Определение требований к безопасности для рабочих нагрузок веб-приложений
В этом уроке приведены базовые показатели безопасности Azure для Служба приложений, которые помогут вам создать новые спецификации требований для веб-рабочих нагрузок.
Дополнительные сведения о Microsoft Cloud Security Benchmark см . в статье "Общие сведения о эталонной архитектуре кибербезопасности Майкрософт" и эталоне облачной безопасности.
В таблице ниже мы включили элементы управления из полного базового плана, где:
- Элементы управления безопасностью поддерживаются, но не включены по умолчанию
- Было явное руководство, содержащее действия, которые необходимо предпринять от части клиента.
| Площадь | Элемент управления | Функция | Краткое содержание руководства |
|---|---|---|---|
| Безопасность сети | NS-1: установка границы сегментации сети | Интеграция с виртуальной сетью | Убедитесь, что стабильный IP-адрес для исходящего трафика по интернет-адресам: вы можете предоставить стабильный исходящий IP-адрес с помощью функции интеграции виртуальная сеть. При необходимости получатель может разрешить список разрешений на основе IP-адреса. |
| NS-2: защита облачных служб с помощью элементов управления сетью | Приватный канал Azure | Используйте частные конечные точки для Azure веб-приложения, чтобы разрешить клиентам, расположенным в частной сети, безопасно обращаться к приложениям через Приватный канал. Частная конечная точка использует IP-адрес из адресного пространства Azure VNet. | |
| NS-2: защита облачных служб с помощью элементов управления сетью | Отключение доступа к общедоступной сети | Отключите общедоступный сетевой доступ с помощью правил фильтрации IP-адресов уровня обслуживания или частных конечных точек или присвоив свойству publicNetworkAccess значение "Отключено" в Azure Resource Manager. | |
| NS-5. Развертывание защиты от атак DDoS | Включите защиту от атак DDoS в виртуальной сети, в которую размещается Брандмауэр веб-приложений Служба приложений. Azure обеспечивает защиту инфраструктуры DDoS (базовый) в сети. Для улучшения интеллектуальных возможностей DDoS включите защиту от атак DDoS Azure, которая узнает о нормальных шаблонах трафика и может обнаружить необычное поведение. Защита от атак DDoS Azure имеет два уровня; Защита сети и защита IP-адресов. | ||
| NS-6: развертывание брандмауэра веб-приложения | Избегайте обхода WAF для приложений. Убедитесь, что WAF нельзя обойти, заблокируя доступ только к WAF. Используйте сочетание ограничений доступа, конечных точек службы и частных конечных точек. | ||
| Управление удостоверениями | IM-1: Использование централизованной системы удостоверений и проверки подлинности | Проверка подлинности Microsoft Entra, необходимая для доступа к плоскости данных | Для веб-приложений, прошедших проверку подлинности, используйте только известные поставщики удостоверений для проверки подлинности и авторизации доступа пользователей. |
| Методы локальной проверки подлинности для доступа к плоскости данных | Ограничение использования локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте идентификатор Microsoft Entra в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных. | ||
| IM-3: Безопасное и автоматическое управление удостоверениями приложений | управляемые удостоверения. | Используйте управляемые удостоверения Azure вместо субъектов-служб, когда это возможно, что может пройти проверку подлинности в службах и ресурсах Azure, поддерживающих проверку подлинности Microsoft Entra. За администрирование, смену и защиту учетных данных управляемых удостоверений полностью отвечает платформа. Это позволяет избежать прямого указания учетных данных в файлах исходного кода или в файлах конфигурации. | |
| IM-7: Ограничение доступа к ресурсам на основе условий | Условный доступ для плоскости данных | Определите применимые условия и критерии условного доступа Microsoft Entra в рабочей нагрузке. | |
| IM-8: ограничение раскрытия учетных данных и секретов | Интеграция и хранение учетных данных службы и секретов в Azure Key Vault | Убедитесь, что секреты и учетные данные приложения хранятся в безопасных расположениях, таких как Azure Key Vault, а не внедряются в файлы кода или конфигурации. Используйте управляемое удостоверение в приложении, чтобы затем получить доступ к учетным данным или секретам, хранящимся в Key Vault в безопасном режиме. | |
| Привилегированный доступ | PA-8. Определение процесса доступа для поддержки поставщика облачных служб | Защищенное хранилище | В сценариях поддержки, когда корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт. |
| Защита данных | DP-3: шифрование передаваемых конфиденциальных данных | Данные в транзитном шифровании | Используйте и примените минимальную версию TLS версии 1.2 по умолчанию, настроенную в параметрах TLS/SSL, для шифрования всех данных во время передачи. Также убедитесь, что все HTTP-запросы на подключение перенаправляются на HTTPS. |
| DP-5: использование ключа, управляемого клиентом, для шифрования неактивных данных при необходимости | Шифрование неактивных данных с помощью CMK | При необходимости для соответствия нормативным требованиям определите вариант использования и область службы, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб. | |
| DP-6: безопасное управление ключами | Управление ключами в Azure Key Vault | Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранилище. Смена и отмена ключей в Azure Key Vault и вашей службе на основе определенного расписания или при выходе из эксплуатации или компрометации ключей. | |
| DP-7: безопасное управление сертификатами | Управление сертификатами в Azure Key Vault | Служба приложений можно настроить с помощью SSL/TLS и других сертификатов, которые можно настроить непосредственно на Служба приложений или ссылаться в Key Vault. Чтобы обеспечить централизованное управление всеми сертификатами и секретами, сохраните все сертификаты, используемые Служба приложений в Key Vault, а не развертывайте их локально на Служба приложений напрямую. | |
| Управление активами | AM-2: использование только утвержденных служб | ||
| AM-4: ограничение доступа к управлению ресурсами | Изоляция систем, обрабатывающих конфиденциальную информацию. Для этого используйте отдельные Служба приложений планы или Среда службы приложений и рассмотрите возможность использования различных подписок или групп управления. | ||
| Ведение журнала и обнаружение угроз | LT-1. Включение возможностей обнаружения угроз | Microsoft Defender для службы или предложения продуктов | Используйте Microsoft Defender для Служба приложений для выявления атак, предназначенных для приложений, работающих по Служба приложений. |
| LT-4. Включение ведения журнала для исследования безопасности | Журналы ресурсов Azure | Включите журналы ресурсов для веб-приложений в Служба приложений. | |
| Управление состоянием безопасности и уязвимостями | PV-2: проведение аудита и реализация конфигураций безопасности | Отключение удаленной отладки, удаленная отладка не должна быть включена для рабочих нагрузок, так как это открывает больше портов в службе, что увеличивает область атаки. | |
| PV-7: проведение регулярных проверок уязвимостей извне | Проводите регулярный тест на проникновение в веб-приложения после правил тестирования на проникновение. | ||
| Резервное копирование и восстановление | BR-1. Обеспечение регулярного автоматического резервного копирования | Azure Backup | По возможности реализуйте проект приложения без отслеживания состояния, чтобы упростить сценарии восстановления и резервного копирования с помощью Служба приложений. Если вам действительно нужно поддерживать приложение с отслеживанием состояния, включите функцию резервного копирования и восстановления в Служба приложений, что позволяет легко создавать резервные копии приложений вручную или по расписанию. |
| Безопасность DevOps | DS-6. Обеспечение безопасности рабочей нагрузки в течение всего жизненного цикла DevOps | Разверните код для Служба приложений из управляемой и доверенной среды, например хорошо управляемого и защищенного конвейера развертывания DevOps. Это позволяет избежать использования кода, который не был контролируемым версией и проверен для развертывания с вредоносного узла. |