Azure-Sicherheitsbaseline für App Service

Diese Sicherheitsbaseline wendet Anleitungen aus der Microsoft-Cloudsicherheitstestversion 1.0 auf App Service an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft-Cloudsicherheitstest und die entsprechenden Anleitungen für App Service definiert sind.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen auf der Microsoft Defender für Cloud-Portalseite aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Kontrollen und Empfehlungen des Microsoft-Cloudsicherheitstestes messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Funktionen, die nicht für App Service gelten, wurden ausgeschlossen. Informationen dazu, wie App Service vollständig dem Microsoft-Cloudsicherheitstest zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei App Service Sicherheitsbaseline.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von App Service mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Compute, Web
Der Kunde kann auf HOST/Betriebssystem zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. True
Speichert ruhende Kundeninhalte True

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Funktionen

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Virtual Network Integration ist standardmäßig bei Verwendung von App Service-Umgebungen konfiguriert, muss jedoch manuell konfiguriert werden, wenn das öffentliche mehrinstanzenfähige Angebot verwendet wird.

Konfigurationsleitfaden: Sicherstellen einer stabilen IP-Adresse für ausgehende Kommunikation mit Internetadressen: Sie können eine stabile ausgehende IP-Adresse bereitstellen, indem Sie das Virtual Network-Integrationsfeature verwenden. Dadurch kann die empfangende Partei die Zulassungsliste basierend auf der IP-Adresse zulassen, falls dies erforderlich ist.

Wenn Sie App Service im Tarif Isoliert verwenden, der auch als App Service-Umgebung (ASE) bezeichnet wird, können Sie die Bereitstellung direkt in einem Subnetz in Ihrem Azure Virtual Network. Schützen Sie Ihre Azure App Service-Umgebung mithilfe von Netzwerksicherheitsgruppen, indem Sie ein- und ausgehenden Datenverkehr an Ressourcen in Ihrem virtuellen Netzwerk blockieren oder den Zugriff auf Apps in einer App Service-Umgebung einschränken.

Ermöglichen Sie ihren Apps im mehrinstanzenfähigen App Service (eine App nicht in isolierter Ebene) den Zugriff auf Ressourcen in oder über eine Virtual Network mit der Virtual Network-Integrationsfunktion. Anschließend können Sie Netzwerksicherheitsgruppen verwenden, um ausgehenden Datenverkehr aus Ihrer App zu steuern. Wenn Sie Virtual Network Integration verwenden, können Sie die Konfiguration "Route All" aktivieren, damit der gesamte ausgehende Datenverkehr Netzwerksicherheitsgruppen und benutzerdefinierten Routen im Integrationssubnetz unterliegt. Sie können mit diesem Feature auch ausgehenden Datenverkehr von der App an öffentliche Adressen blockieren. Virtual Network-Integration kann nicht dazu verwendet werden, eingehenden Zugriff auf eine App bereitzustellen.

Für die Kommunikation mit Azure Services ist es häufig nicht erforderlich, von der IP-Adresse abhängig zu sein, und stattdessen sollten Mechaniken wie Dienstendpunkte verwendet werden.

Hinweis: Für App Service-Umgebungen enthalten Netzwerksicherheitsgruppen standardmäßig eine implizite Ablehnungsregel mit der niedrigsten Priorität, und Sie müssen explizite Zulassungsregeln hinzufügen. Fügen Sie Zulassungsregeln für Ihre Netzwerksicherheitsgruppe hinzu, und halten Sie sich dabei an einen Netzwerkansatz mit geringstmöglichen Rechten. Auf die zugrunde liegenden VMs zum Hosten der App Service-Umgebung kann nicht direkt zugegriffen werden, da sie sich in einem von Microsoft verwalteten Abonnement befinden.

Wenn Sie das Feature Virtual Network-Integration mit virtuellen Netzwerken in derselben Region verwenden, nutzen Sie Netzwerksicherheitsgruppen und Routingtabellen mit benutzerdefinierten Routen. Benutzerdefinierte Routen können im integrierten Subnetz platziert werden, damit ausgehender Datenverkehr wie vorgesehen gesendet wird.

Referenz: Integrieren Ihrer App in ein virtuelles Azure-Netzwerk

Unterstützung von Netzwerksicherheitsgruppen

Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Netzwerksicherheitsgruppenunterstützung ist für alle Kunden verfügbar, die App Service Umgebungen verwenden, aber nur in integrierten VNET-Apps für Kunden, die das öffentliche mehrinstanzenfähige Angebot verwenden.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: App Service-Umgebung Netzwerk

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Funktionen

Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie private Endpunkte für Ihre Azure Web-Apps, um Clients in Ihrem privaten Netzwerk den sicheren Zugriff auf die Apps über Private Link zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum Ihrer Azure Virtual Network-Instanz. Der Netzwerkdatenverkehr zwischen einem Client in Ihrem privaten Netzwerk und der Web-App wird über das virtuelle Netzwerk und Private Link im Microsoft-Backbonenetzwerk geleitet, sodass keine Verfügbarmachung im öffentlichen Internet erfolgt.

Hinweis: Der private Endpunkt wird nur für eingehende Flows an Ihre Web-App verwendet. Ausgehende Flows verwenden diesen privaten Endpunkt nicht. Sie können ausgehende Flows über die VNet-Integrationsfunktion in Ihr Netzwerk in ein anderes Subnetz einfügen. Die Verwendung privater Endpunkte für Dienste am empfangenden Ende App Service Datenverkehrs vermeidet SNAT und bietet einen stabilen ausgehenden IP-Bereich.

Zusätzliche Anleitung: Wenn Sie Container auf App Service ausführen, die in Azure Container Registry (ACR) gespeichert sind, stellen Sie sicher, dass diese Images über ein privates Netzwerk abgerufen werden. Konfigurieren Sie dazu einen privaten Endpunkt auf dem ACR, der diese Bilder speichert, und legen Sie die Anwendungseinstellung "WEBSITE_PULL_IMAGE_OVER_VNET" für Ihre Webanwendung fest.

Referenz: Verwenden privater Endpunkte für Azure Web App

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Öffentlichen Netzwerkzugriffs entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Deaktivieren Des Öffentlichen Netzwerkzugriffs mithilfe von IP-ACL-Filterregeln auf Dienstebene oder privaten Endpunkten oder durch Festlegen der publicNetworkAccess Eigenschaft auf deaktiviert in ARM.

Referenz: Einrichten Azure App Service Zugriffsbeschränkungen

NS-5: Bereitstellen von DDOS-Schutz

Weitere Anleitungen für NS-5

Aktivieren Sie DDOS Protection Standard in dem virtuellen Netzwerk, in dem die Web Application Firewall Ihres App Service gehostet wird. Azure bietet DDoS Basic-Schutz für sein Netzwerk, der mit intelligenten DDoS Standard-Funktionen verbessert werden kann, die sich mit normalen Datenverkehrsmustern vertraut machen und ungewöhnliches Verhalten erkennen können. DDoS Standard gilt für eine Virtual Network muss daher für die Netzwerkressource vor der App konfiguriert werden, z. B. Application Gateway oder ein NVA.

NS-6: Bereitstellen einer Web Application Firewall

Weitere Anleitungen für NS-6

Vermeiden Sie, dass die Web Application Firewall (WAF) für Ihre Anwendungen umgangen wird. Stellen Sie sicher, dass die WAF nicht umgangen werden kann, indem Sie den Zugriff nur auf die WAF sperren. Verwenden Sie eine Kombination aus Zugriffsbeschränkungen, Dienstendpunkten und privaten Endpunkten.

Schützen Sie außerdem einen App Service-Umgebung, indem Sie Datenverkehr über eine Web Application Firewall (WAF) weiterleiten, die Azure Application Gateway oder Azure Front Door aktiviert ist.

Für das mehrinstanzenfähige Angebot sichern Sie eingehenden Datenverkehr an Ihre App mit:

  • Zugriffsbeschränkungen: Eine Reihe von Regeln zum Zulassen oder Verweigern des eingehenden Zugriffs
  • Dienstendpunkte: können eingehenden Datenverkehr von außerhalb der angegebenen virtuellen Netzwerke oder Subnetze verweigern
  • Private Endpunkte: Machen Sie Ihre App für Ihre Virtual Network mit einer privaten IP-Adresse verfügbar. Wenn private Endpunkte in Ihrer App aktiviert sind, ist diese nicht mehr über das Internet verfügbar.

Erwägen Sie auch die Implementierung von Azure Firewall. Damit können Sie Richtlinien zur Anwendungs- und Netzwerkkonnektivität für alle Ihre Abonnements und virtuellen Netzwerke zentral erstellen, erzwingen und protokollieren. Azure Firewall verwendet eine statische öffentliche IP-Adresse für Ressourcen im virtuellen Netzwerk, die es außenstehenden Firewalls ermöglicht, Datenverkehr aus Ihrem virtuellen Netzwerk zu identifizieren.

Identitätsverwaltung

Weitere Informationen finden Sie im Microsoft Cloud Security Benchmark: Identity Management.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Funktionen

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie für authentifizierte Webanwendungen nur bekannte etablierte Identitätsanbieter, um den Benutzerzugriff zu authentifizieren und zu autorisieren. Für den Fall, dass nur Benutzer Ihrer eigenen organization auf Ihre App zugreifen sollen oder andernfalls alle Benutzer Azure Active Directory (Azure AD) verwenden, konfigurieren Sie Azure AD als Standardauthentifizierungsmethode, um den Zugriff auf Ihre Datenebene zu steuern.

Referenz: Authentifizierung und Autorisierung in Azure App Service und Azure Functions

Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene

Beschreibung: Lokale Authentifizierungsmethoden, die für den Zugriff auf Datenebene unterstützt werden, z. B. ein lokaler Benutzername und ein Kennwort. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Featurehinweise: Vermeiden Sie die Verwendung lokaler Authentifizierungsmethoden oder Konten. Diese sollten nach Möglichkeit deaktiviert werden. Verwenden Sie stattdessen Azure AD, um sich nach Möglichkeit zu authentifizieren.

Konfigurationsleitfaden: Beschränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene. Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern.

Referenz: Authentifizierung und Autorisierung in Azure App Service und Azure Functions

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Funktionen

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Ein gängiges Szenario für die Verwendung einer verwalteten Identität mit App Service ist der Zugriff auf andere Azure PaaS-Dienste wie Azure SQL Datenbank, Azure Storage oder Key Vault.

Referenz: Verwenden von verwalteten Identitäten für App Service und Azure Functions

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Zusätzliche Anleitung: Obwohl Dienstprinzipale vom Dienst als Muster für die Authentifizierung unterstützt werden, wird empfohlen, stattdessen nach Möglichkeit verwaltete Identitäten zu verwenden.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Web:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
App Service-Apps sollten eine verwaltete Identität verwenden Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden AuditIfNotExists, Disabled 3.0.0

IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen

Funktionen

Bedingter Zugriff für Datenebene

Beschreibung: Der Zugriff auf Datenebene kann mithilfe von Azure AD-Richtlinien für bedingten Zugriff gesteuert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Definieren Sie die anwendbaren Bedingungen und Kriterien für den bedingten Azure Active Directory -Zugriff (Azure AD) in der Workload. Betrachten Sie gängige Anwendungsfälle wie das Blockieren oder Gewähren des Zugriffs von bestimmten Standorten aus, das Blockieren riskanter Anmeldeverhalten oder die Anforderung organization verwalteter Geräte für bestimmte Anwendungen.

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Funktionen

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Die Datenebene unterstützt die native Verwendung von Azure Key Vault für den Speicher von Anmeldeinformationen und Geheimnissen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Stellen Sie sicher, dass App-Geheimnisse und Anmeldeinformationen an sicheren Speicherorten wie Azure Key Vault gespeichert werden, anstatt sie in Code- oder Konfigurationsdateien einzubetten. Verwenden Sie eine verwaltete Identität in Ihrer App, um dann auf sichere Weise auf Anmeldeinformationen oder Geheimnisse zuzugreifen, die in Key Vault gespeichert sind.

Referenz: Verwenden Key Vault Verweise für App Service und Azure Functions

Privilegierter Zugriff

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Privilegierter Zugriff.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Funktionen

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Datenebenenaktionen des Diensts verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Funktionen

Kunden-Lockbox

Beschreibung: Kunden-Lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kunden-Lockbox, um die datenzugriffsanforderungen von Microsoft zu überprüfen und dann zu genehmigen oder abzulehnen.

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-1: Ermitteln, Klassifizieren und Bezeichnen von vertraulichen Daten

Funktionen

Ermittlung und Klassifizierung vertraulicher Daten

Beschreibung: Tools (z. B. Azure Purview oder Azure Information Protection) können für die Datenermittlung und -klassifizierung im Dienst verwendet werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Featurehinweise: Implementieren Sie die Überprüfung von Anmeldeinformationen in Ihrer Buildpipeline, um Anmeldeinformationen im Code zu identifizieren. In Credential Scanner wird auch das Verschieben von ermittelten Anmeldeinformationen an sicherere Speicherorte (z. B. Azure Key Vault) empfohlen.

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Funktionen

Verhinderung von Datenlecks/Verlusten

Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (in Kundeninhalten) zu überwachen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Featurehinweise: Obwohl Die Features zur Datenidentifizierung, -klassifizierung und -verhinderung noch nicht für App Service verfügbar sind, können Sie das Risiko der Datenexfiltration aus dem virtuellen Netzwerk verringern, indem Sie alle Regeln entfernen, bei denen das Ziel ein "Tag" für Internet- oder Azure-Dienste verwendet.

Microsoft verwaltet die zugrunde liegende Infrastruktur für App Service und hat strenge Kontrollen implementiert, um Verluste oder Offenlegungen Ihrer Daten zu verhindern.

Verwenden Sie Tags, um die Nachverfolgung App Service Ressourcen zu unterstützen, die vertrauliche Informationen speichern oder verarbeiten.

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Funktionen

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden und erzwingen Sie die standardmäßige Mindestversion von TLS v1.2, die in den TLS/SSL-Einstellungen konfiguriert ist, um alle Informationen während der Übertragung zu verschlüsseln. Stellen Sie außerdem sicher, dass alle HTTP-Verbindungsanforderungen an HTTPS umgeleitet werden.

Referenz: Hinzufügen eines TLS/SSL-Zertifikats in Azure App Service

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Web:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. Audit, Disabled, Deny 4.0.0

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Funktionen

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Featurehinweise: Websiteinhalte in einer App Service-App, z. B. Dateien, werden in Azure Storage gespeichert, wodurch ruhende Inhalte automatisch verschlüsselt werden. Sie können festlegen, dass Anwendungsgeheimnisse in Key Vault gespeichert werden, und diese zur Laufzeit abrufen.

Die Kundengeheimnisse werden im Ruhezustand verschlüsselt, während sie in App Service-Konfigurationsdatenbanken gespeichert sind.

Beachten Sie, dass lokal angefügte Datenträger zwar optional von Websites als temporären Speicher (z. B. D:\local und %TMP%) verwendet werden können, sie jedoch nur im Ruhezustand im öffentlichen mehrinstanzenfähigen App Service Angebot verschlüsselt werden, in dem die Pv3-SKU verwendet werden kann. Für ältere öffentliche Skalierungseinheiten mit mehreren Mandanten, bei denen die Pv3-SKU nicht verfügbar ist, muss der Kunde eine neue Ressourcengruppe erstellen und seine Ressourcen dort erneut bereitstellen.

Darüber hinaus hat der Kunde die Möglichkeit, seine Anwendung in App Service direkt aus einem ZIP-Paket auszuführen. Weitere Informationen finden Sie unter Ausführen Ihrer App in Azure App Service direkt aus einem ZIP-Paket.

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Funktionen

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Definieren Sie bei Bedarf für die Einhaltung gesetzlicher Bestimmungen den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten.

Hinweis: Websiteinhalte in einer App Service-App, z. B. Dateien, werden in Azure Storage gespeichert, wodurch ruhende Inhalte automatisch verschlüsselt werden. Sie können festlegen, dass Anwendungsgeheimnisse in Key Vault gespeichert werden, und diese zur Laufzeit abrufen.

Die Kundengeheimnisse werden im Ruhezustand verschlüsselt, während sie in App Service-Konfigurationsdatenbanken gespeichert sind.

Beachten Sie, dass von Websites optional zwar lokal angefügte Datenträger als temporärer Speicher verwendet werden können (z. B. „D:\local“ und „%TMP%“), diese aber nicht im Ruhezustand verschlüsselt werden.

Referenz: Verschlüsselung ruhender Daten mithilfe von kundenseitig verwalteten Schlüsseln

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Funktionen

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Azure Key Vault-Integration für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und Ihrem Dienst basierend auf einem definierten Zeitplan oder bei einem Ausfall oder einer Kompromittierung des Schlüssels. Wenn der kundenseitig verwaltete Schlüssel (Customer Managed Key, CMK) auf Workload-, Dienst- oder Anwendungsebene verwendet werden muss, sollten Sie die bewährten Methoden für die Schlüsselverwaltung befolgen: Verwenden Sie eine Schlüsselhierarchie, um einen separaten Datenverschlüsselungsschlüssel (Data Encryption Key, DEK) mit Ihrem Schlüsselverschlüsselungsschlüssel (KEK) in Ihrem Schlüsseltresor zu generieren. Stellen Sie sicher, dass Schlüssel bei Azure Key Vault registriert und über Schlüssel-IDs des Diensts oder der Anwendung referenziert werden. Wenn Sie Ihren eigenen Schlüssel (BYOK) für den Dienst verwenden müssen (z. B. das Importieren von HSM-geschützten Schlüsseln von Ihren lokalen HSMs in Azure Key Vault), befolgen Sie die empfohlenen Richtlinien für die erste Schlüsselgenerierung und Schlüsselübertragung.

Referenz: Verwenden Sie Key Vault Verweise für App Service und Azure Functions

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Funktionen

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: App Service können mit SSL/TLS und anderen Zertifikaten konfiguriert werden, die direkt auf App Service konfiguriert oder von Key Vault aus referenziert werden können. Um die zentrale Verwaltung aller Zertifikate und Geheimnisse sicherzustellen, speichern Sie alle von App Service verwendeten Zertifikate in Key Vault, anstatt sie lokal auf App Service direkt bereitzustellen. Wenn dies konfiguriert ist, lädt App Service automatisch das neueste Zertifikat aus Azure Key Vault herunter. Stellen Sie sicher, dass die Zertifikatgenerierung definierten Standards folgt, ohne unsichere Eigenschaften zu verwenden, z. B. unzureichende Schlüsselgröße, zu lange Gültigkeitsdauer, unsichere Kryptografie. Richten Sie die automatische Rotation des Zertifikats in Azure Key Vault basierend auf einem definierten Zeitplan oder beim Ablauf des Zertifikats ein.

Referenz: Hinzufügen eines TLS/SSL-Zertifikats in Azure App Service

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Funktionen

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für Cloud, um Azure Policy zum Überwachen und Erzwingen von Konfigurationen Ihrer Azure-Ressourcen zu konfigurieren. Verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn eine Konfigurationsabweichung für die Ressourcen erkannt wird. Verwenden Sie Azure Policy [Verweigern] und [Bereitstellen, falls nicht vorhanden] Effekte, um eine sichere Konfiguration für Azure-Ressourcen zu erzwingen.

Hinweis: Definieren und implementieren Sie Standardsicherheitskonfigurationen für Ihre App Service bereitgestellten Apps mit Azure Policy. Verwenden Sie integrierte Azure Policy-Definitionen sowie Azure Policy Aliase im Namespace "Microsoft.Web", um benutzerdefinierte Richtlinien zum Warnen, Überwachen und Erzwingen von Systemkonfigurationen zu erstellen. Entwickeln Sie einen Prozess und eine Pipeline zum Verwalten von Richtlinienausnahmen.

Referenz: Azure Policy Kontrollen zur Einhaltung gesetzlicher Bestimmungen für Azure App Service

AM-4: Beschränken des Zugriffs auf die Ressourcenverwaltung

Weitere Anleitungen für AM-4

Isolieren Sie die Systeme, in denen vertrauliche Informationen verarbeitet werden. Verwenden Sie dazu separate App Service-Pläne oder App Service-Umgebungen, und ziehen Sie die Verwendung verschiedener Abonnements oder Verwaltungsgruppen in Betracht.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Funktionen

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen von Sicherheitsproblemen. Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Verwenden Sie Microsoft Defender für App Service, um Angriffe auf Anwendungen zu identifizieren, die über App Service ausgeführt werden. Wenn Sie Microsoft Defender für App Service aktivieren, profitieren Sie umgehend von den folgenden Diensten, die im Rahmen dieses Defender-Plans angeboten werden:

  • Sicher: Defender für App Service bewertet die Ressourcen, die von Ihrem App Service-Plan abgedeckt sind, und generiert Sicherheitsempfehlungen basierend auf den Ergebnissen. Verwenden Sie die ausführlichen Anweisungen in diesen Empfehlungen, um die Sicherheit Ihrer App Service-Ressourcen zu verbessern.

  • Erkennen: Defender für App Service erkennt eine Vielzahl von Bedrohungen für Ihre App Service Ressourcen, indem die VM-instance, in der Ihr App Service ausgeführt wird, und die Verwaltungsschnittstelle, die Anforderungen und Antworten, die an und von Ihren App Service-Apps gesendet werden, die zugrunde liegenden Sandboxen und VMs überwacht werden, und App Service interne Protokolle.

Referenz: Schützen Ihrer Web-Apps und APIs

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Funktionen

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erstellt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Aktivieren Sie Ressourcenprotokolle für Ihre Web-Apps auf App Service.

Referenz: Aktivieren der Diagnose Protokollierung für Apps in Azure App Service

Status- und Sicherheitsrisikoverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Haltungs- und Sicherheitsrisikoverwaltung.

PV-2: Überwachen und Erzwingen sicherer Konfigurationen

Weitere Anleitungen für PV-2

Deaktivieren Sie das Remotedebuggen. Das Remotedebuggen darf für Produktionsworkloads nicht aktiviert werden, da dadurch zusätzliche Ports für den Dienst geöffnet werden, was die Angriffsfläche erhöht.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.Web:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
[veraltet]: Funktions-Apps sollten "Clientzertifikate (eingehende Clientzertifikate)" aktiviert sein. Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit gültigen Zertifikaten können auf die App zugreifen. Diese Richtlinie wurde durch eine neue Richtlinie mit demselben Namen ersetzt, da Http 2.0 keine Clientzertifikate unterstützt. Audit, Disabled 3.1.0-veraltet

PV-7: Regelmäßige Red Team-Vorgänge durchführen

Weitere Anleitungen für PV-7

Führen Sie regelmäßige Penetrationstests für Ihre Webanwendungen nach den Regeln für Penetrationstests durch.

Sicherung und Wiederherstellung

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Funktionen

Azure Backup

Beschreibung: Der Dienst kann durch den Azure Backup-Dienst gesichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Customer

Konfigurationsleitfaden: Implementieren Sie nach Möglichkeit zustandsloses Anwendungsdesign, um Wiederherstellungs- und Sicherungsszenarien mit App Service zu vereinfachen.

Wenn Sie wirklich eine zustandsbehaftete Anwendung verwalten müssen, aktivieren Sie die Funktion Zum Sichern und Wiederherstellen in App Service mit der Sie App-Sicherungen ganz einfach manuell oder nach einem Zeitplan erstellen können. Sie können die Sicherungen so konfigurieren, dass Sie für einen bis zu unbestimmten Zeitraum aufbewahrt werden. Sie können die App mit einer Momentaufnahme eines früheren Zustands wiederherstellen, indem Sie die vorhandene App überschreiben oder als andere App wiederherstellen. Stellen Sie sicher, dass regelmäßige und automatisierte Sicherungen in einer Häufigkeit erfolgen, die in Ihren Organisationsrichtlinien definiert ist.

Hinweis: App Service können die folgenden Informationen in einem Azure-Speicherkonto und -Container sichern, die Sie für die Verwendung Ihrer App konfiguriert haben:

  • App-Konfiguration
  • Dateiinhalte
  • Datenbank, die mit Ihrer App verbunden ist.

Referenz: Sichern Ihrer App in Azure

Service Native Backup-Funktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (falls nicht Azure Backup). Weitere Informationen.

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DevOps-Sicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: DevOps-Sicherheit.

DS-6: Erzwingen der Sicherheit von Workloads während des DevOps-Lebenszyklus

Weitere Anleitungen für DS-6

Stellen Sie Code für App Service aus einer kontrollierten und vertrauenswürdigen Umgebung bereit, z. B. eine gut verwaltete und gesicherte DevOps-Bereitstellungspipeline. Dadurch wird Code vermieden, der nicht von der Version gesteuert und überprüft wurde, um von einem böswilligen Host bereitgestellt zu werden.

Nächste Schritte