Microsoft Defender pour les offres de services/produits | Utilisez Microsoft Defender pour App Service pour identifier les attaques qui ciblent les applications s’exécutant sur App Service. |
| LT-4 : Activer la journalisation pour l’examen de sécurité | Journaux des ressources Azure | Activez les journaux de ressources pour vos applications web sur App Service. | |
| Gestion des postures et des vulnérabilités | PV-2 : auditer et appliquer les configurations sécurisées | Désactivez le débogage à distance. Le débogage à distance ne doit pas être activé pour les charges de travail de production, car cela ouvre davantage de ports sur le service, ce qui augmente la surface d’attaque. | |
| PV-7 : effectuer des opérations d’équipe rouges régulières | Effectuez des tests d’intrusion réguliers sur vos applications web en suivant les règles d’engagement des tests d’intrusion. | ||
| Sauvegarde et récupération | BR-1 : Garantir des sauvegardes automatiques régulières | Sauvegarde Azure | Dans la mesure du possible, implémentez la conception d’applications sans état pour simplifier les scénarios de récupération et de sauvegarde avec App Service. Si vous avez vraiment besoin de gérer une application avec état, activez la fonctionnalité Sauvegarde et restauration dans App Service, ce qui vous permet de créer facilement des sauvegardes d’applications manuellement ou selon une planification. |
| Sécurité DevOps | DS-6 : Appliquer la sécurité de la charge de travail tout au long du cycle de vie de DevOps | Déployez du code pour App Service à partir d’un environnement contrôlé et approuvé, comme un pipeline de déploiement DevOps bien géré et sécurisé. Cela évite que le code qui n’a pas été vérifié et n’a pas de contrôle de version soit déployé à partir d’un hôte malveillant. |