指定 Web 工作負載的安全性需求
本單元摘要說明適用於 App Service 的 Azure 安全性基準,協助您建立 Web 工作負載的新需求規格。
如需 Microsoft 雲端安全性基準的更多背景,請參閱 Microsoft 網路安全性參考結構和雲端安全性基準測試簡介。
我們已在下表中包含完整基準的控制項,其中:
- 「支援」但預設「未」啟用的安全性控制項
- 有明確指引,其中包含客戶要採取的動作
| 區域 | 控制 | 功能 | 指導方針摘要 |
|---|---|---|---|
| 網路安全性 | NS-1:建立網路分割界限 | 虛擬網路整合 | 確保對網際網路位址的輸出通訊有穩定的 IP:您可以使用虛擬網路整合功能來提供穩定的輸出 IP。 這可讓接收方視需要產生以 IP 為基礎的允許清單。 |
| NS-2:使用網路控制保護雲端服務 | Azure Private Link | 使用 Azure Web 應用程式的私人端點來允許位於私人網路中的用戶端透過 Private Link 安全地存取應用程式。 私人端點會使用來自 Azure VNet 位址空間的 IP 位址。 | |
| NS-2:使用網路控制保護雲端服務 | 停用公用網路存取 | 使用服務層級 IP ACL 篩選規則或私人端點,或將 publicNetworkAccess 屬性設定為在 Azure Resource Manager 中「停用」,以停用公用網路存取。 | |
| NS-5:部署 DDoS 保護 | 在裝載 App Service Web 應用程式防火牆的虛擬網路上啟用 DDoS 保護。 Azure 在其網路上提供了 DDoS 基礎結構 (基本) 保護。 為了獲得改進的智慧型 DDoS 功能,請啟用「Azure DDoS 保護」(它了解正常流量模式並且可以偵測異常行為)。 「Azure DDoS 保護」有兩個層級:網路保護和 IP 保護。 | ||
| NS-6:部署 Web 應用程式防火牆 | 避免您的應用程式略過 WAF。 請確定僅鎖定 WAF 的存取權,無法略過 WAF。 使用存取限制、服務端點和私人端點的組合。 | ||
| 身分識別管理 | IM-1:使用集中式身分識別和驗證系統 | 「資料平面存取」需要 Microsoft Entra 驗證 | 對於已驗證的 Web 應用程式,僅使用已知的已建立識別提供者來驗證和授權使用者存取權。 |
| 資料平面存取的本機驗證方法 | 限制對資料平面存取使用本機驗證方法。 請改用 Microsoft Entra ID 作為預設的驗證方法,以控制您的資料平面存取。 | ||
| IM-3:安全且自動地管理應用程式身分識別 | 受控識別 | 盡可能使用 Azure 受控識別,而不是服務主體,前者可向支援 Microsoft Entra 驗證的 Azure 服務和資源進行驗證。 受控識別認證完全受平台管理、輪替和保護,且避開原始程式碼或組態檔中的硬式編碼認證。 | |
| IM-7:根據條件限制資源存取 | 資料平面的條件式存取 | 在工作負載中定義 Microsoft Entra 條件式存取的適用條件和準則。 | |
| IM-8:限制認證和祕密的公開 | Azure Key Vault 中服務認證和秘密支援整合和儲存 | 請確定應用程式秘密和認證會儲存在安全的位置 (例如 Azure Key Vault),而不是將其內嵌到程式碼或組態檔中。 在您的應用程式上使用受控識別,然後以安全的方式存取以 Key Vault 中儲存的認證或秘密。 | |
| 特殊權限存取 | PA-8:判斷雲端提供者支援的存取程序 | 客戶加密箱 | 在 Microsoft 需要存取您的資料的支援案例中,使用客戶加密箱來檢閱,然後核准或拒絕 Microsoft 的每個資料存取要求。 |
| 資料保護 | DP-3:加密傳輸中的敏感性資料 | 傳輸中資料加密 | 使用並強制執行 TLS v1.2 的預設最低版本,在 TLS/SSL 中進行設定,以便加密所有傳輸中的資訊。 也確保所有 HTTP 連線要求都重新導向至 HTTPS。 |
| DP-5:必要時在待用資料加密中使用客戶自控金鑰選項 | 使用 CMK 進行待用資料加密 | 如果需要法規合規性,請定義需要使用客戶自控金鑰進行加密的使用案例和服務範圍。 針對這些服務,使用客戶自控金鑰來啟用和實作待用資料加密。 | |
| DP-6:使用安全金鑰管理程序 | Azure Key Vault 中的金鑰管理 | 使用 Azure 金鑰保存庫來建立和控制加密金鑰的生命週期,包括金鑰產生、散發和儲存。 根據定義的排程或在金鑰淘汰或洩露時,輪替和撤銷您在 Azure Key Vault 和服務中的金鑰。 | |
| DP-7:使用安全的憑證管理程序 | Azure Key Vault 中的憑證管理 | 您可使用 SSL/TLS 和其他憑證來設定 App Service,這些憑證可直接在 App Service 上設定或從 Key Vault 參考。 為了確保集中管理所有憑證和秘密,請將 App Service 所用的任何憑證儲存在 Key Vault 中,而不是直接在 App Service 上進行本機部署。 | |
| 資產管理 | AM-2:僅使用核准的服務 | ||
| AM-4:限制對資產管理的存取 | 隔離可處理敏感性資訊的系統。 若要這麼做,請使用個別的 App Service 方案或 App Service 環境,並考慮使用不同的訂用帳戶或管理群組。 | ||
| 記錄和威脅偵測 | LT-1:啟用威脅偵測功能 | 適用於服務/產品供應項目的 Microsoft Defender | 使用適用於 App Service 的 Microsoft Defender 來識別將透過 App Service 執行的應用程式視為目標的攻擊。 |
| LT-4:啟用安全性調查的記錄 | Azure 資源記錄 | 在 App Service 上啟用 Web 應用程式的資源記錄。 | |
| 態勢與弱點管理 | PV-2:稽核和強制執行安全性設定 | 關閉遠端偵錯,不得開啟生產工作負載的遠端偵錯,因為這會在服務上開啟更多連接埠,因而增加受攻擊面。 | |
| PV-7:進行一般紅隊作業 | 遵循參與的滲透測試規則,對 Web 應用程式進行定期滲透測試。 | ||
| 備份及復原 | BR-1:確保定期自動備份 | Azure 備份 | 可能的話,實作無狀態應用程式設計,以簡化 App Service 的復原和備份案例。 如果您真的需要維護具狀態應用程式,請在 App Service 中啟用備份和還原功能,這可讓您輕鬆地手動或依排程建立應用程式備份。 |
| DevOps 安全性 | DS-6:在整個 DevOps 生命週期強制執行工作負載安全性 | 將程式碼部署至受控制且受信任的環境中的 App Service,例如妥善管理且安全的 DevOps 部署管線。 這可避免從惡意主機部署未受版本控制且未經驗證的程式碼。 |