Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Эта базовая база безопасности основана на предыдущей версии Microsoft Cloud Security Benchmark (версии 1.0) и может содержать устаревшие рекомендации. Последние рекомендации по безопасности см. в документации по службе приложений.
Этот базовый уровень безопасности применяет рекомендации от Microsoft cloud security benchmark версии 1.0 к службе приложений. Тест безопасности облака Майкрософт предоставляет рекомендации по защите облачных решений в Azure. Содержимое сгруппировано элементами управления безопасностью, определенными тестом безопасности Microsoft Cloud Security, и соответствующим руководством, применимым к службе приложений.
Вы можете отслеживать эти базовые показатели безопасности и их рекомендации с помощью Microsoft Defender для облака. Определения политики Azure будут перечислены в разделе "Соответствие нормативным требованиям" на странице портала Microsoft Defender для облака.
Если функция имеет соответствующие определения политики Azure, они перечислены в этом базовом плане, чтобы помочь вам оценить соответствие требованиям средств управления и рекомендаций microsoft cloud security benchmark. Для некоторых рекомендаций может потребоваться платный план Microsoft Defender для включения определенных сценариев безопасности.
Замечание
Функции , неприменимые к службе приложений, были исключены. Чтобы узнать, как служба приложений полностью сопоставляется с эталонным показателем безопасности Microsoft Cloud Security, см. полный файл сопоставления базовых показателей безопасности службы приложений.
Профиль безопасности
Профиль безопасности обобщает наиболее значимые аспекты поведения службы приложений, которые могут потребовать дополнительных мер безопасности.
| Атрибут поведения службы | Ценность |
|---|---|
| Категория продукта | Вычислительные ресурсы, веб-ресурсы |
| Клиент может получить доступ к HOST / OS | Нет доступа |
| Служба может быть развернута в виртуальной сети клиента | True |
| Сохраняет содержимое данных клиента в состоянии покоя | True |
Сетевая безопасность
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: сетевая безопасность.
NS-1. Установка границ сегментации сети
Функции
Интеграция виртуальной сети
Описание. Служба поддерживает развертывание в частной виртуальной сети клиента. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Интеграция виртуальной сети настраивается по умолчанию при использовании сред службы приложений, но при использовании общедоступного мультитенантного предложения необходимо настроить вручную.
Руководство по настройке. Обеспечение стабильного IP-адреса исходящего трафика по интернет-адресам. Вы можете предоставить стабильный исходящий IP-адрес с помощью функции интеграции виртуальной сети. Это позволяет принимающей стороне разрешать список на основе IP-адреса, если это необходимо.
При использовании службы приложений в ценовой категории "Изолированный", также называемой средой App Service (ASE), вы можете развернуть службу непосредственно в подсети вашей виртуальной сети Azure. Используйте группы безопасности сети для защиты среды службы приложений Azure, блокируя входящий и исходящий трафик к ресурсам в виртуальной сети или ограничивая доступ к приложениям в среде службы приложений.
В среде служб приложений с несколькими арендаторами (приложение не находится на изолированном уровне) включите возможность приложениям получать доступ к ресурсам в виртуальной сети или через неё, используя функцию интеграции с виртуальной сетью. Затем можно использовать группы безопасности сети для управления исходящим трафиком из приложения. При использовании интеграции виртуальной сети можно включить конфигурацию Route All, чтобы сделать весь исходящий трафик подверженным группам безопасности сети и определяемым пользователем маршрутам в подсети интеграции. Эту функцию также можно использовать для блокировки исходящего трафика на общедоступные адреса из приложения. Интеграция виртуальной сети не может использоваться для предоставления входящего доступа к приложению.
Для обмена данными со службами Azure часто нет необходимости зависеть от IP-адреса; вместо этого следует использовать такие механизмы, как конечные точки службы.
Примечание. Для сред службы приложений по умолчанию группы безопасности сети включают неявное правило запрета с наименьшим приоритетом и требует добавления явных правил разрешения. Добавьте правила разрешения для группы безопасности сети на основе наименее привилегированного сетевого подхода. Базовые виртуальные машины, используемые для размещения среды службы приложений, не доступны напрямую, так как они находятся в управляемой корпорацией Майкрософт подписке.
При использовании функции интеграции виртуальных сетей с виртуальными сетями в одном регионе используйте группы безопасности сети и таблицы маршрутов с определяемыми пользователем маршрутами. Определяемые пользователем маршруты можно поместить в подсеть интеграции для отправки исходящего трафика в соответствии с указанным образом.
Справочник. Интеграция приложения с виртуальной сетью Azure
Поддержка группы безопасности сети
Описание: Трафик сервисной сети соблюдает назначение правил групп безопасности сети на своих подсетях. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях. Поддержка Группы Безопасности Сети доступна для всех клиентов, использующих Среды Служб Приложений, но только для интегрированных приложений виртуальной сети для клиентов, использующих общедоступную многоклиентскую платформу.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
Справочник. Сеть среды службы приложений
NS-2. Защита облачных служб с помощью сетевых элементов управления
Функции
Приватный канал Azure
Описание. Возможность фильтрации ip-адресов в собственном коде службы для фильтрации сетевого трафика (не следует путать с NSG или брандмауэром Azure). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте частные конечные точки для веб-приложений Azure, чтобы разрешить клиентам, расположенным в частной сети, безопасно доступ к приложениям через Приватный канал. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети Azure. Сетевой трафик между клиентом в частной сети и веб-приложением проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость из общедоступного Интернета.
Примечание. Частная конечная точка используется только для входящих потоков в веб-приложение. Исходящие потоки не будут использовать эту частную конечную точку. Исходящие потоки можно внедрить в сеть в другой подсети с помощью функции интеграции виртуальной сети. Использование частных конечных точек для служб в принимающем конце трафика службы приложений позволяет избежать возникновения SNAT и обеспечивает стабильный исходящий диапазон IP-адресов.
Дополнительные рекомендации: Если контейнеры запущены на службе приложений и хранятся в реестре контейнеров Azure (ACR), убедитесь, что эти образы извлекаются через частную сеть. Это можно сделать, настроив приватную конечную точку в ACR для хранения изображений и установив параметр приложения "WEBSITE_PULL_IMAGE_OVER_VNET" в вашем веб-приложении.
Справочник. Использование частных конечных точек для веб-приложения Azure
Отключение доступа к общедоступной сети
Описание. Служба поддерживает отключение доступа к общедоступной сети с помощью правила фильтрации IP-адресов уровня обслуживания (не NSG или брандмауэра Azure) или переключателя переключателя "Отключить доступ к общедоступной сети". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Отключение доступа к общедоступной сети с помощью правил фильтрации IP-адресов уровня обслуживания или частных конечных точек или путем установки publicNetworkAccess свойства для отключения в ARM.
Справочник. Настройка ограничений доступа к службе приложений Azure
NS-5: развертывание защиты от атак DDoS
Другие рекомендации по NS-5
Включите защиту от атак DDOS уровня "Стандартный" в виртуальной сети, где размещен брандмауэр веб-приложения службы приложений. Azure предоставляет базовую защиту от атак DDoS в сети, которая может быть улучшена с помощью интеллектуальных возможностей DDoS Standard, которые изучают обычные шаблоны трафика и могут обнаруживать необычное поведение. DDoS Standard применяется к виртуальной сети, поэтому его необходимо настроить для сетевого ресурса, расположенного перед приложением, например, шлюза приложений или NVA.
NS-6: развертывание брандмауэра веб-приложения
Другие рекомендации по NS-6
Избегайте обхода WAF для приложений. Убедитесь, что WAF нельзя обойти путем блокировки доступа только к WAF. Используйте сочетание ограничений доступа, конечных точек службы и частных конечных точек.
Кроме того, защитите среду службы приложений путем маршрутизации трафика через брандмауэр веб-приложений (WAF) с поддержкой шлюза приложений Azure или Azure Front Door.
Для многопользовательского предложения обеспечьте безопасность входящего трафика в ваше приложение с помощью:
- Ограничения доступа: ряд правил разрешения или запрета, которые управляют входящим доступом
- Конечные точки службы: может запретить входящий трафик из-за пределов указанных виртуальных сетей или подсетей.
- Частные конечные точки: предоставление приложению виртуальной сети с частным IP-адресом. При включении частных конечных точек в приложении доступ к Интернету больше недоступен
Рассмотрите возможность внедрения брандмауэра Azure для централизованного создания, применения и ведения журналов политик подключения приложений и сетей в ваших подписках и виртуальных сетях. Брандмауэр Azure использует статический общедоступный IP-адрес для ресурсов виртуальной сети, что позволяет внешним брандмауэрам определять трафик, исходящий из виртуальной сети.
Управление идентичностью
Дополнительные сведения см. в статье Microsoft Cloud Security Benchmark: Управление удостоверениями.
IM-1. Использование централизованной системы идентификации и проверки подлинности
Функции
Требуется проверка подлинности Azure AD для доступа к плоскости управления данными.
Описание. Служба поддерживает проверку подлинности Azure AD для доступа к плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Для проверенных веб-приложений используются только известные установленные поставщики удостоверений для проверки подлинности и авторизации доступа пользователей. В случае, если ваше приложение должно быть доступно только пользователям вашей организации или в противном случае пользователи используют Azure Active Directory (Azure AD), настройте Azure AD в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Проверка подлинности и авторизация в Службе приложений Azure и Функциях Azure
Методы локальной аутентификации для доступа к плоскости данных
Описание. Локальные методы проверки подлинности, поддерживаемые для доступа к плоскости данных, например локальное имя пользователя и пароль. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Заметки о функциях. Избегайте использования локальных методов проверки подлинности или учетных записей, их следует отключить везде, где это возможно. Вместо этого используйте Azure AD для проверки подлинности по возможности.
Руководство по настройке. Ограничение использования локальных методов проверки подлинности для доступа к плоскости данных. Вместо этого используйте Azure Active Directory (Azure AD) в качестве метода проверки подлинности по умолчанию для управления доступом к плоскости данных.
Справочник. Проверка подлинности и авторизация в Службе приложений Azure и Функциях Azure
IM-3. Безопасное и автоматическое управление идентичностями приложений
Функции
Управляемые учётные записи
Описание: Действия плоскости данных поддерживают проверку подлинности с помощью управляемых удостоверений. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке: Используйте управляемые удостоверения Azure вместо учетных записей службы, которые могут аутентифицировать в службах и ресурсах Azure, поддерживающих аутентификацию в Azure Active Directory (Azure AD). Учетные данные управляемой идентификации полностью управляются, обновляются и защищаются платформой, исключая необходимость жестко прописанных учетных данных в исходном коде или файлах конфигурации.
Распространенный сценарий использования управляемой идентичности со службой приложений — доступ к другим службам Azure PaaS, таким как Azure SQL Database, хранилище Azure или Key Vault.
Справочник:Использование управляемых удостоверений для службы приложений и функций Azure
Субъекты-службы
Описание: Плоскость данных поддерживает аутентификацию с использованием служебных принципов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Дополнительное руководство. Хотя служебные принципалы поддерживаются службой в качестве шаблона проверки подлинности, мы рекомендуем использовать управляемые удостоверения, если это возможно.
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Web:
| Имя (портал Azure) |
Description | Effect(s) | Версия (GitHub) |
|---|---|---|---|
| Приложения службы должны использовать управляемые удостоверения | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, отключено | 3.0.0 |
IM-7. Ограничение доступа к ресурсам в зависимости от условий
Функции
Условный доступ к каналу данных
Описание. Доступ к плоскости данных можно контролировать с помощью политик условного доступа Azure AD. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Определите применимые условия и критерии условного доступа Azure Active Directory (Azure AD) в рабочей нагрузке. Рассмотрим распространенные варианты использования, такие как блокировка или предоставление доступа из определенных расположений, блокировка рискованного входа или требование устройств, управляемых организацией для конкретных приложений.
IM-8. Ограничение раскрытия учетных данных и секретов
Функции
Поддержка интеграции и хранения учетных данных службы и секретов в Azure Key Vault
Описание: Плоскость данных поддерживает нативное использование Azure Key Vault в качестве хранилища учетных данных и секретов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Убедитесь, что секреты и учетные данные приложения хранятся в безопасных расположениях, таких как Azure Key Vault, вместо внедрения их в файлы кода или конфигурации. Используйте управляемое удостоверение в приложении, чтобы затем получить доступ к учетным данным или секретам, хранящимся в Key Vault в безопасном режиме.
Справочник.Использование ссылок Key Vault для службы приложений и функций Azure
Привилегированный доступ
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: привилегированный доступ.
PA-7. Следуйте принципу достаточного уровня администрирования (принцип наименьших привилегий)
Функции
Azure RBAC для плоскости данных
Описание: Управление доступом на основе роли в Azure (Azure RBAC) можно использовать для управления доступом к действиям уровня плоскости данных службы. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
PA-8. Определение процесса доступа для поддержки поставщика облачных служб
Функции
Сервис "Контроль доступа клиентов"
Описание. Для доступа в службу поддержки Майкрософт можно использовать папку "Блокировка клиента". Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. В сценариях поддержки, в которых корпорация Майкрософт должна получить доступ к данным, используйте блокировку клиента для проверки, а затем утвердить или отклонить все запросы на доступ к данным Майкрософт.
Защита данных
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: защита данных.
DP-1: обнаружение, классификация и метка конфиденциальных данных
Функции
Обнаружение конфиденциальных данных и классификация
Описание. Средства (например, Azure Purview или Azure Information Protection) можно использовать для обнаружения и классификации данных в службе. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях: Реализуйте Сканер учетных данных в конвейере сборки для идентификации учетных данных в коде. Сканер учетных данных также рекомендует перемещать обнаруженные учетные данные в более безопасные расположения, такие как Azure Key Vault.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-2. Мониторинг аномалий и угроз, нацеленных на конфиденциальные данные
Функции
Защита от утечки и потери данных
Описание: Служба поддерживает решение DLP для мониторинга перемещения конфиденциальных данных (в содержимом клиента). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Заметки о функциях. Хотя функции идентификации, классификации и предотвращения потери данных пока недоступны для службы приложений, можно уменьшить риск кражи данных из виртуальной сети, удалив все правила, в которых назначение использует тег для служб Интернета или Azure.
Корпорация Майкрософт управляет базовой инфраструктурой для службы приложений и реализует строгие элементы управления, чтобы предотвратить потерю или раскрытие данных.
Используйте теги для отслеживания ресурсов службы приложений, которые хранят или обрабатывают конфиденциальную информацию.
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
DP-3. Шифрование конфиденциальных данных при передаче
Функции
Шифрование данных при передаче
Описание. Служба поддерживает шифрование данных в транзитном режиме для плоскости данных. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте и примените минимальную версию TLS версии 1.2, настроенную в параметрах TLS/SSL, для шифрования всех данных во время передачи. Кроме того, убедитесь, что все http-запросы подключения перенаправляются на HTTPS.
Справочник.Добавление TLS/SSL-сертификата в службу приложений Azure
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Web:
| Имя (портал Azure) |
Description | Effect(s) | Версия (GitHub) |
|---|---|---|---|
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Аудит, Отключено, Отклонить | 4.0.0 |
DP-4. Включение шифрования неактивных данных по умолчанию
Функции
Шифрование неактивных данных с помощью ключей платформы
Описание. Шифрование неактивных данных с помощью ключей платформы поддерживается, любое содержимое клиента, неактивное, шифруется с помощью этих управляемых корпорацией Майкрософт ключей. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | True | Microsoft |
Заметки о функциях: содержимое веб-сайта в приложении службы приложений, например файлы, хранится в Azure Storage, которое автоматически шифрует неактивное содержимое. Выберите хранение секретов приложений в Key Vault и их получение во время выполнения.
Предоставленные заказчиком секреты шифруются в состоянии покоя при хранении в базах данных конфигурации App Service.
Обратите внимание, что при необходимости локальные подключенные диски могут использоваться веб-сайтами в качестве временного хранилища (например, D:\local и %TMP%), но они шифруются только в общедоступном предложении службы приложений с многопользовательской архитектурой, где может использоваться SKU Pv3. Для старых общих многоклиентских единиц масштабирования, где SKU Pv3 недоступен, клиент должен создать новую группу ресурсов и развернуть свои ресурсы заново.
Кроме того, клиент может запустить свое приложение в службе приложений непосредственно из ZIP-пакета. Дополнительные сведения см. в статье о запуске приложения в Службе приложений Azure непосредственно из ZIP-пакета.
Руководство по настройке. Дополнительные конфигурации не требуются, так как это включено при развертывании по умолчанию.
DP-5. Использование параметра ключа, управляемого клиентом, в неактивных шифрованиях данных при необходимости
Функции
Шифрование неактивных данных с помощью CMK
Описание. Шифрование неактивных данных с помощью ключей, управляемых клиентом, поддерживается для содержимого клиента, хранящегося службой. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Если требуется для соответствия нормативным требованиям, определите вариант использования и область обслуживания, где требуется шифрование с помощью ключей, управляемых клиентом. Включите и реализуйте шифрование неактивных данных с помощью ключа, управляемого клиентом для этих служб.
Примечание. Содержимое веб-сайта в приложении службы приложений, например файлах, хранится в службе хранилища Azure, которое автоматически шифрует содержимое неактивных данных. Выберите хранение секретов приложений в Key Vault и их получение во время выполнения.
Предоставленные заказчиком секреты шифруются в состоянии покоя при хранении в базах данных конфигурации App Service.
Обратите внимание, что при необходимости локальные подключенные диски можно использовать веб-сайтами в качестве временного хранилища (например, D:\local и %TMP%), но они не шифруются в состоянии покоя.
Справочник. Шифрование неактивных данных с помощью ключей, управляемых клиентом
DP-6. Использование процесса безопасного управления ключами
Функции
Управление ключами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых ключей клиентов, секретов или сертификатов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте Azure Key Vault для создания и управления жизненным циклом ключей шифрования, включая создание ключей, распространение и хранение. Ротация и аннулирование ключей в Azure Key Vault и вашей службе на основе установленного расписания или при завершении срока действия или компрометации ключей. Если необходимо использовать управляемый клиентом ключ (CMK) в рабочей нагрузке, службе или на уровне приложения, убедитесь, что вы следуйте рекомендациям по управлению ключами: используйте иерархию ключей для создания отдельного ключа шифрования данных (DEK) с ключом шифрования ключей (KEK) в хранилище ключей. Убедитесь, что ключи зарегистрированы в Azure Key Vault и ссылаются с помощью идентификаторов ключей из службы или приложения. Если вам нужно перенести собственный ключ (BYOK) в службу (например, импорт ключей, защищенных HSM, из локальных HSM в Azure Key Vault), следуйте рекомендациям по выполнению первоначального создания ключей и передачи ключей.
Справочник.Использование ссылок Key Vault для службы приложений и функций Azure
DP-7. Использование процесса управления безопасными сертификатами
Функции
Управление сертификатами в Azure Key Vault
Описание. Служба поддерживает интеграцию Azure Key Vault для любых сертификатов клиентов. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. App Service может быть настроен с помощью SSL/TLS и других сертификатов, которые можно настроить непосредственно в App Service или ссылаться через Key Vault. Чтобы обеспечить централизованное управление всеми сертификатами и секретами, сохраните все сертификаты, используемые службой приложений в Key Vault, а не развертывать их локально в службе приложений напрямую. Когда это настроено, App Service автоматически загружает последний сертификат из Azure Key Vault. Убедитесь, что создание сертификатов соответствует определенным стандартам без использования небезопасных свойств, таких как недостаточный размер ключа, слишком длительный срок действия, небезопасная криптография. Настройте автоматическую смену сертификата в Azure Key Vault на основе определенного расписания или истечения срока действия сертификата.
Справочник.Добавление TLS/SSL-сертификата в службу приложений Azure
Управление активами
Для получения дополнительной информации см. Microsoft Cloud Security Benchmark: управление активами.
AM-2. Использование только утвержденных служб
Функции
Поддержка политик Azure
Описание. Конфигурации служб можно отслеживать и применять с помощью политики Azure. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Использование Microsoft Defender для облака для настройки политики Azure для аудита и применения конфигураций ресурсов Azure. Используйте Azure Monitor для создания оповещений при обнаружении отклонения конфигурации ресурсов. Используйте эффекты политики Azure [deny] и [deployIfNotExists], чтобы обеспечить безопасную настройку ресурсов Azure.
Примечание. Определите и реализуйте стандартные конфигурации безопасности для развернутых приложений службы приложений с помощью политики Azure. Используйте встроенные определения политик Azure, а также псевдонимы политики Azure в пространстве имен Microsoft.Web для создания настраиваемых политик для оповещения, аудита и применения конфигураций системы. Разработка процесса и конвейера для управления исключениями политик.
Справочник. Элементы управления соответствием нормативным требованиям политики Azure для службы приложений Azure
AM-4: ограничение доступа к управлению ресурсами
Другие рекомендации по AM-4
Изоляция систем, обрабатывающих конфиденциальную информацию. Для этого используйте отдельные планы службы приложений или среды службы приложений и рассмотрите возможность использования различных подписок или групп управления.
Ведение журнала и обнаружение угроз
Дополнительные сведения см. в тестовом тесте облачной безопасности Майкрософт: ведение журнала и обнаружение угроз.
LT-1. Включение возможностей обнаружения угроз
Функции
Microsoft Defender для сервисов и продуктовых предложений
Описание. Служба имеет решение Microsoft Defender для мониторинга и оповещения о проблемах безопасности. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Используйте Microsoft Defender для службы приложений для выявления атак, предназначенных для приложений, работающих через службу приложений. После включения Microsoft Defender для Службы приложений вы сразу же можете воспользоваться следующими службами, предлагаемыми этим планом Defender:
Безопасность: Defender для службы приложений оценивает ресурсы, охватываемые планом службы приложений, и создает рекомендации по безопасности на основе своих результатов. Используйте подробные инструкции в этих рекомендациях для защиты ресурсов службы приложений.
Обнаружение: Defender для службы приложений обнаруживает множество угроз для ресурсов службы приложений, отслеживая экземпляр виртуальной машины, в котором выполняется служба приложений, а также его интерфейс управления, запросы и ответы, отправленные в приложения службы приложений, базовые песочницы и виртуальные машины, а также внутренние журналы службы приложений.
Справочник. Защита веб-приложений и API
LT-4. Включить ведение журнала для расследования инцидентов безопасности
Функции
Журналы ресурсов Azure
Описание. Служба создает журналы ресурсов, которые могут предоставлять расширенные метрики и ведение журнала для конкретной службы. Клиент может настроить эти журналы ресурсов и отправить их в собственный приемник данных, например учетную запись хранения или рабочую область Log Analytics. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. Включение журналов ресурсов для веб-приложений в Службе приложений.
Справочник.Включение ведения журнала диагностики для приложений в Службе приложений Azure
Управление защитной позицией и уязвимостями
Дополнительные сведения см. в Microsoft Cloud Security Benchmark: Posture and Vulnerability Management.
PV-2: проведение аудита и реализация конфигураций безопасности
Другие рекомендации по PV-2
Отключите удаленную отладку, удаленная отладка не должна быть включена для рабочих нагрузок, так как это открывает дополнительные порты на службе, что увеличивает поверхность атаки.
Мониторинг Microsoft Defender в облаке
Встроенные определения политики Azure — Microsoft.Web:
| Имя (портал Azure) |
Description | Effect(s) | Версия (GitHub) |
|---|---|---|---|
| [Устарело]: функциональные приложения должны иметь опцию "Сертификаты клиента (Входящие сертификаты клиента)" включенной | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Только клиенты с допустимыми сертификатами смогут получить доступ к приложению. Эта политика была заменена новой политикой с тем же именем, так как Http 2.0 не поддерживает сертификаты клиентов. | Аудит, отключено | 3.1.0-устаревший |
PV-7: проведение регулярных операций команды «красной команды»
Другие рекомендации по PV-7
Проводите регулярное проведение тестов на проникновение веб-приложений в соответствии с правилами взаимодействия для тестирования на проникновение.
Резервное копирование и восстановление
Дополнительные сведения см. в эталоне безопасности облака Майкрософт: резервное копирование и восстановление.
BR-1. Обеспечение регулярного автоматического резервного копирования
Функции
Azure Backup
Описание: Служба может быть защищена с помощью Azure Backup. Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| True | Неправда | Клиент |
Руководство по настройке. По возможности реализуйте проект приложения без отслеживания состояния, чтобы упростить сценарии восстановления и резервного копирования с помощью службы приложений.
Если вам действительно нужно поддерживать приложение с отслеживанием состояния, включите функцию резервного копирования и восстановления в службе приложений, которая позволяет легко создавать резервные копии приложений вручную или по расписанию. Резервные копии можно настроить до неопределенного времени. Вы можете восстановить приложение до моментального снимка предыдущего состояния, перезаписав существующее приложение или восстановите другое приложение. Убедитесь, что регулярные и автоматизированные резервные копии выполняются с частотой, определенной политиками организации.
Примечание. Служба приложений может создать резервную копию следующих сведений в учетной записи хранения Azure и контейнере, которые вы настроили для использования приложением:
- конфигурация приложения;
- Содержимое файла
- База данных, подключенная к приложению
Справочник. Резервное копирование приложения в Azure
Встроенная возможность резервного копирования службы
Описание. Служба поддерживает собственные возможности резервного копирования (если не используется Azure Backup). Подробнее.
| Поддерживается | Включен по умолчанию | Ответственность за конфигурацию |
|---|---|---|
| Неправда | Не применимо | Не применимо |
Руководство по настройке. Эта функция не поддерживается для защиты этой службы.
Безопасность DevOps
Дополнительные сведения см. в статье microsoft cloud security benchmark: DevOps security.
DS-6. Обеспечение безопасности рабочей нагрузки на протяжении всего жизненного цикла DevOps
Другие рекомендации по DS-6
Разверните код в службе приложений из управляемой и доверенной среды, например хорошо управляемого и защищенного конвейера развертывания DevOps. Это позволяет избежать кода, который не был контролируемым версией и проверен для развертывания с вредоносного узла.
Дальнейшие шаги
- Ознакомьтесь с обзором Microsoft Cloud Security Benchmark
- Дополнительные сведения о базовых показателях безопасности Azure