Especificar os requisitos de segurança para cargas de trabalho da Web
Esta unidade resume a linha de base de segurança do Azure para o Serviço de Aplicativo para ajudar você a criar especificações de requisitos para cargas de trabalho da Web.
Veja Introdução à Arquitetura de Referência de Segurança Cibernética da Microsoft e ao parâmetro de comparação de segurança de nuvem para obter mais informações sobre o Parâmetro de Comparação de Segurança de nuvem da Microsoft.
Na tabela abaixo, incluímos controles da linha de base completa em que:
- Os controles de segurança eram compatíveis, mas não estavam habilitados por padrão
- Havia diretrizes explícitas que continham as ações a serem tomadas por parte do cliente
| Área | Control | Recurso | Resumo das diretrizes |
|---|---|---|---|
| Segurança de rede | NS-1: estabelecer limites de segmentação de rede | Integração de rede virtual | Verifique se há um IP estável para comunicações de saída para os endereços da Internet: você pode fornecer um IP de saída estável usando o recurso de integração de Rede Virtual. Isso permite que a parte receptora faça a inclusão na lista de permitidos com base no IP, se necessário. |
| NS-2: proteger serviços de nuvem com controles de rede | Link Privado do Azure | Use pontos de extremidade privados para os Aplicativos Web do Azure para permitir que clientes localizados na sua rede privada acessem o aplicativo com segurança pelo Link Privado. O ponto de extremidade privado usa um endereço IP do espaço de endereço da VNet do Azure. | |
| NS-2: proteger serviços de nuvem com controles de rede | Desabilitar o acesso à rede pública | Desabilite o Acesso à Rede Pública usando regras de filtragem de ACL de IPs no nível de serviço ou pontos de extremidade privados, ou definindo a propriedade publicNetworkAccess como desabilitada no Azure Resource Manager. | |
| NS-5: Implantar a proteção contra DDoS | Habilite a Proteção contra DDoS na rede virtual que hospeda o Firewall de Aplicativo Web do seu Serviço de Aplicativo. O Azure fornece proteção da infraestrutura contra DDoS (Básica) em sua rede. Para obter recursos de DDoS inteligentes aprimorados, habilite a Proteção contra DDoS do Azure, que aprende os padrões de tráfego normais e pode detectar comportamentos incomuns. A Proteção contra DDoS do Azure atua em dois níveis: Proteção de Rede e Proteção de IP. | ||
| NS-6: implantar firewall do aplicativo Web | Evite que o WAF seja ignorado pelos aplicativos. Certifique-se de que o WAF não possa ser ignorado bloqueando o acesso somente ao WAF. Use uma combinação de Restrições de Acesso, Pontos de Extremidade de Serviço e Pontos de Extremidade Privados. | ||
| Gerenciamento de identidades | IM-1: usar um sistema centralizado de identidade e autenticação | A autenticação do Microsoft Entra é necessária para acesso ao plano de dados | Para aplicativos Web autenticados, use apenas provedores de identidade estabelecidos e conhecidos para autenticar e autorizar o acesso do usuário. |
| Métodos de autenticação local para acesso ao plano de dados | Restrinja o uso de métodos de autenticação local para acesso ao plano de dados. Em vez disso, use o Microsoft Entra ID como o método de autenticação padrão para controlar o acesso ao plano de dados. | ||
| IM-3: gerenciar identidades de aplicativos de maneira segura e automática | Identidades Gerenciadas | Use identidades gerenciadas do Azure em vez de entidades de serviço quando possível, que podem se autenticar nos serviços e recursos do Azure que dão suporte à autenticação do Microsoft Entra. As credenciais de identidades gerenciadas são completamente gerenciadas, giradas e protegidas pela plataforma, evitando credenciais codificadas no código-fonte ou arquivos de configuração. | |
| IM-7: restringir o acesso aos recursos com base nas condições | Acesso condicional para o plano de dados | Defina as condições e os critérios aplicáveis para o Acesso Condicional do Microsoft Entra na carga de trabalho. | |
| IM-8: restringir a exposição de credenciais e segredos | Armazenamento e integração de suporte a segredos e credenciais de serviço no Azure Key Vault | Certifique-se de que os segredos e as credenciais estejam armazenados em locais seguros, como o Azure Key Vault, em vez de inseri-los no código ou nos arquivos de configuração. Use uma identidade gerenciada no aplicativo para acessar credenciais ou segredos armazenados no Key Vault de maneira segura. | |
| Acesso privilegiado | PA-8: determinar o processo de acesso para suporte ao provedor de nuvem | Sistema de Proteção de Dados do Cliente | Em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Sistema de Proteção de Dados do Cliente para revisar e aprovar ou rejeitar cada solicitação de acesso a dados da Microsoft. |
| Proteção de dados | DP-3: criptografar dados confidenciais ativos | Criptografia de dados em trânsito | Use e imponha a versão mínima padrão do TLS v1.2, definida nas configurações de TLS/SSL, para criptografar todas as informações em trânsito. Além disso, certifique-se de que todas as solicitações de conexão HTTP sejam redirecionadas para HTTPS. |
| DP-5: usar a opção de chave gerenciada pelo cliente na criptografia de dados inativos quando necessário | Criptografia de dados inativos usando a CMK | Se necessário para conformidade regulatória, defina o caso de uso e o escopo do serviço em que a criptografia que usa chaves gerenciadas pelo cliente é necessária. Habilite e implemente a criptografia de dados inativos usando a chave gerenciada pelo cliente para esses serviços. | |
| DP-6: usar um processo de gerenciamento de chaves seguro | Gerenciamento de chaves no Azure Key Vault | Use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo a geração, a distribuição e o armazenamento de chaves. Gire e revogue as chaves no Azure Key Vault e em seu serviço com base em um agendamento definido e quando houver uma desativação ou um comprometimento de chave. | |
| DP-7: usar um processo seguro de gerenciamento de certificados | Gerenciamento de certificados no Azure Key Vault | O Serviço de Aplicativo pode ser configurado com SSL/TLS e outros certificados, que podem ser configurados diretamente no Serviço de Aplicativo ou referenciados do Key Vault. Para garantir o gerenciamento central de todos os certificados e segredos, armazene todos os certificados usados pelo Serviço de Aplicativo no Key Vault em vez de implantá-los localmente no Serviço de Aplicativo diretamente. | |
| Gerenciamento de ativos | AM-2: usar apenas serviços aprovados | ||
| AM-4: limitar o acesso ao gerenciamento de ativos | Isole sistemas que processam informações confidenciais. Para fazer isso, use Planos do Serviço de Aplicativo ou Ambientes do Serviço de Aplicativo separados e considere o uso de assinaturas ou grupos de gerenciamento diferentes. | ||
| Registro em log e detecção de ameaças | LT-1: habilitar funcionalidades de detecção de ameaças | Microsoft Defender para oferta de serviço/produto | Use o Microsoft Defender para Serviço de Aplicativo para identificar ataques que visam aplicativos em execução no Serviço de Aplicativo. |
| LT-4: habilitar o registro em log para investigação de segurança | Azure Resource Logs | Habilite os logs de recursos para seus aplicativos Web no Serviço de Aplicativo. | |
| Gerenciamento de vulnerabilidades e postura | PV-2: auditar e impor configurações seguras | Desative a depuração remota, a depuração remota não pode estar ativada para cargas de trabalho de produção, pois isso abre mais portas no serviço, o que aumenta a superfície de ataque. | |
| PV-7: conduzir operações regulares de equipe vermelha | Realize um teste de penetração regular em seus aplicativos Web seguindo as regras de teste de penetração de envolvimento. | ||
| Backup e recuperação | BR-1: garantir backups automatizados regulares | Serviço de Backup do Azure | Sempre que possível, implemente o design de aplicativos sem estado para simplificar cenários de recuperação e backup com o Serviço de Aplicativo. Se você realmente precisar manter um aplicativo com estado, habilite o recurso de Backup e Restauração no Serviço de Aplicativo, o que permite criar facilmente backups de aplicativo, seja manualmente ou segundo um agendamento. |
| Segurança de DevOps | DS-6: Impor a segurança da carga de trabalho durante todo o ciclo de vida de DevOps | Implante código no Serviço de Aplicativo de um ambiente controlado e confiável, como um pipeline de implantação de DevOps bem gerenciado e seguro. Isso evita que código sem controle de versão e não verificado seja implantado por um host mal-intencionado. |