Azure-beveiligingsbasislijn voor App Service
Deze beveiligingsbasislijn past richtlijnen van de Microsoft Cloud Security Benchmark versie 1.0 toe op App Service. De Microsoft-cloudbeveiligingsbenchmark biedt aanbevelingen over hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op App Service.
U kunt deze beveiligingsbasislijn en de aanbevelingen bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden weergegeven in de sectie Naleving van regelgeving van de portalpagina Microsoft Defender voor Cloud.
Wanneer een functie relevante Azure Policy definities heeft, worden deze in deze basislijn vermeld om u te helpen bij het meten van de naleving van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-plan vereist om bepaalde beveiligingsscenario's in te schakelen.
Notitie
Functies die niet van toepassing zijn op App Service zijn uitgesloten. Als u wilt zien hoe App Service volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand App Service beveiligingsbasislijn.
Beveiligingsprofiel
Het beveiligingsprofiel bevat een overzicht van het gedrag met hoge impact van App Service, wat kan leiden tot verhoogde beveiligingsoverwegingen.
| Kenmerk servicegedrag | Waarde |
|---|---|
| Productcategorie | Compute, Web |
| Klant heeft toegang tot HOST/besturingssysteem | Geen toegang |
| Service kan worden geïmplementeerd in het virtuele netwerk van de klant | Waar |
| Inhoud van klanten in rust opgeslagen | Waar |
Netwerkbeveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: Netwerkbeveiliging voor meer informatie.
NS-1: netwerksegmentatiegrenzen vaststellen
Functies
Integratie van virtueel netwerk
Beschrijving: De service ondersteunt implementatie in het privé-Virtual Network (VNet) van de klant. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Opmerkingen bij de functie: Virtual Network-integratie wordt standaard geconfigureerd bij het gebruik van App Service-omgevingen, maar moet handmatig worden geconfigureerd wanneer u de openbare aanbieding voor meerdere tenants gebruikt.
Configuratierichtlijnen: Zorg voor een stabiel IP-adres voor uitgaande communicatie naar internetadressen: u kunt een stabiel uitgaand IP-adres opgeven met behulp van de integratiefunctie Virtual Network. Hierdoor kan de ontvangende partij een acceptatielijst maken op basis van IP, mocht dat nodig zijn.
Wanneer u App Service gebruikt in de prijscategorie Isolated, ook wel een App Service Environment (ASE) genoemd, kunt u rechtstreeks implementeren in een subnet binnen uw Azure Virtual Network. Gebruik netwerkbeveiligingsgroepen om uw Azure App Service-omgeving te beveiligen door inkomend en uitgaand verkeer naar resources in uw virtuele netwerk te blokkeren of om de toegang tot apps in een App Service Environment te beperken.
In de App Service met meerdere tenants (een app niet in de geïsoleerde laag) kunt u uw apps toegang geven tot resources in of via een Virtual Network met de functie Virtual Network Integration. U kunt vervolgens netwerkbeveiligingsgroepen gebruiken om uitgaand verkeer van uw app te beheren. Wanneer u Virtual Network Integration gebruikt, kunt u de configuratie 'Route All' inschakelen om al het uitgaande verkeer afhankelijk te maken van netwerkbeveiligingsgroepen en door de gebruiker gedefinieerde routes in het integratiesubnet. Deze functie kan ook worden gebruikt om uitgaand verkeer naar openbare adressen vanuit de app te blokkeren. Virtual Network Integration kan niet worden gebruikt om binnenkomende toegang tot een app te bieden.
Voor communicatie met Azure Services hoeft u vaak niet afhankelijk te zijn van het IP-adres en de mechanismen zoals service-eindpunten.
Opmerking: voor App Service-omgevingen bevatten netwerkbeveiligingsgroepen standaard een impliciete regel voor weigeren met de laagste prioriteit en vereisen dat u expliciete regels voor toestaan toevoegt. Voeg regels voor toestaan toe voor uw netwerkbeveiligingsgroep op basis van een netwerkbenadering met de minste bevoegdheden. De onderliggende virtuele machines die worden gebruikt voor het hosten van de App Service Environment zijn niet rechtstreeks toegankelijk omdat ze zich in een door Microsoft beheerd abonnement bevinden.
Wanneer u Virtual Network-integratiefunctie gebruikt met virtuele netwerken in dezelfde regio, gebruikt u netwerkbeveiligingsgroepen en routetabellen met door de gebruiker gedefinieerde routes. Door de gebruiker gedefinieerde routes kunnen in het integratiesubnet worden geplaatst om uitgaand verkeer te verzenden zoals bedoeld.
Naslaginformatie: Uw app integreren met een virtueel Azure-netwerk
Ondersteuning voor netwerkbeveiligingsgroepen
Beschrijving: servicenetwerkverkeer respecteert de regeltoewijzing van netwerkbeveiligingsgroepen op de subnetten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Opmerkingen bij de functie: ondersteuning voor netwerkbeveiligingsgroepen is beschikbaar voor alle klanten die gebruikmaken van App Service-omgevingen, maar is alleen beschikbaar in geïntegreerde VNet-apps voor klanten die gebruikmaken van de openbare aanbieding voor meerdere tenants.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
Naslaginformatie: App Service Environment netwerken
NS-2: Cloudservices beveiligen met netwerkbesturingselementen
Functies
Azure Private Link
Beschrijving: Systeemeigen IP-filtermogelijkheid van de service voor het filteren van netwerkverkeer (niet te verwarren met NSG of Azure Firewall). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik privé-eindpunten voor uw Azure Web Apps om clients die zich in uw privénetwerk bevinden, veilig toegang te geven tot de apps via Private Link. Het privé-eindpunt gebruikt een IP-adres uit uw Azure VNet-adresruimte. Netwerkverkeer tussen een client in uw particuliere netwerk en de web-app loopt via het VNet en een Private Link op het Backbone-netwerk van Microsoft, waardoor blootstelling van het openbare internet wordt voorkomen.
Opmerking: privé-eindpunt wordt alleen gebruikt voor binnenkomende stromen naar uw web-app. Uitgaande stromen gebruiken dit privé-eindpunt niet. U kunt uitgaande stromen in uw netwerk in een ander subnet injecteren via de VNet-integratiefunctie. Het gebruik van privé-eindpunten voor services aan de ontvangende kant van App Service verkeer voorkomt dat SNAT plaatsvindt en biedt een stabiel uitgaand IP-bereik.
Aanvullende richtlijnen: als containers worden uitgevoerd op App Service die zijn opgeslagen in Azure Container Registry (ACR), moet u ervoor zorgen dat deze installatiekopieën worden opgehaald via een particulier netwerk. U kunt dit doen door een privé-eindpunt te configureren op de ACR die deze afbeeldingen opslaat in combinatie met het instellen van de toepassingsinstelling 'WEBSITE_PULL_IMAGE_OVER_VNET' in uw webtoepassing.
Naslaginformatie: Privé-eindpunten gebruiken voor Azure Web App
Openbare netwerktoegang uitschakelen
Beschrijving: de service ondersteunt het uitschakelen van openbare netwerktoegang via de ip-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of met behulp van een schakeloptie 'Openbare netwerktoegang uitschakelen'. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel openbare netwerktoegang uit met behulp van IP-ACL-filterregels op serviceniveau of privé-eindpunten of door de publicNetworkAccess eigenschap in te stellen op uitgeschakeld in ARM.
Naslaginformatie: Toegangsbeperkingen voor Azure App Service instellen
NS-5: DDOS-beveiliging implementeren
Andere richtlijnen voor NS-5
Schakel DDOS Protection Standard in op het virtuele netwerk dat als host fungeert voor de Web Application Firewall van uw App Service. Azure biedt DDoS Basic-beveiliging op het netwerk, die kan worden verbeterd met intelligente DDoS Standard-mogelijkheden die meer te weten komen over normale verkeerspatronen en ongebruikelijk gedrag kunnen detecteren. DDoS Standard is van toepassing op een Virtual Network dus deze moet worden geconfigureerd voor de netwerkresource vóór de app, zoals Application Gateway of een NVA.
NS-6: Web Application Firewall implementeren
Andere richtlijnen voor NS-6
Voorkom dat WAF wordt overgeslagen voor uw toepassingen. Zorg ervoor dat de WAF niet kan worden overgeslagen door de toegang tot alleen de WAF te vergrendelen. Gebruik een combinatie van toegangsbeperkingen, service-eindpunten en privé-eindpunten.
Beveilig bovendien een App Service Environment door verkeer te routeren via een Web Application Firewall (WAF) Azure Application Gateway of Azure Front Door.
Voor de aanbieding met meerdere tenants beveiligt u binnenkomend verkeer naar uw app met:
- Toegangsbeperkingen: een reeks regels voor toestaan of weigeren die binnenkomende toegang beheren
- Service-eindpunten: kan binnenkomend verkeer van buiten opgegeven virtuele netwerken of subnetten weigeren
- Privé-eindpunten: stel uw app beschikbaar aan uw Virtual Network met een privé-IP-adres. Als de privé-eindpunten zijn ingeschakeld voor uw app, is deze niet langer toegankelijk via internet
Overweeg het implementeren van een Azure Firewall om centraal beleid voor toepassings- en netwerkconnectiviteit te maken, af te dwingen en te registreren in uw abonnementen en virtuele netwerken. Azure Firewall maakt gebruik van een statisch openbaar IP-adres voor virtuele netwerkresources, waarmee externe firewalls verkeer kunnen identificeren dat afkomstig is van uw virtuele netwerk.
Identiteitsbeheer
Zie de Microsoft Cloud Security Benchmark: Identity management (Identiteitsbeheer) voor meer informatie.
IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken
Functies
Azure AD verificatie vereist voor toegang tot gegevensvlak
Beschrijving: de service ondersteunt het gebruik van Azure AD verificatie voor toegang tot het gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik voor geverifieerde webtoepassingen alleen bekende gevestigde id-providers om gebruikerstoegang te verifiëren en autoriseren. Als uw app alleen toegankelijk moet zijn voor gebruikers van uw eigen organisatie, of anders gebruiken uw gebruikers allemaal Azure Active Directory (Azure AD), configureert u Azure AD als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Verificatie en autorisatie in Azure App Service en Azure Functions
Lokale verificatiemethoden voor toegang tot gegevensvlak
Beschrijving: lokale verificatiemethoden die worden ondersteund voor toegang tot het gegevensvlak, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Functieopmerkingen: Vermijd het gebruik van lokale verificatiemethoden of -accounts. Deze moeten waar mogelijk worden uitgeschakeld. Gebruik in plaats daarvan waar mogelijk Azure AD om te verifiëren.
Configuratierichtlijnen: Beperk het gebruik van lokale verificatiemethoden voor toegang tot het gegevensvlak. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.
Naslaginformatie: Verificatie en autorisatie in Azure App Service en Azure Functions
IM-3: toepassingsidentiteiten veilig en automatisch beheren
Functies
Beheerde identiteiten
Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure Active Directory-verificatie (Azure AD). Referenties voor beheerde identiteiten worden volledig beheerd, geroteerd en beveiligd door het platform, waarbij in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.
Een veelvoorkomend scenario voor het gebruik van een beheerde identiteit met App Service is toegang tot andere Azure PaaS-services, zoals Azure SQL Database, Azure Storage of Key Vault.
Naslaginformatie: Beheerde identiteiten gebruiken voor App Service en Azure Functions
Service-principals
Beschrijving: gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Aanvullende richtlijnen: hoewel service-principals door de service worden ondersteund als een patroon voor verificatie, raden we u aan waar mogelijk beheerde identiteiten te gebruiken.
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Web:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps moeten beheerde identiteit gebruiken | Een beheerde identiteit gebruiken voor verbeterde verificatiebeveiliging | AuditIfNotExists, uitgeschakeld | 3.0.0 |
IM-7: Toegang tot resources beperken op basis van voorwaarden
Functies
Voorwaardelijke toegang voor gegevensvlak
Beschrijving: toegang tot gegevensvlak kan worden beheerd met behulp van Azure AD beleid voor voorwaardelijke toegang. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Azure Active Directory (Azure AD) in de workload. Overweeg veelvoorkomende gebruiksvoorbeelden, zoals het blokkeren of verlenen van toegang vanaf specifieke locaties, het blokkeren van riskant aanmeldingsgedrag of het vereisen van door de organisatie beheerde apparaten voor specifieke toepassingen.
IM-8: De blootstelling van referenties en geheimen beperken
Functies
Servicereferenties en geheimen ondersteunen integratie en opslag in Azure Key Vault
Beschrijving: gegevensvlak ondersteunt systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: zorg ervoor dat app-geheimen en -referenties worden opgeslagen op beveiligde locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden. Gebruik een beheerde identiteit in uw app om vervolgens op een veilige manier toegang te krijgen tot referenties of geheimen die zijn opgeslagen in Key Vault.
Naslaginformatie: gebruik Key Vault verwijzingen voor App Service en Azure Functions
Bevoegde toegang
Zie microsoft cloud security benchmark: Privileged access (Microsoft Cloud Security Benchmark: Bevoegde toegang) voor meer informatie.
PA-7: Volg het principe just enough administration (least privilege)
Functies
Azure RBAC voor gegevensvlak
Beschrijving: Azure Role-Based Access Control (Azure RBAC) kan worden gebruikt voor het beheren van toegang tot de gegevensvlakacties van de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
PA-8: toegangsproces voor ondersteuning van cloudproviders bepalen
Functies
Klanten-lockbox
Beschrijving: Customer Lockbox kan worden gebruikt voor toegang tot Microsoft-ondersteuning. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: In ondersteuningsscenario's waarin Microsoft toegang moet hebben tot uw gegevens, gebruikt u Customer Lockbox om alle aanvragen voor gegevenstoegang van Microsoft te controleren en vervolgens goed te keuren of af te wijzen.
Gegevensbescherming
Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbescherming voor meer informatie.
DP-1: gevoelige gegevens detecteren, classificeren en labelen
Functies
Detectie en classificatie van gevoelige gegevens
Beschrijving: hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Implementeer referentiescanner in uw build-pijplijn om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens
Functies
Preventie van gegevenslekken/-verlies
Beschrijving: De service ondersteunt de DLP-oplossing voor het bewaken van de verplaatsing van gevoelige gegevens (in de inhoud van de klant). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| False | Niet van toepassing | Niet van toepassing |
Functieopmerkingen: Hoewel functies voor gegevensidentificatie, classificatie en verliespreventie nog niet beschikbaar zijn voor App Service, kunt u het risico op gegevensexfiltratie van het virtuele netwerk verminderen door alle regels te verwijderen waarbij de bestemming een 'tag' gebruikt voor internet- of Azure-services.
Microsoft beheert de onderliggende infrastructuur voor App Service en heeft strikte controles geïmplementeerd om verlies of blootstelling van uw gegevens te voorkomen.
Gebruik tags om te helpen bij het bijhouden van App Service resources die gevoelige informatie opslaan of verwerken.
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DP-3: Gevoelige gegevens tijdens overdracht versleutelen
Functies
Versleuteling van gegevens in transit
Beschrijving: de service ondersteunt versleuteling van gegevens in transit voor gegevensvlak. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik en afdwingen van de minimale standaardversie van TLS v1.2, geconfigureerd in TLS/SSL-instellingen, voor het versleutelen van alle gegevens die onderweg zijn. Zorg er ook voor dat alle HTTP-verbindingsaanvragen worden omgeleid naar HTTPS.
Naslaginformatie: Een TLS/SSL-certificaat toevoegen in Azure App Service
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Web:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| App Service-apps mogen alleen toegankelijk zijn via HTTPS | Door HTTPS te gebruiken, weet u zeker dat server-/serviceverificatie wordt uitgevoerd en dat uw gegevens tijdens de overdracht zijn beschermd tegen aanvallen die meeluisteren in de netwerklaag. | Controleren, uitgeschakeld, weigeren | 4.0.0 |
DP-4: Versleuteling van data-at-rest standaard inschakelen
Functies
Data-at-rest-versleuteling met platformsleutels
Beschrijving: data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund. Alle inhoud van de klant wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Waar | Microsoft |
Functieopmerkingen: Website-inhoud in een App Service-app, zoals bestanden, wordt opgeslagen in Azure Storage, waardoor de inhoud in rust automatisch wordt versleuteld. Kies ervoor om toepassingsgeheimen op te slaan in Key Vault en deze op te halen tijdens runtime.
Door de klant opgegeven geheimen worden in rust versleuteld terwijl ze worden opgeslagen in App Service configuratiedatabases.
Hoewel lokaal gekoppelde schijven optioneel door websites kunnen worden gebruikt als tijdelijke opslag (bijvoorbeeld D:\local en %TMP%), worden ze alleen versleuteld at rest in de openbare multitenant App Service aanbieding waar de Pv3-SKU kan worden gebruikt. Voor oudere openbare schaaleenheden met meerdere tenants waarbij de Pv3-SKU niet beschikbaar is, moet de klant een nieuwe resourcegroep maken en hun resources daar opnieuw implementeren.
Bovendien heeft de klant de mogelijkheid om de toepassing rechtstreeks vanuit een ZIP-pakket uit te voeren in App Service. Ga voor meer informatie naar: Uw app rechtstreeks vanuit een ZIP-pakket uitvoeren in Azure App Service.
Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist, omdat dit is ingeschakeld bij een standaardimplementatie.
DP-5: De optie door de klant beheerde sleutel gebruiken in data-at-rest-versleuteling indien nodig
Functies
Data-at-rest-versleuteling met cmk
Beschrijving: data-at-rest-versleuteling met behulp van door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service wordt opgeslagen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: indien vereist voor naleving van regelgeving, definieert u de use-case en het servicebereik waar versleuteling met behulp van door de klant beheerde sleutels nodig is. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services.
Opmerking: website-inhoud in een App Service-app, zoals bestanden, wordt opgeslagen in Azure Storage, waardoor de inhoud in rust automatisch wordt versleuteld. Kies ervoor om toepassingsgeheimen op te slaan in Key Vault en deze op te halen tijdens runtime.
Door de klant opgegeven geheimen worden in rust versleuteld terwijl ze worden opgeslagen in App Service configuratiedatabases.
Hoewel lokaal gekoppelde schijven optioneel door websites kunnen worden gebruikt als tijdelijke opslag (bijvoorbeeld D:\local en %TMP%), worden ze niet versleuteld at rest.
Naslaginformatie: Versleuteling at rest met door de klant beheerde sleutels
DP-6: Een beveiligd sleutelbeheerproces gebruiken
Functies
Sleutelbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle sleutels, geheimen of certificaten van klanten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, inclusief het genereren, distribueren en opslaan van sleutels. Uw sleutels in Azure Key Vault en uw service draaien en intrekken op basis van een gedefinieerd schema of wanneer er sprake is van buitengebruikstelling of inbreuk op de sleutel. Wanneer er behoefte is aan het gebruik van door de klant beheerde sleutel (CMK) op het niveau van de workload, service of toepassing, moet u de best practices voor sleutelbeheer volgen: Gebruik een sleutelhiërarchie om een afzonderlijke dek (gegevensversleutelingssleutel) te genereren met uw sleutelversleutelingssleutel (KEK) in uw sleutelkluis. Zorg ervoor dat sleutels zijn geregistreerd bij Azure Key Vault en waarnaar wordt verwezen via sleutel-id's van de service of toepassing. Als u uw eigen sleutel (BYOK) moet meenemen naar de service (zoals het importeren van met HSM beveiligde sleutels van uw on-premises HSM's in Azure Key Vault), volgt u de aanbevolen richtlijnen om de eerste sleutelgeneratie en sleuteloverdracht uit te voeren.
Naslaginformatie: gebruik Key Vault verwijzingen voor App Service en Azure Functions
DP-7: Een beveiligd certificaatbeheerproces gebruiken
Functies
Certificaatbeheer in Azure Key Vault
Beschrijving: de service ondersteunt Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: App Service kunnen worden geconfigureerd met SSL/TLS en andere certificaten, die rechtstreeks op App Service kunnen worden geconfigureerd of waarnaar kan worden verwezen vanuit Key Vault. Voor een centraal beheer van alle certificaten en geheimen slaat u alle certificaten die door App Service worden gebruikt, op in Key Vault in plaats van ze rechtstreeks lokaal op App Service te implementeren. Wanneer dit is geconfigureerd, downloadt App Service automatisch het meest recente certificaat uit Azure Key Vault. Zorg ervoor dat het genereren van certificaten voldoet aan gedefinieerde standaarden zonder gebruik te maken van onveilige eigenschappen, zoals: onvoldoende sleutelgrootte, te lange geldigheidsperiode, onveilige cryptografie. Automatische rotatie van het certificaat instellen in Azure Key Vault op basis van een gedefinieerd schema of wanneer er een certificaat verloopt.
Naslaginformatie: Een TLS/SSL-certificaat toevoegen in Azure App Service
Asset-management
Zie de Microsoft-cloudbeveiligingsbenchmark: Asset management voor meer informatie.
AM-2: Alleen goedgekeurde services gebruiken
Functies
Ondersteuning voor Azure Policy
Beschrijving: serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender for Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie is gedetecteerd voor de resources. Gebruik de effecten Azure Policy [weigeren] en [implementeren indien niet bestaat] om beveiligde configuratie af te dwingen voor Azure-resources.
Opmerking: definieer en implementeer standaardbeveiligingsconfiguraties voor uw App Service geïmplementeerde apps met Azure Policy. Gebruik ingebouwde Azure Policy definities en Azure Policy aliassen in de naamruimte 'Microsoft.Web' om aangepast beleid te maken om systeemconfiguraties te waarschuwen, te controleren en af te dwingen. Een proces en pijplijn ontwikkelen voor het beheren van beleidsonderzondering.
Naslaginformatie: Azure Policy controles voor naleving van regelgeving voor Azure App Service
AM-4: Toegang tot assetbeheer beperken
Andere richtlijnen voor AM-4
Systemen isoleren die gevoelige informatie verwerken. Gebruik hiervoor afzonderlijke App Service-abonnementen of App Service-omgevingen en overweeg het gebruik van verschillende abonnementen of beheergroepen.
Logboekregistratie en bedreidingsdetectie
Zie de Microsoft Cloud Security Benchmark: Logboekregistratie en detectie van bedreigingen voor meer informatie.
LT-1: mogelijkheden voor detectie van bedreigingen inschakelen
Functies
Microsoft Defender voor service/productaanbod
Beschrijving: de service biedt een specifieke Microsoft Defender oplossing om beveiligingsproblemen te bewaken en te waarschuwen. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: gebruik Microsoft Defender voor App Service om aanvallen te identificeren die gericht zijn op toepassingen die worden uitgevoerd via App Service. Wanneer u Microsoft Defender inschakelt voor App Service, profiteert u onmiddellijk van de volgende services die door dit Defender-abonnement worden aangeboden:
Veilig: Defender voor App Service beoordeelt de resources die onder uw App Service-plan vallen en genereert beveiligingsaanbevelingen op basis van de bevindingen. Gebruik de gedetailleerde instructies in deze aanbevelingen om uw App Service resources te beperken.
Detecteren: Defender voor App Service detecteert een groot aantal bedreigingen voor uw App Service resources door het VM-exemplaar te bewaken waarin uw App Service wordt uitgevoerd en de beheerinterface, de aanvragen en antwoorden die worden verzonden naar en van uw App Service-apps, de onderliggende sandboxes en VM's, en App Service interne logboeken.
Naslaginformatie: uw web-apps en API's beveiligen
LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek
Functies
Azure-resourcelogboeken
Beschrijving: de service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of Log Analytics-werkruimte. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: schakel resourcelogboeken in voor uw web-apps op App Service.
Naslaginformatie: Diagnostische logboekregistratie inschakelen voor apps in Azure App Service
Postuur en beheer van beveiligingsproblemen
Zie de Microsoft Cloud Security Benchmark: Posture and vulnerability management (Postuur en beheer van beveiligingsproblemen) voor meer informatie.
PV-2: Beveiligde configuraties controleren en afdwingen
Andere richtlijnen voor PV-2
Schakel externe foutopsporing uit. Externe foutopsporing mag niet worden ingeschakeld voor productieworkloads, omdat hierdoor extra poorten op de service worden geopend, waardoor de kwetsbaarheid voor aanvallen toeneemt.
Microsoft Defender voor cloudbewaking
Azure Policy ingebouwde definities - Microsoft.Web:
| Naam (Azure-portal) |
Beschrijving | Gevolg(en) | Versie (GitHub) |
|---|---|---|---|
| [Afgeschaft]: Voor functie-apps moeten clientcertificaten (inkomende clientcertificaten) zijn ingeschakeld | Met clientcertificaten kan de app een certificaat aanvragen voor binnenkomende aanvragen. Alleen clients met een geldig certificaat kunnen de app bereiken. Dit beleid is vervangen door een nieuw beleid met dezelfde naam omdat Http 2.0 geen ondersteuning biedt voor clientcertificaten. | Controle, uitgeschakeld | 3.1.0-afgeschaft |
PV-7: Voer regelmatig rode teambewerkingen uit
Andere richtlijnen voor PV-7
Voer regelmatig een penetratietest uit op uw webtoepassingen volgens de penetratietestregels van betrokkenheid.
Back-ups maken en herstellen
Zie de Microsoft Cloud Security Benchmark: Back-up en herstel voor meer informatie.
BR-1: Zorgen voor regelmatige geautomatiseerde back-ups
Functies
Azure Backup
Beschrijving: er kan een back-up van de service worden gemaakt door de Azure Backup service. Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Waar | Niet waar | Klant |
Configuratierichtlijnen: implementeer waar mogelijk staatloos toepassingsontwerp om herstel- en back-upscenario's te vereenvoudigen met App Service.
Als u echt een stateful toepassing wilt onderhouden, schakelt u de functie Back-up en herstel in App Service in, waarmee u eenvoudig handmatig of volgens een schema back-ups van apps kunt maken. U kunt configureren dat de back-ups voor onbepaalde tijd worden bewaard. U kunt de app herstellen naar een momentopname van een eerdere status door de bestaande app te overschrijven of te herstellen naar een andere app. Zorg ervoor dat regelmatige en geautomatiseerde back-ups worden uitgevoerd met een frequentie die is gedefinieerd in uw organisatiebeleid.
Opmerking: App Service kunt een back-up maken van de volgende informatie naar een Azure-opslagaccount en -container, die u in uw app hebt geconfigureerd voor gebruik:
- App-configuratie
- Bestandsinhoud
- Database verbonden met uw app
Naslaginformatie: een back-up maken van uw app in Azure
Systeemeigen back-upmogelijkheid van service
Beschrijving: de service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als u Azure Backup niet gebruikt). Meer informatie.
| Ondersteund | Standaard ingeschakeld | Configuratieverantwoordelijkheid |
|---|---|---|
| Niet waar | Niet van toepassing | Niet van toepassing |
Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.
DevOps-beveiliging
Zie de Microsoft-cloudbeveiligingsbenchmark: DevOps-beveiliging voor meer informatie.
DS-6: Beveiliging van workload afdwingen tijdens de DevOps-levenscyclus
Andere richtlijnen voor DS-6
Implementeer code in App Service vanuit een beheerde en vertrouwde omgeving, zoals een goed beheerde en beveiligde DevOps-implementatiepijplijn. Hiermee voorkomt u dat code die niet door de versie wordt beheerd en die is geverifieerd, wordt geïmplementeerd vanaf een schadelijke host.
Volgende stappen
- Zie het overzicht van de Benchmark voor Microsoft-cloudbeveiliging
- Meer informatie over Azure-beveiligingsbasislijnen