Azures säkerhetsbaslinje för App Service
Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft cloud security benchmark version 1.0 på App Service. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts molnsäkerhetsmått och den relaterade vägledning som gäller för App Service.
Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.
När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts prestandamått för molnsäkerhet och rekommendationer. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.
Anteckning
Funktioner som inte gäller för App Service har exkluderats. Om du vill se hur App Service helt mappar till Microsofts molnsäkerhetsmått kan du läsa den fullständiga mappningsfilen för App Service säkerhetsbaslinje.
Säkerhetsprofil
Säkerhetsprofilen sammanfattar beteendet med hög påverkan på App Service, vilket kan leda till ökade säkerhetsöverväganden.
| Attribut för tjänstbeteende | Värde |
|---|---|
| Produktkategori | Compute, Web |
| Kunden kan komma åt HOST/OS | Ingen åtkomst |
| Tjänsten kan distribueras till kundens virtuella nätverk | Sant |
| Lagrar kundinnehåll i vila | Sant |
Nätverkssäkerhet
Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.
NS-1: Upprätta gränser för nätverkssegmentering
Funktioner
Integrering med virtuellt nätverk
Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Virtual Network Integrering konfigureras som standard när du använder App Service-miljöer, men måste konfigureras manuellt när du använder det offentliga erbjudandet för flera innehavare.
Konfigurationsvägledning: Se till att det finns en stabil IP-adress för utgående kommunikation mot Internetadresser: Du kan tillhandahålla en stabil utgående IP-adress med hjälp av Virtual Network integrationsfunktionen. Detta gör att den mottagande parten kan tillåta lista baserat på IP, om det behövs.
När du använder App Service på prisnivån Isolerad, även kallad en App Service-miljön (ASE), kan du distribuera direkt till ett undernät i din Azure-Virtual Network. Använd nätverkssäkerhetsgrupper för att skydda din Azure App Service-miljö genom att blockera inkommande och utgående trafik till resurser i ditt virtuella nätverk eller för att begränsa åtkomsten till appar i en App Service-miljön.
I App Service för flera klientorganisationer (en app som inte är på isolerad nivå) gör du det möjligt för dina appar att komma åt resurser i eller via en Virtual Network med Virtual Network Integration-funktionen. Du kan sedan använda nätverkssäkerhetsgrupper för att styra utgående trafik från din app. När du använder Virtual Network Integration kan du aktivera konfigurationen "Dirigera alla" så att all utgående trafik omfattas av nätverkssäkerhetsgrupper och användardefinierade vägar i integrationsundernätet. Den här funktionen kan också användas för att blockera utgående trafik till offentliga adresser från appen. Virtual Network Integration kan inte användas för att ge inkommande åtkomst till en app.
För kommunikation med Azure Services behöver du ofta inte vara beroende av IP-adressen och mekanik som tjänstslutpunkter bör användas i stället.
Obs! För App Service miljöer innehåller nätverkssäkerhetsgrupper som standard en implicit neka-regel med lägst prioritet och kräver att du lägger till explicita tillåtna regler. Lägg till tillåtna regler för din nätverkssäkerhetsgrupp baserat på en metod för minst privilegierat nätverk. De underliggande virtuella datorerna som används som värd för App Service-miljön är inte direkt tillgängliga eftersom de finns i en Microsoft-hanterad prenumeration.
När du använder Virtual Network integreringsfunktionen med virtuella nätverk i samma region använder du nätverkssäkerhetsgrupper och routningstabeller med användardefinierade vägar. Användardefinierade vägar kan placeras i integrationsundernätet för att skicka utgående trafik som avsett.
Referens: Integrera din app med ett virtuellt Azure-nätverk
Stöd för nätverkssäkerhetsgrupp
Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Stöd för nätverkssäkerhetsgrupp är tillgängligt för alla kunder som använder App Service-miljöer men är endast tillgängligt i VNet-integrerade appar för kunder som använder det offentliga erbjudandet för flera innehavare.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
Referens: App Service-miljön nätverk
NS-2: Skydda molntjänster med nätverkskontroller
Funktioner
Azure Private Link
Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (får inte förväxlas med NSG eller Azure Firewall). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd privata slutpunkter för din Azure-Web Apps för att tillåta klienter som finns i ditt privata nätverk att få säker åtkomst till apparna över Private Link. Den privata slutpunkten använder en IP-adress från ditt Azure VNet-adressutrymme. Nätverkstrafik mellan en klient i ditt privata nätverk och webbappen passerar över det virtuella nätverket och en Private Link i Microsofts stamnätverk, vilket eliminerar exponering från det offentliga Internet.
Obs! Privat slutpunkt används endast för inkommande flöden till din webbapp. Utgående flöden använder inte den här privata slutpunkten. Du kan mata in utgående flöden i nätverket i ett annat undernät via VNet-integreringsfunktionen. Användningen av privata slutpunkter för tjänster i den mottagande änden av App Service trafik undviker att SNAT inträffar och ger ett stabilt utgående IP-intervall.
Ytterligare vägledning: Om du kör containrar på App Service som lagras i Azure Container Registry (ACR) kontrollerar du att avbildningarna hämtas över ett privat nätverk. Gör detta genom att konfigurera en privat slutpunkt på ACR:en och lagra avbildningarna tillsammans med att ange programinställningen "WEBSITE_PULL_IMAGE_OVER_VNET" i webbprogrammet.
Referens: Använda privata slutpunkter för Azure Web App
Inaktivera åtkomst till offentligt nätverk
Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentliga nätverk antingen med hjälp av ip-ACL-filtreringsregel på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Inaktivera åtkomst till offentligt nätverk med hjälp av ip-ACL-filtreringsregler på tjänstnivå eller privata slutpunkter eller genom att ange publicNetworkAccess egenskapen till inaktiverad i ARM.
Referens: Konfigurera åtkomstbegränsningar för Azure App Service
NS-5: Distribuera DDOS-skydd
Annan vägledning för NS-5
Aktivera DDOS Protection Standard på det virtuella nätverk som är värd för App Service:s Web Application Firewall. Azure tillhandahåller grundläggande DDoS-skydd i nätverket, vilket kan förbättras med intelligenta DDoS Standard-funktioner som lär sig mer om normala trafikmönster och kan identifiera ovanligt beteende. DDoS Standard gäller för en Virtual Network så den måste konfigureras för nätverksresursen framför appen, till exempel Application Gateway eller en NVA.
NS-6: Distribuera brandvägg för webbaserade program
Annan vägledning för NS-6
Undvik att WAF kringgås för dina program. Kontrollera att WAF inte kan kringgås genom att endast låsa åtkomsten till WAF. Använd en kombination av åtkomstbegränsningar, tjänstslutpunkter och privata slutpunkter.
Dessutom kan du skydda en App Service-miljön genom att dirigera trafik via en Web Application Firewall (WAF) aktiverad Azure Application Gateway eller Azure Front Door.
För erbjudandet för flera klientorganisationer skyddar du inkommande trafik till din app med:
- Åtkomstbegränsningar: en serie regler för att tillåta eller neka som styr inkommande åtkomst
- Tjänstslutpunkter: kan neka inkommande trafik utanför angivna virtuella nätverk eller undernät
- Privata slutpunkter: Exponera din app för din Virtual Network med en privat IP-adress. När de privata slutpunkterna är aktiverade i din app är den inte längre tillgänglig via Internet
Överväg att implementera en Azure Firewall för att centralt skapa, framtvinga och logga principer för program- och nätverksanslutningar i dina prenumerationer och virtuella nätverk. Azure Firewall använder en statisk offentlig IP-adress för virtuella nätverksresurser, vilket gör att brandväggar utanför kan identifiera trafik som kommer från ditt virtuella nätverk.
Identitetshantering
Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.
IM-1: Använd centraliserat identitets- och autentiseringssystem
Funktioner
Azure AD autentisering krävs för dataplansåtkomst
Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: För autentiserade webbprogram använder du endast välkända etablerade identitetsprovidrar för att autentisera och auktorisera användaråtkomst. Om din app endast ska kunna nås av användare i din egen organisation, eller om alla användare använder Azure Active Directory (Azure AD), konfigurerar du Azure AD som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: Autentisering och auktorisering i Azure App Service och Azure Functions
Lokala autentiseringsmetoder för dataplansåtkomst
Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Funktionsanteckningar: Undvik användning av lokala autentiseringsmetoder eller konton. Dessa bör inaktiveras när det är möjligt. Använd i stället Azure AD för att autentisera där det är möjligt.
Konfigurationsvägledning: Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst. Använd i stället Azure Active Directory (Azure AD) som standardautentiseringsmetod för att styra åtkomsten till dataplanet.
Referens: Autentisering och auktorisering i Azure App Service och Azure Functions
IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt
Funktioner
Hanterade identiteter
Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd hanterade Azure-identiteter i stället för tjänstens huvudnamn när det är möjligt, som kan autentisera mot Azure-tjänster och resurser som stöder Azure Active Directory-autentisering (Azure AD). Autentiseringsuppgifterna för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler.
Ett vanligt scenario för att använda en hanterad identitet med App Service är att komma åt andra Azure PaaS-tjänster som Azure SQL Database, Azure Storage eller Key Vault.
Referens: Använda hanterade identiteter för App Service och Azure Functions
Tjänstens huvudnamn
Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Ytterligare vägledning: Även om tjänstens huvudnamn stöds av tjänsten som ett mönster för autentisering rekommenderar vi att du använder hanterade identiteter där det är möjligt i stället.
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Web:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service appar ska använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor
Funktioner
Villkorsstyrd åtkomst för dataplan
Beskrivning: Dataplansåtkomst kan styras med hjälp av Azure AD principer för villkorsstyrd åtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Definiera tillämpliga villkor och kriterier för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) i arbetsbelastningen. Överväg vanliga användningsfall som att blockera eller bevilja åtkomst från specifika platser, blockera riskfyllt inloggningsbeteende eller kräva organisationshanterade enheter för specifika program.
IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter
Funktioner
Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault
Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Se till att apphemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler. Använd en hanterad identitet i din app för att sedan komma åt autentiseringsuppgifter eller hemligheter som lagras i Key Vault på ett säkert sätt.
Referens: Använd Key Vault referenser för App Service och Azure Functions
Privilegierad åtkomst
Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.
PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)
Funktioner
Azure RBAC för dataplan
Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
PA-8: Fastställa åtkomstprocess för molnleverantörssupport
Funktioner
Customer Lockbox
Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.
Dataskydd
Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.
DP-1: Identifiera, klassificera och märka känsliga data
Funktioner
Identifiering och klassificering av känsliga data
Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för identifiering och klassificering av data i tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Implementera Skanner för autentiseringsuppgifter i bygg-pipelinen för att identifiera autentiseringsuppgifter i koden. Credential Scanner uppmanar också till att flytta identifierade autentiseringsuppgifter till en säkrare plats som Azure Key Vault.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-2: Övervaka avvikelser och hot mot känsliga data
Funktioner
Dataläckage/förlustskydd
Beskrivning: Tjänsten stöder DLP-lösning för att övervaka känslig dataflytt (i kundens innehåll). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Funktionsanteckningar: Även om funktioner för dataidentifiering, klassificering och förlustskydd ännu inte är tillgängliga för App Service kan du minska risken för dataexfiltrering från det virtuella nätverket genom att ta bort alla regler där målet använder en "tagg" för Internet- eller Azure-tjänster.
Microsoft hanterar den underliggande infrastrukturen för App Service och har implementerat strikta kontroller för att förhindra förlust eller exponering av dina data.
Använd taggar för att spåra App Service resurser som lagrar eller bearbetar känslig information.
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DP-3: Kryptera känsliga data under överföring
Funktioner
Data under överföringskryptering
Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd och framtvinga den lägsta standardversionen av TLS v1.2, konfigurerad i TLS/SSL-inställningar, för kryptering av all information under överföring. Kontrollera också att alla HTTP-anslutningsbegäranden omdirigeras till HTTPS.
Referens: Lägga till ett TLS/SSL-certifikat i Azure App Service
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Web:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| App Service appar ska endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, neka | 4.0.0 |
DP-4: Aktivera vilande datakryptering som standard
Funktioner
Kryptering av vilande data med plattformsnycklar
Beskrivning: Kryptering av vilande data med plattformsnycklar stöds. Allt kundinnehåll i vila krypteras med dessa Microsoft-hanterade nycklar. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Sant | Microsoft |
Funktionsanteckningar: Webbplatsinnehåll i en App Service app, till exempel filer, lagras i Azure Storage, som automatiskt krypterar innehållet i vila. Välj att lagra programhemligheter i Key Vault och hämta dem vid körning.
Kunddefinierade hemligheter krypteras i vila när de lagras i App Service konfigurationsdatabaser.
Observera att även om lokalt anslutna diskar kan användas av webbplatser som tillfällig lagring (till exempel D:\local och %TMP%), krypteras de bara i vila i den offentliga App Service för flera klientorganisationer där Pv3-SKU:n kan användas. För äldre offentliga skalningsenheter för flera klientorganisationer där Pv3-SKU:n inte är tillgänglig måste kunden skapa en ny resursgrupp och distribuera om sina resurser där.
Dessutom har kunden möjlighet att köra sitt program i App Service direkt från ett ZIP-paket. Mer information finns i: Kör din app i Azure App Service direkt från ett ZIP-paket.
Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.
DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov
Funktioner
Vilande datakryptering med cmk
Beskrivning: Kryptering i vila med kundhanterade nycklar stöds för kundinnehåll som lagras av tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfånget där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster.
Obs! Webbplatsinnehåll i en App Service app, till exempel filer, lagras i Azure Storage, som automatiskt krypterar innehållet i vila. Välj att lagra programhemligheter i Key Vault och hämta dem vid körning.
Kunddefinierade hemligheter krypteras i vila när de lagras i App Service konfigurationsdatabaser.
Observera att även om lokalt anslutna diskar kan användas av webbplatser som tillfällig lagring (till exempel D:\local och %TMP%), krypteras de inte i vila.
Referens: Kryptering i vila med kundhanterade nycklar
DP-6: Använd en säker nyckelhanteringsprocess
Funktioner
Nyckelhantering i Azure Key Vault
Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för kundnycklar, hemligheter eller certifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när en nyckel dras tillbaka eller komprometteras. När du behöver använda kundhanterad nyckel (CMK) på arbetsbelastnings-, tjänst- eller programnivå ska du se till att du följer metodtipsen för nyckelhantering: Använd en nyckelhierarki för att generera en separat datakrypteringsnyckel (DEK) med nyckelkrypteringsnyckeln (KEK) i nyckelvalvet. Se till att nycklar registreras med Azure Key Vault och refereras via nyckel-ID:t från tjänsten eller programmet. Om du behöver ta med din egen nyckel (BYOK) till tjänsten (till exempel importera HSM-skyddade nycklar från dina lokala HSM:er till Azure Key Vault) följer du de rekommenderade riktlinjerna för att utföra inledande nyckelgenerering och nyckelöverföring.
Referens: Använd Key Vault referenser för App Service och Azure Functions
DP-7: Använd en säker certifikathanteringsprocess
Funktioner
Certifikathantering i Azure Key Vault
Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för alla kundcertifikat. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: App Service kan konfigureras med SSL/TLS och andra certifikat, som kan konfigureras direkt på App Service eller refereras från Key Vault. För att säkerställa central hantering av alla certifikat och hemligheter lagrar du certifikat som används av App Service i Key Vault i stället för att distribuera dem lokalt på App Service direkt. När detta har konfigurerats laddar App Service automatiskt ned det senaste certifikatet från Azure Key Vault. Se till att certifikatgenereringen följer definierade standarder utan att använda några osäkra egenskaper, till exempel: otillräcklig nyckelstorlek, alltför lång giltighetsperiod, osäker kryptografi. Konfigurera automatisk rotation av certifikatet i Azure Key Vault baserat på ett definierat schema eller när ett certifikat upphör att gälla.
Referens: Lägga till ett TLS/SSL-certifikat i Azure App Service
Tillgångshantering
Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.
AM-2: Använd endast godkända tjänster
Funktioner
Azure Policy-stöd
Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för molnet för att konfigurera Azure Policy för att granska och framtvinga konfigurationer av dina Azure-resurser. Använd Azure Monitor för att skapa aviseringar när det finns en konfigurationsavvikelse som identifieras på resurserna. Använd Azure Policy [neka] och [distribuera om det inte finns] effekter för att framtvinga säker konfiguration mellan Azure-resurser.
Obs! Definiera och implementera standardsäkerhetskonfigurationer för dina App Service distribuerade appar med Azure Policy. Använd inbyggda Azure Policy definitioner samt Azure Policy alias i namnområdet "Microsoft.Web" för att skapa anpassade principer för att avisera, granska och framtvinga systemkonfigurationer. Utveckla en process och pipeline för hantering av principfel.
Referens: Azure Policy kontroller för regelefterlevnad för Azure App Service
AM-4: Begränsa åtkomsten till tillgångshantering
Annan vägledning för AM-4
Isolera system som bearbetar känslig information. Det gör du genom att använda separata App Service-planer eller App Service miljöer och överväga att använda olika prenumerationer eller hanteringsgrupper.
Loggning och hotidentifiering
Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.
LT-1: Aktivera funktioner för hotidentifiering
Funktioner
Microsoft Defender för tjänst/produkterbjudande
Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och varna om säkerhetsproblem. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Använd Microsoft Defender för App Service för att identifiera attacker riktade mot program som körs över App Service. När du aktiverar Microsoft Defender för App Service drar du omedelbart nytta av följande tjänster som erbjuds av den här Defender-planen:
Säker: Defender for App Service utvärderar de resurser som omfattas av din App Service plan och genererar säkerhetsrekommendationer baserat på resultaten. Använd de detaljerade anvisningarna i de här rekommendationerna för att förstärka dina App Service resurser.
Identifiera: Defender for App Service identifierar en mängd hot mot dina App Service resurser genom att övervaka den virtuella datorinstans där din App Service körs och dess hanteringsgränssnitt, begäranden och svar som skickas till och från dina App Service appar, underliggande sandbox-miljöer och virtuella datorer samt App Service interna loggar.
Referens: Skydda dina webbappar och API:er
LT-4: Aktivera loggning för säkerhetsundersökning
Funktioner
Azure-resursloggar
Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Aktivera resursloggar för dina webbappar på App Service.
Referens: Aktivera diagnostikloggning för appar i Azure App Service
Status- och sårbarhetshantering
Mer information finns i Microsoft cloud security benchmark: Posture and vulnerability management (Microsoft cloud security benchmark: Posture and vulnerability management).
PV-2: Granska och framtvinga säkra konfigurationer
Annan vägledning för PV-2
Inaktivera fjärrfelsökning, fjärrfelsökning får inte aktiveras för produktionsarbetsbelastningar eftersom detta öppnar ytterligare portar på tjänsten som ökar attackytan.
Microsoft Defender för molnövervakning
Azure Policy inbyggda definitioner – Microsoft.Web:
| Name (Azure Portal) |
Description | Effekter | Version (GitHub) |
|---|---|---|---|
| [Inaktuell]: Funktionsappar bör ha "Klientcertifikat (inkommande klientcertifikat)" aktiverat | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter med giltiga certifikat kommer att kunna nå appen. Den här principen har ersatts av en ny princip med samma namn eftersom Http 2.0 inte stöder klientcertifikat. | Granskning, inaktiverad | 3.1.0-inaktuell |
PV-7: Utföra regelbundna röda teamåtgärder
Annan vägledning för PV-7
Utför regelbundna intrångstester på dina webbprogram efter intrångstestningsreglerna.
Säkerhetskopiering och återställning
Mer information finns i Microsoft cloud security benchmark: Backup and recovery (Microsoft cloud security benchmark: Backup and recovery).
BR-1: Se till att regelbundna automatiserade säkerhetskopieringar
Funktioner
Azure Backup
Beskrivning: Tjänsten kan säkerhetskopieras av Azure Backup-tjänsten. Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Sant | Falskt | Kund |
Konfigurationsvägledning: Om möjligt implementerar du tillståndslös programdesign för att förenkla återställnings- och säkerhetskopieringsscenarier med App Service.
Om du verkligen behöver underhålla ett tillståndskänsligt program aktiverar du funktionen Säkerhetskopiering och återställning i App Service som gör att du enkelt kan skapa appsäkerhetskopior manuellt eller enligt ett schema. Du kan konfigurera att säkerhetskopiorna ska behållas på obestämd tid. Du kan återställa appen till en ögonblicksbild av ett tidigare tillstånd genom att skriva över den befintliga appen eller återställa till en annan app. Se till att regelbundna och automatiserade säkerhetskopieringar sker med en frekvens som definieras av organisationens principer.
Obs! App Service kan säkerhetskopiera följande information till ett Azure-lagringskonto och en container som du har konfigurerat appen att använda:
- Appkonfiguration
- Filinnehåll
- Databas ansluten till din app
Referens: Säkerhetskopiera din app i Azure
Tjänstens interna säkerhetskopieringsfunktion
Beskrivning: Tjänsten stöder sin egen interna säkerhetskopieringsfunktion (om den inte använder Azure Backup). Läs mer.
| Stöds | Aktiverad som standard | Konfigurationsansvar |
|---|---|---|
| Falskt | Ej tillämpligt | Ej tillämpligt |
Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.
DevOps-säkerhet
Mer information finns i Microsoft Cloud Security Benchmark: DevOps Security.
DS-6: Framtvinga arbetsbelastningens säkerhet under Hela DevOps-livscykeln
Annan vägledning för DS-6
Distribuera kod till App Service från en kontrollerad och betrodd miljö, till exempel en välhanterad och säker DevOps-distributionspipeline. Detta undviker kod som inte har versionskontrollerats och verifierats för att distribueras från en skadlig värd.