Ange säkerhetskrav för webbarbetsbelastningar
Den här lektionen sammanfattar Azure-säkerhetsbaslinjen för App Service som hjälper dig att skapa nya kravspecifikationer för webbarbetsbelastningar.
I tabellen nedan har vi inkluderat kontroller från den fullständiga baslinjen där:
- Säkerhetskontroller stöds men är inte aktiverade som standard
- Det fanns uttrycklig vägledning som innehöll åtgärder som skulle vidtas från kundens sida
| Ytdiagram | Ctrl | Funktion | Vägledningssammanfattning |
|---|---|---|---|
| Nätverkssäkerhet | NS-1: Upprätta gränser för nätverkssegmentering | Integrering med virtuellt nätverk | Se till att det finns en stabil IP-adress för utgående kommunikation mot Internetadresser: Du kan tillhandahålla en stabil utgående IP-adress med hjälp av integreringsfunktionen för virtuellt nätverk. På så sätt kan den mottagande parten tillåta lista baserat på IP om det behövs. |
| NS-2: Skydda molntjänster med nätverkskontroller | Azure Private Link | Använd privata slutpunkter för dina Azure Web Apps för att tillåta klienter som finns i ditt privata nätverk att få säker åtkomst till apparna via Private Link. Den privata slutpunkten använder en IP-adress från ditt Azure VNet-adressutrymme. | |
| NS-2: Skydda molntjänster med nätverkskontroller | Inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst med ip-ACL-filtreringsregler på tjänstnivå eller privata slutpunkter eller genom att ange egenskapen publicNetworkAccess till Inaktiverad i Azure Resource Manager. | |
| NS-5: Distribuera DDoS-skydd | Aktivera DDoS Protection i det virtuella nätverket som är värd för apptjänstens brandvägg för webbprogram. Azure tillhandahåller DDoS-infrastrukturskydd (Basic) i nätverket. För förbättrade intelligenta DDoS-funktioner aktiverar du Azure DDoS Protection som lär sig mer om normala trafikmönster och kan identifiera ovanligt beteende. Azure DDoS Protection har två nivåer; Nätverksskydd och IP-skydd. | ||
| NS-6: Distribuera brandvägg för webbprogram | Undvik att WAF kringgås för dina program. Kontrollera att WAF inte kan kringgås genom att endast låsa åtkomsten till WAF. Använd en kombination av åtkomstbegränsningar, tjänstslutpunkter och privata slutpunkter. | ||
| Identitetshantering | IM-1: Använd centraliserat identitets- och autentiseringssystem | Microsoft Entra-autentisering krävs för dataplansåtkomst | För autentiserade webbprogram använder du endast välkända etablerade identitetsprovidrar för att autentisera och auktorisera användaråtkomst. |
| Lokala autentiseringsmetoder för dataplansåtkomst | Begränsa användningen av lokala autentiseringsmetoder för dataplansåtkomst. Använd i stället Microsoft Entra-ID som standardautentiseringsmetod för att styra åtkomsten till dataplanet. | ||
| IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt | Hanterade identiteter | Använd hanterade Azure-identiteter i stället för tjänstens huvudnamn när det är möjligt, vilket kan autentisera till Azure-tjänster och resurser som stöder Microsoft Entra-autentisering. Autentiseringsuppgifter för hanterade identiteter hanteras, roteras och skyddas av plattformen, vilket undviker hårdkodade autentiseringsuppgifter i källkods- eller konfigurationsfiler. | |
| SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor | Villkorsstyrd åtkomst för dataplan | Definiera tillämpliga villkor och kriterier för villkor för villkorsstyrd åtkomst i Microsoft Entra i arbetsbelastningen. | |
| IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter | Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault | Se till att apphemligheter och autentiseringsuppgifter lagras på säkra platser som Azure Key Vault, i stället för att bädda in dem i kod- eller konfigurationsfiler. Använd en hanterad identitet i din app för att sedan komma åt autentiseringsuppgifter eller hemligheter som lagras i Key Vault på ett säkert sätt. | |
| Privilegierad åtkomst | PA-8: Fastställa åtkomstprocessen för molnleverantörssupport | Customer Lockbox | I supportscenarier där Microsoft behöver komma åt dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden. |
| Dataskydd | DP-3: Kryptera känsliga data under överföring | Data i överföringskryptering | Använd och framtvinga standardversionen av TLS v1.2, konfigurerad i TLS/SSL-inställningar, för att kryptera all information under överföring. Kontrollera också att alla HTTP-anslutningsbegäranden omdirigeras till HTTPS. |
| DP-5: Använd alternativet kundhanterad nyckel i vilande datakryptering vid behov | Vilande datakryptering med hjälp av CMK | Om det behövs för regelefterlevnad definierar du användningsfallet och tjänstomfånget där kryptering med kundhanterade nycklar behövs. Aktivera och implementera vilande datakryptering med hjälp av kundhanterad nyckel för dessa tjänster. | |
| DP-6: Använd en process för säker nyckelhantering | Nyckelhantering i Azure Key Vault | Använd Azure Key Vault för att skapa och kontrollera livscykeln för dina krypteringsnycklar, inklusive nyckelgenerering, distribution och lagring. Rotera och återkalla dina nycklar i Azure Key Vault och din tjänst baserat på ett definierat schema eller när en nyckel dras tillbaka eller komprometteras. | |
| DP-7: Använd en säker certifikathanteringsprocess | Certifikathantering i Azure Key Vault | App Service kan konfigureras med SSL/TLS och andra certifikat, som kan konfigureras direkt i App Service eller refereras från Key Vault. För att säkerställa central hantering av alla certifikat och hemligheter lagrar du alla certifikat som används av App Service i Key Vault i stället för att distribuera dem lokalt i App Service direkt. | |
| Tillgångshantering | AM-2: Använd endast godkända tjänster | ||
| AM-4: Begränsa åtkomsten till tillgångshantering | Isolera system som bearbetar känslig information. Om du vill göra det använder du separata App Service-planer eller App Service-miljön och överväger att använda olika prenumerationer eller hanteringsgrupper. | ||
| Loggning och hotidentifiering | LT-1: Aktivera funktioner för hotidentifiering | Microsoft Defender för tjänst/produkterbjudande | Använd Microsoft Defender för App Service för att identifiera attacker mot program som körs via App Service. |
| LT-4: Aktivera loggning för säkerhetsundersökning | Azure-resursloggar | Aktivera resursloggar för dina webbappar i App Service. | |
| Status- och sårbarhetshantering | PV-2: Granska och framtvinga säkra konfigurationer | Inaktivera fjärrfelsökning, fjärrfelsökning får inte aktiveras för produktionsarbetsbelastningar eftersom detta öppnar fler portar på tjänsten, vilket ökar attackytan. | |
| PV-7: Utför regelbundna röda teamåtgärder | Utför regelbundna intrångstester på dina webbprogram efter intrångstestningsreglerna för engagemang. | ||
| Säkerhetskopiering och återställning | BR-1: Se till att regelbundna automatiserade säkerhetskopieringar | Azure Backup | Om möjligt implementerar du tillståndslös programdesign för att förenkla återställnings- och säkerhetskopieringsscenarier med App Service. Om du verkligen behöver underhålla ett tillståndskänsligt program aktiverar du funktionen Säkerhetskopiering och återställning i App Service, vilket gör att du enkelt kan skapa appsäkerhetskopior manuellt eller enligt ett schema. |
| DevOps-säkerhet | DS-6: Framtvinga arbetsbelastningssäkerhet under Hela DevOps-livscykeln | Distribuera kod till App Service från en kontrollerad och betrodd miljö, till exempel en välhanterad och säker DevOps-distributionspipeline. På så sätt undviker du kod som inte har versionsstyrts och verifierats för att distribueras från en skadlig värd. |