Azure-Sicherheitsbaseline für Azure Spring Apps

Diese Sicherheitsbaseline wendet Anleitungen des Microsoft Cloud Security Benchmark Version 1.0 auf Azure Spring Apps an. Der Microsoft Clout-Sicherheitsvergleichstest enthält Empfehlungen zum Schutz Ihrer Cloudlösungen in Azure. Der Inhalt wird nach den Sicherheitskontrollen gruppiert, die durch den Microsoft Cloud Security Benchmark definiert sind, und den entsprechenden Anleitungen, die für Azure Spring Apps gelten.

Diese Sicherheitsbaseline und ihre Empfehlungen können Sie mithilfe von Microsoft Defender for Cloud überwachen. Azure Policy Definitionen werden im Abschnitt Einhaltung gesetzlicher Bestimmungen der Portalseite Microsoft Defender für Cloud aufgeführt.

Wenn ein Feature über relevante Azure Policy Definitionen verfügt, werden diese in dieser Baseline aufgeführt, damit Sie die Konformität mit den Microsoft Cloud Security Benchmark-Kontrollen und Empfehlungen messen können. Einige Empfehlungen erfordern möglicherweise einen kostenpflichtigen Microsoft Defender Plan, um bestimmte Sicherheitsszenarien zu ermöglichen.

Hinweis

Features , die nicht für Azure Spring Apps gelten, wurden ausgeschlossen. Informationen dazu, wie Azure Spring Apps vollständig dem Microsoft Cloud Security Benchmark zugeordnet ist, finden Sie in der vollständigen Zuordnungsdatei für die Azure Spring Apps-Sicherheitsbaseline.

Sicherheitsprofil

Das Sicherheitsprofil fasst das Verhalten von Azure Spring Apps mit hohen Auswirkungen zusammen, was zu erhöhten Sicherheitsüberlegungen führen kann.

Dienstverhaltensattribut Wert
Produktkategorie Container, Web
Der Kunde kann auf HOST/OS zugreifen Kein Zugriff
Der Dienst kann im virtuellen Netzwerk des Kunden bereitgestellt werden. True
Speichert kundenbezogene Inhalte im Ruhezustand True

Netzwerksicherheit

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Netzwerksicherheit.

NS-1: Einrichten von Grenzen für die Netzwerksegmentierung

Features

Virtual Network-Integration

Beschreibung: Der Dienst unterstützt die Bereitstellung im privaten Virtual Network (VNet) des Kunden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Stellen Sie Azure Spring Apps während der Dienst- instance Bereitstellung in Ihrem eigenen virtuellen Netzwerk bereit. Dann werden Apps und Die Dienstlaufzeit in Azure Spring Apps vom öffentlichen Internet isoliert.

Referenz: Bereitstellen von Azure Spring Apps in einem virtuellen Netzwerk

Unterstützung von Netzwerksicherheitsgruppen

Beschreibung: Der Dienstnetzwerkdatenverkehr berücksichtigt die Regelzuweisung von Netzwerksicherheitsgruppen in seinen Subnetzen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie Netzwerksicherheitsgruppen (NSG), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken oder zu überwachen. Erstellen Sie NSG-Regeln, um die offenen Ports Ihres Diensts einzuschränken (z. B. um zu verhindern, dass auf Verwaltungsports aus nicht vertrauenswürdigen Netzwerken zugegriffen wird).

Beachten Sie, dass für Wartungsaufgaben auf eine Reihe von Ports und Adressen zugegriffen werden muss. Weitere Informationen finden Sie in der Referenz.

Referenz: Azure Spring Apps-Netzwerkanforderungen

NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen

Features

Beschreibung: Dienstnative IP-Filterfunktion zum Filtern von Netzwerkdatenverkehr (nicht zu verwechseln mit NSG oder Azure Firewall). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beschreibung: Der Dienst unterstützt das Deaktivieren des Zugriffs auf öffentliche Netzwerke entweder mithilfe einer IP-ACL-Filterregel auf Dienstebene (nicht NSG oder Azure Firewall) oder mithilfe eines Umschaltschalters "Öffentlichen Netzwerkzugriff deaktivieren". Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Microsoft Defender für Cloud-Überwachung

Integrierte Azure Policy-Definitionen – Microsoft.AppPlatform:

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Azure Spring Cloud muss Netzwerkinjektion verwenden Azure Spring Cloud-Instanzen sollten die VNET-Injektion für folgende Zwecke verwenden: 1. Azure Spring Cloud vom Internet isolieren. 2. Die Interaktion von Azure Spring Cloud mit Systemen in lokalen Rechenzentren oder im Azure-Dienst in anderen VNETs ermöglichen. 3. Kunden die Steuerung der eingehenden und ausgehenden Netzwerkkommunikation für Azure Spring Cloud erlauben Audit, Disabled, Deny 1.2.0

Identitätsverwaltung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Identitätsverwaltung.

IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems

Features

Azure AD-Authentifizierung für den Zugriff auf Datenebene erforderlich

Beschreibung: Der Dienst unterstützt die Verwendung der Azure AD-Authentifizierung für den Zugriff auf Datenebene. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie Azure Active Directory (Azure AD) als Standardauthentifizierungsmethode, um den Zugriff auf Datenebene zu steuern.

Referenz: Zugriffskonfigurationsserver und Dienstregistrierung

IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten

Features

Verwaltete Identitäten

Beschreibung: Aktionen auf Datenebene unterstützen die Authentifizierung mit verwalteten Identitäten. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie nach Möglichkeit verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Azure Active Directory -Authentifizierung (Azure AD) unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden.

Referenz: Verwenden von verwalteten Identitäten für Anwendungen in Azure Spring Cloud

Dienstprinzipale

Beschreibung: Die Datenebene unterstützt die Authentifizierung mithilfe von Dienstprinzipalen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Es gibt keine aktuellen Microsoft-Anleitungen für diese Featurekonfiguration. Überprüfen Sie, ob Ihr organization dieses Sicherheitsfeature konfigurieren möchte.

Referenz: Zugriffskonfigurationsserver und Dienstregistrierung

IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen

Features

Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse

Beschreibung: Datenebene unterstützt die native Verwendung von Azure Key Vault für Anmeldeinformationen und Geheimnisspeicher. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Featurehinweise: Es gibt zwei Teile der Datenebene von Azure Spring Cloud: Kunden-Apps und verwaltete Komponenten. Kunden-Apps können mit verwalteter Identität auf Key Vault zugreifen. Für verwaltete Komponenten wird Key Vault Integration noch nicht unterstützt.

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Privilegierter Zugriff

Weitere Informationen finden Sie im Microsoft-Cloudsicherheitstest: Privilegierter Zugriff.

PA-1: Trennen und Einschränken stark privilegierter Benutzer/Administratoren

Features

Lokale Admin Konten

Beschreibung: Der Dienst hat das Konzept eines lokalen Administratorkontos. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

PA-7: Befolgen Sie die Prinzipien der Just Enough Administration (Prinzip der geringsten Rechte)

Features

Azure RBAC für Datenebene

Beschreibung: Azure Role-Based Access Control (Azure RBAC) kann für den verwalteten Zugriff auf die Aktionen der Datenebene des Diensts verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie die rollenbasierte Zugriffssteuerung von Azure (Azure RBAC), um den Zugriff auf den integrierten Spring Cloud Config Server und die Spring Cloud Service Registry in Azure Spring Apps zu verwalten. Die integrierte Rollendefinition und Anweisungen werden im folgenden Dokument erläutert.

Referenz: Zugriffskonfigurationsserver und Dienstregistrierung

PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern

Features

Kunden-Lockbox

Beschreibung: Kunden lockbox kann für den Microsoft-Supportzugriff verwendet werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Verwenden Sie in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, die Kundensperrbox zum Überprüfen und genehmigen oder ablehnen Sie dann alle Datenzugriffsanforderungen von Microsoft.

Referenz: Sicherheitskontrollen für Azure Spring Cloud Service

Schutz von Daten

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Datenschutz.

DP-2: Überwachen von Anomalien und Bedrohungen für sensible Daten

Features

Verhinderung von Datenlecks/-verlusten

Beschreibung: Der Dienst unterstützt die DLP-Lösung, um die Verschiebung vertraulicher Daten (im Inhalt des Kunden) zu überwachen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten

Features

Verschlüsselung von Daten während der Übertragung

Beschreibung: Der Dienst unterstützt die Verschlüsselung von Daten während der Übertragung für die Datenebene. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Sicherheitskontrollen für Azure Spring Cloud Service

DP-4: Aktivieren einer standardmäßigen Verschlüsselung für ruhende Daten

Features

Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln

Beschreibung: Die Verschlüsselung ruhender Daten mithilfe von Plattformschlüsseln wird unterstützt. Ruhende Kundeninhalte werden mit diesen von Microsoft verwalteten Schlüsseln verschlüsselt. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True True Microsoft

Konfigurationsleitfaden: Es sind keine zusätzlichen Konfigurationen erforderlich, da dies in einer Standardbereitstellung aktiviert ist.

Referenz: Sicherheitskontrollen für Azure Spring Cloud Service

DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf

Features

Verschlüsselung ruhender Daten mithilfe von CMK

Beschreibung: Die Verschlüsselung ruhender Daten mit kundenseitig verwalteten Schlüsseln wird für Kundeninhalte unterstützt, die vom Dienst gespeichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses

Features

Schlüsselverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenschlüssel, Geheimnisse oder Zertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses

Features

Zertifikatverwaltung in Azure Key Vault

Beschreibung: Der Dienst unterstützt die Integration von Azure Key Vault für alle Kundenzertifikate. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Beim Aktivieren einer benutzerdefinierten Domäne für Apps in Azure Spring Apps können Kunden Zertifikate in Azure Key Vault speichern und in Azure Spring Apps importieren, um Transport Layer Security (TLS) für eingehenden Datenverkehr zu erzwingen. Ausführliche Anweisungen finden Sie in der Referenz.

Referenz: Tutorial: Zuordnen einer vorhandenen benutzerdefinierten Domäne zu Azure Spring Cloud

Asset-Management

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Asset Management.

AM-2: Ausschließliches Verwenden genehmigter Dienste

Features

Azure Policy-Unterstützung

Beschreibung: Dienstkonfigurationen können über Azure Policy überwacht und erzwungen werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Protokollierung und Bedrohungserkennung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Protokollierung und Bedrohungserkennung.

LT-1: Aktivieren von Funktionen für die Bedrohungserkennung

Features

Microsoft Defender for Service / Produktangebot

Beschreibung: Der Dienst verfügt über eine angebotsspezifische Microsoft Defender Lösung zum Überwachen und Warnen bei Sicherheitsproblemen. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung

Features

Azure-Ressourcenprotokolle

Beschreibung: Der Dienst erzeugt Ressourcenprotokolle, die erweiterte dienstspezifische Metriken und Protokollierung bereitstellen können. Der Kunde kann diese Ressourcenprotokolle konfigurieren und sie an seine eigene Datensenke wie ein Speicherkonto oder einen Log Analytics-Arbeitsbereich senden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
True False Kunde

Konfigurationsleitfaden: Aktivieren Sie verschiedene Arten von Ressourcenprotokollen in Azure Spring Apps, einschließlich Kunden-App-Konsolenprotokollen, Protokollen für verwaltete Komponenten, Eingangsprotokolle und Buildaufgabenprotokolle.

Weitere Informationen finden Sie in der Referenz.

Referenz: Analysieren von Protokollen und Metriken mit Diagnose Einstellungen

Sicherung und Wiederherstellung

Weitere Informationen finden Sie unter Microsoft Cloud Security Benchmark: Sicherung und Wiederherstellung.

BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen

Features

Azure Backup

Beschreibung: Der Dienst kann vom Azure Backup-Dienst gesichert werden. Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Dienstnative Sicherungsfunktion

Beschreibung: Der Dienst unterstützt seine eigene native Sicherungsfunktion (wenn er nicht Azure Backup verwendet). Weitere Informationen

Unterstützt Standardmäßig aktiviert Konfigurationsverantwortung
False Nicht zutreffend Nicht zutreffend

Konfigurationsleitfaden: Dieses Feature wird nicht unterstützt, um diesen Dienst zu schützen.

Nächste Schritte