Delen via


Azure-beveiligingsbasislijn voor Azure Container Apps

Deze beveiligingsbasislijn past richtlijnen toe van de Microsoft-cloudbeveiligingsbenchmark versie 1.0 op Azure Container Apps. De Microsoft Cloud Security-benchmark biedt aanbevelingen voor het beveiligen van uw cloudoplossingen in Azure. De inhoud wordt gegroepeerd op basis van de beveiligingscontroles die zijn gedefinieerd door de Microsoft-cloudbeveiligingsbenchmark en de gerelateerde richtlijnen die van toepassing zijn op Azure Container Apps.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy-definities worden weergegeven in de sectie Naleving van regelgeving van de Microsoft Defender voor Cloud-portalpagina.

Wanneer een functie relevante Azure Policy-definities heeft, worden deze in deze basislijn vermeld om u te helpen de naleving te meten van de controles en aanbevelingen van de Microsoft-cloudbeveiligingsbenchmark. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Functies die niet van toepassing zijn op Azure Container Apps, zijn uitgesloten. Als u wilt zien hoe Azure Container Apps volledig is toegewezen aan de Microsoft-cloudbeveiligingsbenchmark, raadpleegt u het volledige toewijzingsbestand voor azure Container Apps-beveiligingsbasislijnen.

Beveiligingsprofiel

Het beveiligingsprofiel bevat een overzicht van het gedrag met een hoge impact van Azure Container Apps, wat kan leiden tot verhoogde beveiligingsoverwegingen.

Kenmerk servicegedrag Weergegeven als
Productcategorie Containers
Klant heeft toegang tot HOST/OS Geen toegang
Service kan worden geïmplementeerd in het virtuele netwerk van de klant Waar
Slaat klantinhoud at rest op Waar

Netwerkbeveiliging

Zie de Microsoft-benchmark voor cloudbeveiliging: Netwerkbeveiliging voor meer informatie.

NS-1: netwerksegmentatiegrenzen vaststellen

Functies

Integratie van virtueel netwerk

Beschrijving: Service biedt ondersteuning voor implementatie in het particuliere virtuele netwerk van de klant (VNet). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: de service implementeren in een virtueel netwerk. Wijs privé-IP-adressen toe aan de resource (indien van toepassing), tenzij er een sterke reden is om openbare IP-adressen rechtstreeks aan de resource toe te wijzen.

Naslaginformatie: Azure Container Apps Virtual Network Integration

Ondersteuning voor netwerkbeveiligingsgroepen

Beschrijving: Servicenetwerkverkeer respecteert de toewijzing van regels voor netwerkbeveiligingsgroepen op de subnetten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: Netwerkbeveiligingsgroepen (NSG) gebruiken om verkeer te beperken of te bewaken op poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de geopende poorten van uw service te beperken (zoals voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken). Houd er rekening mee dat NSG's standaard al het binnenkomende verkeer weigeren, maar dat verkeer van virtueel netwerk en Azure Load Balancers is toegestaan.

Naslaginformatie: Een aangepast VNET beveiligen in Azure Container Apps

NS-2: Cloudservices beveiligen met netwerkbesturingselementen

Functies

Openbare netwerktoegang uitschakelen

Beschrijving: De service biedt ondersteuning voor het uitschakelen van openbare netwerktoegang via een IP-ACL-filterregel op serviceniveau (niet NSG of Azure Firewall) of het gebruik van een wisselknop Voor openbare netwerktoegang uitschakelen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: openbare netwerktoegang uitschakelen door een omgevingsconfiguratie voor alleen-interne container-apps te implementeren.

Naslaginformatie: Een virtueel netwerk opgeven voor een interne Azure Container Apps-omgeving

Identiteitsbeheer

Zie de Microsoft Cloud Security Benchmark: Identiteitsbeheer voor meer informatie.

IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken

Functies

Azure AD-verificatie vereist voor gegevensvlaktoegang

Beschrijving: Service biedt ondersteuning voor het gebruik van Azure AD-verificatie voor toegang tot gegevensvlakken. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: Gebruik Azure Active Directory (Azure AD) als standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren.

Naslaginformatie: Verificatie en autorisatie inschakelen in Azure Container Apps met Azure Active Directory

Lokale verificatiemethoden voor gegevensvlaktoegang

Beschrijving: Methoden voor lokale verificatie die worden ondersteund voor toegang tot gegevensvlakken, zoals een lokale gebruikersnaam en wachtwoord. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-3: Toepassingsidentiteiten veilig en automatisch beheren

Functies

Beheerde identiteiten

Beschrijving: Gegevensvlakacties ondersteunen verificatie met behulp van beheerde identiteiten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Functieopmerkingen: Beheerde identiteit wordt ondersteund voor container-apps en Dapr-onderdelen, maar nog niet voor schaalregels in een container-app

Configuratierichtlijnen: Gebruik indien mogelijk beheerde Identiteiten van Azure in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Azure AD-verificatie (Azure Active Directory). Referenties voor beheerde identiteiten worden volledig beheerd, gedraaid en beveiligd door het platform, waardoor in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden.

Naslaginformatie: Beheerde identiteit gebruiken in Azure Container Apps

Service-principals

Beschrijving: Het gegevensvlak ondersteunt verificatie met behulp van service-principals. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: Er is geen huidige Microsoft-richtlijnen voor deze functieconfiguratie. Controleer en bepaal of uw organisatie deze beveiligingsfunctie wil configureren.

IM-7: Toegang tot resources beperken op basis van voorwaarden

Functies

Voorwaardelijke toegang voor gegevensvlak

Beschrijving: Toegang tot het gegevensvlak kan worden beheerd met behulp van beleid voor voorwaardelijke toegang van Azure AD. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

IM-8: De blootstelling van referenties en geheimen beperken

Functies

Integratie en opslag van servicereferenties en geheimen in Azure Key Vault

Beschrijving: Het gegevensvlak biedt ondersteuning voor systeemeigen gebruik van Azure Key Vault voor het opslaan van referenties en geheimen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Van toepassing Van toepassing

Functieopmerkingen: Voor Container Apps met Dapr-functionaliteit kunnen klanten Gebruikmaken van Azure Key Vault voor geheime verwijzingen.

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Bevoegde toegang

Zie de Microsoft Cloud Security-benchmark: Bevoegde toegang voor meer informatie.

PA-1: Scheid en beperk gebruikers met hoge bevoegdheden/beheerdersrechten

Functies

Lokale beheerdersaccounts

Beschrijving: De service heeft het concept van een lokaal beheerdersaccount. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

PA-7: Principe van minimale bevoegdheden hanteren

Functies

Azure RBAC voor gegevensvlak

Beschrijving: Op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) kan worden gebruikt voor beheerde toegang tot de gegevensvlakacties van de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

PA-8: Toegangsproces bepalen voor cloudproviderondersteuning

Functies

Klanten-lockbox

Beschrijving: Customer Lockbox kan worden gebruikt voor microsoft-ondersteuningstoegang. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Gegevensbescherming

Zie de Microsoft-cloudbeveiligingsbenchmark: Gegevensbeveiliging voor meer informatie.

DP-1: Gevoelige gegevens detecteren, classificeren en labelen

Functies

Detectie en classificatie van gevoelige gegevens

Beschrijving: Hulpprogramma's (zoals Azure Purview of Azure Information Protection) kunnen worden gebruikt voor gegevensdetectie en -classificatie in de service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-2: Afwijkingen en bedreigingen bewaken die gericht zijn op gevoelige gegevens

Functies

Preventie van gegevenslekken/verlies

Beschrijving: Service ondersteunt DLP-oplossing voor het bewaken van gevoelige gegevensverplaatsing (in de inhoud van de klant). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-3: Gevoelige gegevens versleutelen tijdens overdracht

Functies

Gegevens in transitversleuteling

Beschrijving: De service ondersteunt versleuteling van gegevens in transit voor het gegevensvlak. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: veilige overdracht inschakelen in services waarin een ingebouwde functie voor gegevensoverdrachtversleuteling is ingebouwd. Dwing HTTPS af op webtoepassingen en -services en zorg ervoor dat TLS v1.2 of hoger wordt gebruikt. Oudere versies zoals SSL 3.0, TLS v1.0 moeten worden uitgeschakeld. Gebruik voor extern beheer van virtuele machines SSH (voor Linux) of RDP/TLS (voor Windows) in plaats van een niet-versleuteld protocol.

Naslaginformatie: HTTPS- of TCP-toegangsbeheerobjecten instellen in Azure Container Apps

DP-4: Gegevens-at-rest-versleuteling standaard inschakelen

Functies

Data-at-rest-versleuteling met behulp van platformsleutels

Beschrijving: Data-at-rest-versleuteling met behulp van platformsleutels wordt ondersteund, alle inhoud van klanten die in rust zijn, wordt versleuteld met deze door Microsoft beheerde sleutels. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Functieopmerkingen: Azure Container Apps maakt gebruik van de standaardversleuteling van Microsoft voor data-at-rest.

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.

Naslaginformatie: dubbele versleuteling

DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is

Functies

Data-at-rest-versleuteling met CMK

Beschrijving: Gegevens-at-rest-versleuteling met door de klant beheerde sleutels wordt ondersteund voor klantinhoud die door de service is opgeslagen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-6: Een beveiligd sleutelbeheerproces gebruiken

Functies

Sleutelbeheer in Azure Key Vault

Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantsleutels, geheimen of certificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

DP-7: Een beveiligd certificaatbeheerproces gebruiken

Functies

Certificaatbeheer in Azure Key Vault

Beschrijving: De service biedt ondersteuning voor Azure Key Vault-integratie voor alle klantcertificaten. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Asset-management

Zie de Microsoft Cloud Security-benchmark: Asset management voor meer informatie.

AM-2: Alleen goedgekeurde services gebruiken

Functies

Ondersteuning voor Azure Policy

Beschrijving: Serviceconfiguraties kunnen worden bewaakt en afgedwongen via Azure Policy. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: gebruik Microsoft Defender voor Cloud om Azure Policy te configureren om configuraties van uw Azure-resources te controleren en af te dwingen. Gebruik Azure Monitor om waarschuwingen te maken wanneer er een configuratiedeviatie op de resources wordt gedetecteerd. Gebruik Azure Policy [deny] en [deploy if not exists] effecten om een veilige configuratie af te dwingen in Azure-resources.

Naslaginformatie: Ingebouwde Azure Policy-definities voor Azure Container Apps

Logboekregistratie en bedreidingsdetectie

Zie de Microsoft-benchmark voor cloudbeveiliging: Logboekregistratie en detectie van bedreigingen voor meer informatie.

LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen

Functies

Microsoft Defender voor service/productaanbiedingen

Beschrijving: De service heeft een aanbiedingsspecifieke Microsoft Defender-oplossing voor het bewaken en waarschuwen van beveiligingsproblemen. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek

Functies

Azure-resourcelogboeken

Beschrijving: Service produceert resourcelogboeken die uitgebreide servicespecifieke metrische gegevens en logboekregistratie kunnen bieden. De klant kan deze resourcelogboeken configureren en naar hun eigen gegevenssink verzenden, zoals een opslagaccount of log analytics-werkruimte. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Waar Microsoft

Configuratierichtlijnen: er zijn geen aanvullende configuraties vereist omdat dit is ingeschakeld voor een standaardimplementatie.

Naslaginformatie: Opties voor logboekopslag en bewaking in Azure Container Apps

Beheer van beveiligingspostuur en beveiligingsproblemen

Zie de Microsoft-benchmark voor cloudbeveiliging: Postuur- en beveiligingsproblemenbeheer voor meer informatie.

PV-3: Veilige configuraties voor rekenresources instellen

Functies

Aangepaste containerinstallatiekopieën

Beschrijving: Service biedt ondersteuning voor het gebruik van door de gebruiker geleverde containerinstallatiekopieën of vooraf gebouwde installatiekopieën uit de marketplace met vooraf toegepaste basislijnconfiguraties. Meer informatie

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Waar Onwaar Customer

Configuratierichtlijnen: U kunt installatiekopieën ophalen uit privéopslagplaatsen in Microsoft Azure Container Registry met behulp van beheerde identiteiten voor verificatie om het gebruik van beheerdersreferenties te voorkomen. U kunt een door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteit gebruiken om te verifiëren met Azure Container Registry.

Naslaginformatie: Azure Container Apps-installatiekopie ophalen met beheerde identiteit

PV-5: Evaluaties van beveiligingsproblemen uitvoeren

Functies

Evaluatie van beveiligingsproblemen met Microsoft Defender

Beschrijving: De service kan worden gescand op scan van beveiligingsproblemen met behulp van Microsoft Defender voor Cloud of andere ingesloten mogelijkheden voor evaluatie van beveiligingsproblemen van Microsoft Defender-services (waaronder Microsoft Defender voor server, containerregister, App Service, SQL en DNS). Meer informatie

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: Hoewel Container Apps geen ondersteuning biedt voor evaluatie van beveiligingsproblemen die door Defender for Containers worden uitgevoerd, biedt Azure Container Registry die mogelijk is geïntegreerd met Container Apps ondersteuning voor evaluatie van beveiligingsproblemen.

Naslaginformatie: Defender for Containers gebruiken om uw Azure Container Registry-installatiekopieën te scannen op beveiligingsproblemen

Back-up en herstel

Zie de Microsoft-benchmark voor cloudbeveiliging: Back-up en herstel voor meer informatie.

BR-1: Regelmatige geautomatiseerde back-ups garanderen

Functies

Azure Backup

Beschrijving: Er kan een back-up van de service worden gemaakt door de Azure Backup-service. Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Systeemeigen back-upmogelijkheid van service

Beschrijving: De service ondersteunt zijn eigen systeemeigen back-upmogelijkheid (als deze geen Azure Backup gebruikt). Meer informatie.

Ondersteund Standaard ingeschakeld Configuratieverantwoordelijkheid
Onwaar Niet van toepassing Niet van toepassing

Configuratierichtlijnen: deze functie wordt niet ondersteund om deze service te beveiligen.

Volgende stappen