Beveiligingsvereisten opgeven voor webworkloads
Deze les bevat een overzicht van de Azure-beveiligingsbasislijn voor App Service om u te helpen bij het maken van nieuwe vereistenspecificaties voor webworkloads.
Raadpleeg de inleiding tot microsoft Cybersecurity Reference Architecture en cloud security benchmark voor meer achtergrondinformatie over Microsoft Cloud Security Benchmark.
In de onderstaande tabel hebben we besturingselementen van de volledige basislijn opgenomen, waarbij:
- Beveiligingscontroles zijn ondersteund , maar niet standaard ingeschakeld
- Er waren expliciete richtlijnen die actie bevatten die moet worden ondernomen ten behoeve van de klant
| Gebied | Control | Functie | Overzicht van richtlijnen |
|---|---|---|---|
| Netwerkbeveiliging | NS-1: netwerksegmentatiegrenzen vaststellen | Integratie van virtueel netwerk | Zorg voor een stabiel IP-adres voor uitgaande communicatie naar internetadressen: u kunt een stabiel uitgaand IP-adres opgeven met behulp van de functie Virtual Network-integratie. Hierdoor kan de ontvangende partij de acceptatielijst indien nodig toestaan op basis van IP. |
| NS-2: Cloudservices beveiligen met netwerkbesturingselementen | Azure Private Link | Gebruik privé-eindpunten voor uw Azure Web Apps om clients die zich in uw privénetwerk bevinden, veilig toegang te geven tot de apps via Private Link. Het privé-eindpunt gebruikt een IP-adres uit uw Azure VNet-adresruimte. | |
| NS-2: Cloudservices beveiligen met netwerkbesturingselementen | Openbare netwerktoegang uitschakelen | Schakel openbare netwerktoegang uit met behulp van IP-ACL-filterregels of privé-eindpunten op serviceniveau of door de eigenschap publicNetworkAccess in te stellen op Uitgeschakeld in Azure Resource Manager. | |
| NS-5: DDoS-beveiliging implementeren | Schakel DDoS-beveiliging in op het virtuele netwerk dat als host fungeert voor de Web Application Firewall van uw App Service. Azure biedt DDoS-infrastructuurbeveiliging (Basic) op het netwerk. Voor verbeterde intelligente DDoS-mogelijkheden schakelt u Azure DDoS Protection in die meer te weten komt over normale verkeerspatronen en ongebruikelijk gedrag kan detecteren. Azure DDoS Protection heeft twee lagen; Netwerkbeveiliging en IP-beveiliging. | ||
| NS-6: Web Application Firewall implementeren | Voorkom dat WAF wordt omzeild voor uw toepassingen. Zorg ervoor dat de WAF niet kan worden overgeslagen door alleen toegang tot de WAF te vergrendelen. Gebruik een combinatie van toegangsbeperkingen, service-eindpunten en privé-eindpunten. | ||
| Identiteitsbeheer | IM-1: Gecentraliseerd identiteits- en verificatiesysteem gebruiken | Microsoft Entra-verificatie vereist voor Data Plane Access | Gebruik voor geverifieerde webtoepassingen alleen bekende gevestigde id-providers om gebruikerstoegang te verifiëren en te autoriseren. |
| Lokale verificatiemethoden voor gegevensvlaktoegang | Beperk het gebruik van lokale verificatiemethoden voor toegang tot gegevensvlakken. Gebruik in plaats daarvan Microsoft Entra ID als de standaardverificatiemethode om de toegang tot uw gegevensvlak te beheren. | ||
| IM-3: Toepassingsidentiteiten veilig en automatisch beheren | Beheerde identiteiten | Gebruik indien mogelijk beheerde Azure-identiteiten in plaats van service-principals, die kunnen worden geverifieerd bij Azure-services en -resources die ondersteuning bieden voor Microsoft Entra-verificatie. Referenties voor beheerde identiteiten worden volledig beheerd, gedraaid en beveiligd door het platform, waardoor in code vastgelegde referenties in broncode- of configuratiebestanden worden vermeden. | |
| IM-7: Toegang tot resources beperken op basis van voorwaarden | Voorwaardelijke toegang voor gegevensvlak | Definieer de toepasselijke voorwaarden en criteria voor voorwaardelijke toegang van Microsoft Entra in de workload. | |
| IM-8: De blootstelling van referenties en geheimen beperken | Integratie en opslag van servicereferenties en geheimen in Azure Key Vault | Zorg ervoor dat app-geheimen en -referenties worden opgeslagen op veilige locaties, zoals Azure Key Vault, in plaats van ze in te sluiten in code- of configuratiebestanden. Gebruik een beheerde identiteit in uw app om vervolgens op een veilige manier toegang te krijgen tot referenties of geheimen die zijn opgeslagen in Key Vault. | |
| Bevoegde toegang | PA-8: Toegangsproces bepalen voor cloudproviderondersteuning | Klanten-lockbox | In ondersteuningsscenario's waarin Microsoft toegang nodig heeft tot uw gegevens, gebruikt u Customer Lockbox om elk van de aanvragen voor gegevenstoegang van Microsoft te beoordelen of af te keuren. |
| Gegevensbescherming | DP-3: Gevoelige gegevens versleutelen tijdens overdracht | Gegevens in transitversleuteling | Gebruik en dwing de standaard minimumversie van TLS v1.2, geconfigureerd in TLS/SSL-instellingen, af voor het versleutelen van alle informatie tijdens overdracht. Zorg er ook voor dat alle HTTP-verbindingsaanvragen worden omgeleid naar HTTPS. |
| DP-5: De door de klant beheerde sleuteloptie gebruiken in data-at-rest-versleuteling wanneer dat nodig is | Data-at-rest-versleuteling met CMK | Definieer indien nodig voor naleving van regelgeving de use case en het servicebereik waarbij versleuteling met door de klant beheerde sleutels nodig zijn. Gegevens-at-rest-versleuteling inschakelen en implementeren met behulp van door de klant beheerde sleutel voor deze services. | |
| DP-6: Een beveiligd sleutelbeheerproces gebruiken | Sleutelbeheer in Azure Key Vault | Gebruik Azure Key Vault om de levenscyclus van uw versleutelingssleutels te maken en te beheren, waaronder sleutelgeneratie, distributie en opslag. Draai en trek uw sleutels in Azure Key Vault en uw service in op basis van een gedefinieerd schema of wanneer er een sleutel buiten gebruik wordt gesteld of gecompromitteerd. | |
| DP-7: Een beveiligd certificaatbeheerproces gebruiken | Certificaatbeheer in Azure Key Vault | App Service kan worden geconfigureerd met SSL/TLS en andere certificaten, die rechtstreeks in App Service kunnen worden geconfigureerd of waarnaar vanuit Key Vault wordt verwezen. Als u het centrale beheer van alle certificaten en geheimen wilt garanderen, slaat u alle certificaten op die door App Service in Key Vault worden gebruikt in plaats van ze rechtstreeks in App Service te implementeren. | |
| Asset-management | AM-2: Alleen goedgekeurde services gebruiken | ||
| AM-4: Toegang tot assetbeheer beperken | Systemen isoleren die gevoelige informatie verwerken. Gebruik hiervoor afzonderlijke App Service-plannen of App Service-omgevingen en overweeg het gebruik van verschillende abonnementen of beheergroepen. | ||
| Logboekregistratie en bedreidingsdetectie | LT-1: Mogelijkheden voor detectie van bedreigingen inschakelen | Microsoft Defender voor service/productaanbiedingen | Gebruik Microsoft Defender voor App Service om aanvallen te identificeren die gericht zijn op toepassingen die worden uitgevoerd via App Service. |
| LT-4: Logboekregistratie inschakelen voor beveiligingsonderzoek | Azure-resourcelogboeken | Schakel resourcelogboeken in voor uw web-apps in App Service. | |
| Postuur en beheer van beveiligingsproblemen | PV-2: Veilige configuraties controleren en afdwingen | Schakel externe foutopsporing uit, externe foutopsporing mag niet worden ingeschakeld voor productieworkloads, omdat hiermee meer poorten in de service worden geopend, waardoor de kwetsbaarheid voor aanvallen toeneemt. | |
| PV-7: Regelmatige rode teamactiviteiten uitvoeren | Voer regelmatig penetratietests uit op uw webtoepassingen na de penetratietestregels van betrokkenheid. | ||
| Back-up en herstel | BR-1: Regelmatige geautomatiseerde back-ups garanderen | Azure Backup | Implementeer waar mogelijk staatloos toepassingsontwerp om herstel- en back-upscenario's met App Service te vereenvoudigen. Als u echt een stateful toepassing moet onderhouden, schakelt u de functie Back-up en herstel in App Service in, waarmee u eenvoudig handmatig of volgens een planning app-back-ups kunt maken. |
| DevOps-beveiliging | DS-6: Beveiliging van workload afdwingen gedurende de devOps-levenscyclus | Code implementeren in App Service vanuit een gecontroleerde en vertrouwde omgeving, zoals een goed beheerde en beveiligde DevOps-implementatiepijplijn. Dit voorkomt dat code die niet is beheerd door een versie en die is geverifieerd om te worden geïmplementeerd vanaf een schadelijke host. |