Angeben von Sicherheitsanforderungen für Webworkloads
In dieser Lerneinheit wird die Azure-Sicherheitsbaseline für App Service zusammengefasst, um Sie bei der Erstellung neuer Anforderungsspezifikationen für Webworkloads zu unterstützen.
Weitere Informationen zur Microsoft Cloud Security Benchmark finden Sie unter Einführung in die Microsoft Cybersecurity Reference Architecture und in die Cloud Security Benchmark.
In der folgenden Tabelle sind Steuerelemente aus der vollständigen Baseline enthalten, wobei Folgendes gilt:
- Sicherheitssteuerelemente wurden unterstützt, aber nicht standardmäßig aktiviert.
- Es gab eine explizite Anleitung mit den von Kunden zu ergreifenden Maßnahmen.
| Bereich | Control | Komponente | Zusammenfassung der Anleitung |
|---|---|---|---|
| Netzwerksicherheit | NS-1: Einrichten von Grenzen für die Netzwerksegmentierung | Virtual Network-Integration | Sicherstellen stabiler IP für die ausgehende Kommunikation mit Internetadressen: Sie können eine stabile ausgehende IP bereitstellen, indem Sie das Integrationsfeature von Virtual Network verwenden. Dadurch kann die empfangende Partei bei Bedarf IP-Adressen auf die Positivliste setzen. |
| NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen | Azure Private Link | Verwenden Sie private Endpunkte für Ihre Azure-Web-Apps, um Clients in Ihrem privaten Netzwerk den sicheren Zugriff auf Apps über Private Link zu ermöglichen. Der private Endpunkt verwendet eine IP-Adresse aus dem Adressraum Ihrer Azure Virtual Network-Instanz. | |
| NS-2: Schützen von Clouddiensten mit Netzwerkkontrollen | Deaktivieren des Zugriffs aus öffentlichen Netzwerken | Deaktivieren Sie den Zugriff auf öffentliche Netzwerke, indem Sie entweder IP-ACL-Filterregeln auf Dienstebene oder private Endpunkte verwenden oder indem Sie die publicNetworkAccess-Eigenschaft in Azure Resource Manager auf „Deaktiviert“ festlegen. | |
| NS-5: Bereitstellen von DDoS Protection | Aktivieren Sie DDoS Protection in dem virtuellen Netzwerk, in dem die Web Application Firewall Ihres App Service gehostet wird. Azure bietet DDoS-Infrastrukturschutz (Basic) in seinem Netzwerk. Um intelligente DDoS-Funktionen zu verbessern, aktivieren Sie Azure DDoS Protection. Diese Funktion erlernt normale Datenverkehrsmuster und kann ein ungewöhnliches Verhalten erkennen. Azure DDoS Protection besteht aus zwei Ebenen: Netzwerkschutz und IP-Schutz. | ||
| NS-6: Bereitstellen einer Web Application Firewall | Vermeiden Sie, dass die Web Application Firewall (WAF) für Ihre Anwendungen umgangen wird. Stellen Sie sicher, dass die WAF nicht umgangen werden kann, indem Sie den Zugriff nur auf die WAF sperren. Verwenden Sie eine Kombination aus Zugriffsbeschränkungen, Dienstendpunkten und privaten Endpunkten. | ||
| Identitätsverwaltung | IM-1: Verwenden eines zentralen Identitäts- und Authentifizierungssystems | Microsoft Entra-Authentifizierung für den Zugriff auf Datenebene erforderlich | Verwenden Sie für authentifizierte Webanwendungen nur bekannte etablierte Identitätsanbieter, um den Benutzerzugriff zu authentifizieren und zu autorisieren. |
| Lokale Authentifizierungsmethoden für den Zugriff auf Datenebene | Schränken Sie die Verwendung lokaler Authentifizierungsmethoden für den Zugriff auf Datenebene ein. Verwenden Sie stattdessen Microsoft Entra ID als Standardauthentifizierungsmethode, um den Zugriff auf die Datenebene zu steuern. | ||
| IM-3: Sicheres und automatisches Verwalten von Anwendungsidentitäten | Verwaltete Identitäten | Verwenden Sie, falls möglich, verwaltete Azure-Identitäten anstelle von Dienstprinzipalen, die sich bei Azure-Diensten und -Ressourcen authentifizieren können, die die Microsoft Entra-Authentifizierung unterstützen. Anmeldeinformationen für verwaltete Identitäten werden vollständig verwaltet, rotiert und von der Plattform geschützt. Hierbei werden hartcodierte Anmeldeinformationen im Quellcode oder in Konfigurationsdateien vermieden. | |
| IM-7: Einschränken des Ressourcenzugriffs basierend auf Bedingungen | Bedingter Zugriff für Datenebene | Definieren Sie die anwendbaren Bedingungen und Kriterien für bedingten Microsoft Entra-Zugriff in der Workload. | |
| IM-8: Einschränken der Gefährdung von Anmeldeinformationen und Geheimnissen | Unterstützung von Integration und Speicher in Azure Key Vault durch Dienstanmeldeinformationen und Geheimnisse | Stellen Sie sicher, dass Geheimnisse und Anmeldeinformationen von Apps an sicheren Orten wie Azure Key Vault gespeichert werden, anstatt sie in Code oder Konfigurationsdateien einzubetten. Verwenden Sie eine verwaltete Identität in Ihrer App, um dann auf sichere Weise auf Anmeldeinformationen oder Geheimnisse zuzugreifen, die in Key Vault gespeichert sind. | |
| Privilegierter Zugriff | PA-8: Bestimmen des Zugriffsprozesses für die Unterstützung von Cloudanbietern | Kunden-Lockbox | Verwenden Sie Kunden-Lockbox in Supportszenarien, in denen Microsoft auf Ihre Daten zugreifen muss, um jede Datenzugriffsanforderung von Microsoft zu überprüfen und zu genehmigen oder abzulehnen. |
| Schutz von Daten | DP-3: Verschlüsseln in Übertragung begriffener vertraulicher Daten | Verschlüsselung von Daten während der Übertragung | Verwenden Sie für die Verschlüsselung sämtlicher übertragener Informationen die Mindestversion TLS v1.2, die in den TLS/SSL-Einstellungen konfiguriert ist. Stellen Sie außerdem sicher, dass alle HTTP-Verbindungsanforderungen an HTTPS umgeleitet werden. |
| DP-5: Verwenden der Option kundenseitig verwalteter Schlüssel bei der Verschlüsselung ruhender Daten bei Bedarf | Verschlüsselung ruhender Daten mithilfe von CMK | Wenn dies für die Einhaltung gesetzlicher Bestimmungen erforderlich ist, definieren Sie den Anwendungsfall und den Dienstbereich, in dem eine Verschlüsselung mit kundenseitig verwalteten Schlüsseln erforderlich ist. Aktivieren und implementieren Sie die Verschlüsselung ruhender Daten mithilfe eines kundenseitig verwalteten Schlüssels in Diensten. | |
| DP-6: Verwenden eines sicheren Schlüsselverwaltungsprozesses | Schlüsselverwaltung in Azure Key Vault | Verwenden Sie Azure Key Vault, um den Lebenszyklus Ihrer Verschlüsselungsschlüssel zu erstellen und zu steuern, einschließlich Schlüsselgenerierung, -verteilung und -speicherung. Rotieren und widerrufen Sie Ihre Schlüssel in Azure Key Vault und in Ihrem Dienst basierend auf einem definierten Zeitplan oder bei Außerbetriebnahme oder Kompromittierung eines Schlüssels. | |
| DP-7: Verwenden eines sicheren Zertifikatverwaltungsprozesses | Zertifikatverwaltung in Azure Key Vault | App Service kann mit SSL/TLS und anderen Zertifikaten konfiguriert werden, die direkt auf App Service konfiguriert oder von Key Vault aus referenziert werden können. Um die zentrale Verwaltung aller Zertifikate und Geheimnisse sicherzustellen, speichern Sie alle von App Service verwendeten Zertifikate in Key Vault, anstatt sie lokal auf App Service direkt bereitzustellen. | |
| Asset-Management | AM-2: Ausschließliches Verwenden genehmigter Dienste | ||
| AM-4: Beschränken des Zugriffs auf die Ressourcenverwaltung | Isolieren Sie die Systeme, in denen vertrauliche Informationen verarbeitet werden. Verwenden Sie dazu separate App Service-Pläne oder App Service-Umgebungen, und ziehen Sie die Verwendung verschiedener Abonnements oder Verwaltungsgruppen in Betracht. | ||
| Protokollierung und Bedrohungserkennung | LT-1: Aktivieren von Funktionen für die Bedrohungserkennung | Microsoft Defender for Service / Produktangebot | Microsoft Defender for App Service zum Identifizieren von Angriffen auf Anwendungen, die über App Service ausgeführt werden. |
| LT-4: Aktivieren der Protokollierung für die Sicherheitsuntersuchung | Azure-Ressourcenprotokolle | Aktivieren Sie Ressourcenprotokolle für Ihre Web-Apps auf App Service. | |
| Status- und Sicherheitsrisikoverwaltung | PV-2: Überwachen und Erzwingen sicherer Konfigurationen | Deaktivieren Sie das Remotedebuggen. Das Remotedebuggen darf für Produktionsworkloads nicht aktiviert werden, da dadurch weitere Ports für den Dienst geöffnet werden, wodurch sich die Angriffsfläche erhöht. | |
| PV-7: Regelmäßige Red Team-Vorgänge durchführen | Führen Sie regelmäßige Penetrationstests für Ihre Webanwendungen gemäß den Regeln für Penetrationstests durch. | ||
| Sicherung und Wiederherstellung | BR-1: Sicherstellen regelmäßiger automatisierter Sicherungen | Azure Backup | Implementieren Sie nach Möglichkeit zustandsloses Anwendungsdesign, um Wiederherstellungs- und Sicherungsszenarien mit App Service zu vereinfachen. Wenn Sie wirklich eine zustandsbehaftete Anwendung verwalten müssen, aktivieren Sie das Feature zum Sichern und Wiederherstellen in App Service, mit dem Sie App-Sicherungen ganz einfach manuell oder nach einem Zeitplan erstellen können. |
| DevOps-Sicherheit | DS-6: Erzwingen der Sicherheit von Workloads während des DevOps-Lebenszyklus | Stellen Sie Code für App Service aus einer kontrollierten und vertrauenswürdigen Umgebung bereit, z. B. eine gut verwaltete und gesicherte DevOps-Bereitstellungspipeline. Dadurch wird vermieden, dass Code, der weder der Versionskontrolle unterliegt noch verifiziert wurde, von einem böswilligen Host bereitgestellt wird. |