Linha de base de segurança do Azure para o Logic Apps

Esta linha de base de segurança aplica orientações da versão de referência de segurança da cloud da Microsoft 1.0 ao Logic Apps. A referência de segurança da cloud da Microsoft fornece recomendações sobre como pode proteger as suas soluções na cloud no Azure. O conteúdo é agrupado pelos controlos de segurança definidos pela referência de segurança da cloud da Microsoft e pelas orientações relacionadas aplicáveis ao Logic Apps.

Pode monitorizar esta linha de base de segurança e as respetivas recomendações com Microsoft Defender para a Cloud. Azure Policy definições serão listadas na secção Conformidade Regulamentar da página Microsoft Defender do portal da Cloud.

Quando uma funcionalidade tem definições de Azure Policy relevantes, estas são listadas nesta linha de base para o ajudar a medir a conformidade com os controlos e recomendações de referência de segurança da cloud da Microsoft. Algumas recomendações podem exigir um plano de Microsoft Defender pago para ativar determinados cenários de segurança.

Nota

As funcionalidades não aplicáveis ao Logic Apps foram excluídas. Para ver como o Logic Apps mapeia completamente para a referência de segurança da cloud da Microsoft, veja o ficheiro completo de mapeamento da linha de base de segurança do Logic Apps.

Perfil de segurança

O perfil de segurança resume comportamentos de alto impacto do Logic Apps, o que pode resultar em considerações de segurança acrescidas.

Atributo comportamento do serviço Valor
Product Category (Categoria de Produto) Integração
O cliente pode aceder ao HOST/SO Sem Acesso
O serviço pode ser implementado na rede virtual do cliente Verdadeiro
Armazena o conteúdo do cliente inativo Verdadeiro

Segurança da rede

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Segurança de rede.

NS-1: Estabelecer limites de segmentação de rede

Funcionalidades

Integração da Rede Virtual

Descrição: o serviço suporta a implementação na Rede Virtual privada (VNet) do cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: esta funcionalidade é suportada através dos Serviços de Aplicações para a oferta Do Logic Apps Standard. Os clientes também podem utilizar o ASE V3 para implementar aplicações Standard do Logic Apps.

Orientação de Configuração: implemente a aplicação Standard do Logic Apps em qualquer um dos ASPs Standard do Fluxo de Trabalho ou ASPs baseados no ASE V3. Os clientes podem configurar a integração da VNET e os pontos finais privados com ambas as opções sugeridas acima.

Referência: Integração da Vnet do Logic Apps

Suporte do Grupo de Segurança de Rede

Descrição: o tráfego da rede de serviço respeita a atribuição de regras dos Grupos de Segurança de Rede nas respetivas sub-redes. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: para o Logic Apps Standard, isto é suportado através dos Serviços de Aplicações e das Funções.

Orientação de Configuração: utilize grupos de segurança de rede (NSG) para restringir ou monitorizar o tráfego por porta, protocolo, endereço IP de origem ou endereço IP de destino. Crie regras NSG para restringir as portas abertas do seu serviço (como impedir que as portas de gestão sejam acedidas a partir de redes não fidedignas). Tenha em atenção que, por predefinição, os NSGs negam todo o tráfego de entrada, mas permitem o tráfego da rede virtual e dos Balanceadores de Carga do Azure.

Nota: implemente a aplicação Standard do Logic Apps em qualquer um dos ASPs Standard do Fluxo de Trabalho ou ASPs baseados no ASE V3. Os clientes podem configurar a integração da VNET e os pontos finais privados com ambas as opções sugeridas acima. Depois disso, os clientes podem configurar as regras de NSG necessárias nas respetivas sub-redes.

NS-2: Proteger serviços cloud com controlos de rede

Funcionalidades

Descrição: Capacidade de filtragem de IP nativa do serviço para filtrar o tráfego de rede (não confundir com o NSG ou Azure Firewall). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: para o Logic Apps Standard, isto é suportado através dos Serviços de Aplicações e das Funções.

Orientação de Configuração: implemente a aplicação Standard do Logic Apps em qualquer um dos ASPs Standard do Fluxo de Trabalho ou ASPs baseados no ASE V3. Os clientes podem configurar a integração da VNET e os pontos finais privados com ambas as opções sugeridas acima.

Referência: Ligações privadas do Logic Apps

Desativar o Acesso à Rede Pública

Descrição: o serviço suporta a desativação do acesso à rede pública através da utilização da regra de filtragem da ACL IP ao nível do serviço (não do NSG ou Azure Firewall) ou através de um botão de alternar "Desativar Acesso à Rede Pública". Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: esta funcionalidade é suportada através do Aplicação Azure AD Services for Logic Apps Standard.

Orientação de Configuração: desative o acesso à rede pública com o Logic Apps Standard no ASE v3 ou um plano do serviço de aplicações Standard do fluxo de trabalho. Com o ASE v3, os clientes podem configurar para escolher um ASE V3 interno. Com um plano de serviço de aplicações padrão de fluxo de trabalho normal, os clientes podem desativar o acesso à rede pública com pontos finais privados ativados.

Referência: Utilizar Pontos Finais Privados para aplicações Serviço de Aplicações

Gestão de identidades

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Gestão de identidades.

IM-1: utilizar o sistema de autenticação e identidade centralizado

Funcionalidades

Autenticação Azure AD Necessária para o Acesso ao Plano de Dados

Descrição: o serviço suporta a utilização de autenticação Azure AD para acesso ao plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: a funcionalidade é suportada no Consumo de Aplicações Lógicas e Standard através de modelos diferentes, uma vez que o modelo Do Logic Apps Standard é executado em cima dos Serviços de Aplicações.

Para obter mais informações, visite: Consumo e Standard.

Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.

Referência: Autenticação do AAD do Azure Logic Apps

Métodos de Autenticação Local para Acesso ao Plano de Dados

Descrição: métodos de autenticação locais suportados para o acesso ao plano de dados, como um nome de utilizador local e uma palavra-passe. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: esta funcionalidade é suportada através dos Serviços Aplicação Azure AD e funções do Logic Apps Standard. Evite a utilização de contas ou métodos de autenticação locais, estes devem ser desativados sempre que possível. Em vez disso, utilize Azure AD para autenticar sempre que possível.

Orientação de Configuração: restrinja a utilização de métodos de autenticação local para o acesso ao plano de dados. Em vez disso, utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso ao plano de dados.

Referência: Autenticação e autorização em Serviço de Aplicações do Azure e Funções do Azure

IM-3: Gerir identidades de aplicações de forma segura e automática

Funcionalidades

Identidades Geridas

Descrição: as ações do plano de dados suportam a autenticação com identidades geridas. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: a autenticação através da identidade gerida para o Logic Apps é suportada. Além disso, o serviço (Consumo e Standard) pode tirar partido da identidade gerida para autenticar noutros serviços.

Para obter mais informações, visite Autenticação do Logic Apps com a Identidade Gerida.

Orientação de Configuração: utilize identidades geridas do Azure em vez de principais de serviço sempre que possível, o que pode autenticar-se nos serviços e recursos do Azure que suportam a autenticação do Azure Active Directory (Azure AD). As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração.

Referência: Tipos de autenticação para conectores que suportam a autenticação

Principais de Serviço

Descrição: o plano de dados suporta a autenticação através de principais de serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: o cliente pode utilizar a Autenticação Fácil dos Serviços de Aplicações para configurar este suporte na oferta Standard. Em alternativa, podem utilizar o suporte de Autenticação do AAD na oferta de Consumo.

Orientação de Configuração: não existem orientações atuais da Microsoft para esta configuração de funcionalidades. Reveja e determine se a sua organização quer configurar esta funcionalidade de segurança.

Referência: Autenticação do AAD para acionadores de Pedidos do Logic Apps

IM-8: Restringir a exposição de credenciais e segredos

Funcionalidades

Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault

Descrição: o plano de dados suporta a utilização nativa do Azure Key Vault para arquivo de credenciais e segredos. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: a oferta Do Logic Apps Standard é o produto recomendado para os clientes utilizarem em todos os cenários de integração empresarial.

No Logic Apps Standard, uma vez que se baseia nos Serviços de Aplicações, os clientes podem consultar os respetivos segredos no Key Vault através das definições da aplicação e, por sua vez, referir-se às definições da aplicação nos respetivos fluxos de trabalho.

Para obter mais informações, visite: Aceder programaticamente às Definições de Aplicações a partir das Expressões do Logic Apps.

Orientação de Configuração: certifique-se de que os segredos e as credenciais são armazenados em localizações seguras, como o Azure Key Vault, em vez de os incorporar em ficheiros de código ou configuração.

Referência: Definições da Aplicação Standard do Logic Apps

Acesso privilegiado

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Acesso privilegiado.

PA-7: Siga o princípio da administração (mínimo privilégio) suficiente

Funcionalidades

RBAC do Azure para Plano de Dados

Descrição: o Azure Role-Based Controlo de Acesso (RBAC do Azure) pode ser utilizado para gerir o acesso às ações do plano de dados do serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud

Funcionalidades

Sistema de Proteção de Dados do Cliente

Descrição: o Customer Lockbox pode ser utilizado para o acesso ao suporte da Microsoft. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: em cenários de suporte em que a Microsoft precisa de aceder aos seus dados, utilize o Customer Lockbox para rever e, em seguida, aprove ou rejeite cada um dos pedidos de acesso a dados da Microsoft.

Referência: Caixa de bloqueio do cliente do Logic Apps

Proteção de dados

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Proteção de dados.

DP-2: Monitorizar anomalias e ameaças direcionadas para dados confidenciais

Funcionalidades

Fuga de Dados/Prevenção de Perda

Descrição: o serviço suporta a solução DLP para monitorizar o movimento de dados confidenciais (no conteúdo do cliente). Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

DP-3: Encriptar dados confidenciais em trânsito

Funcionalidades

Dados na Encriptação de Trânsito

Descrição: o serviço suporta a encriptação de dados em trânsito para o plano de dados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

Referência: Proteger as suas aplicações lógicas

DP-4: Ativar a encriptação inativa por predefinição

Funcionalidades

Dados na Encriptação Rest Com Chaves de Plataforma

Descrição: a encriptação inativa de dados com chaves de plataforma é suportada, qualquer conteúdo do cliente inativo é encriptado com estas chaves geridas pela Microsoft. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Verdadeiro Microsoft

Notas de funcionalidades: para a oferta Consumo, os dados dos clientes são armazenados em contas de armazenamento geridas da Microsoft e os dados são encriptados em Rest através da encriptação de armazenamento inativa.

Para a oferta Standard, os clientes gerem o armazenamento.

Orientação de Configuração: não são necessárias configurações adicionais, uma vez que esta opção está ativada numa implementação predefinida.

DP-5: utilize a opção chave gerida pelo cliente em dados em encriptação inativa quando necessário

Funcionalidades

Dados na Encriptação Rest Com CMK

Descrição: a encriptação de dados inativos com chaves geridas pelo cliente é suportada para o conteúdo do cliente armazenado pelo serviço. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: esta funcionalidade é suportada através do Logic Apps Standard. Na oferta Standard, os clientes podem configurar as suas próprias contas de armazenamento para armazenar os dados de runtime. Como os clientes são os donos do armazenamento, podem configurar as políticas de CMK conforme necessário nas respetivas contas de armazenamento.

Orientação de Configuração: se necessário para a conformidade regulamentar, defina o caso de utilização e o âmbito do serviço em que a encriptação com chaves geridas pelo cliente é necessária. Ative e implemente dados em encriptação inativa com a chave gerida pelo cliente para esses serviços.

DP-6: Utilizar um processo de gestão de chaves segura

Funcionalidades

Gestão de Chaves no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer chaves de cliente, segredos ou certificados. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: à medida que o Logic Apps Standard é executado em cima dos Serviços de Aplicações e das Funções, esta funcionalidade é suportada através dos Serviços de Aplicações.

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida das chaves de encriptação, incluindo a geração de chaves, a distribuição e o armazenamento. Rode e revogue as chaves no Azure Key Vault e no seu serviço com base numa agenda definida ou quando existe uma descontinuação ou comprometimento chave. Quando é necessário utilizar a chave gerida pelo cliente (CMK) ao nível da carga de trabalho, do serviço ou da aplicação, certifique-se de que segue as melhores práticas para a gestão de chaves: utilize uma hierarquia de chaves para gerar uma chave de encriptação de dados (DEK) separada com a chave de encriptação de chaves (KEK) no cofre de chaves. Certifique-se de que as chaves estão registadas no Azure Key Vault e referenciadas através de IDs de chave do serviço ou da aplicação. Se precisar de trazer a sua própria chave (BYOK) para o serviço (como importar chaves protegidas por HSM dos seus HSMs no local para o Azure Key Vault), siga as diretrizes recomendadas para realizar a geração inicial de chaves e a transferência de chaves.

DP-7: Utilizar um processo de gestão de certificados seguro

Funcionalidades

Gestão de Certificados no Azure Key Vault

Descrição: o serviço suporta a integração do Azure Key Vault para quaisquer certificados de cliente. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: no Logic Apps Standard, esta funcionalidade é suportada através do suporte dos Serviços de Aplicações para referenciar certificados de Key Vault.

Para obter mais informações, visite: Importar um certificado de Key Vault.

Orientação de Configuração: utilize o Azure Key Vault para criar e controlar o ciclo de vida do certificado, incluindo a criação, importação, rotação, revogação, armazenamento e remoção do certificado. Certifique-se de que a geração de certificados segue as normas definidas sem utilizar quaisquer propriedades inseguras, tais como: tamanho de chave insuficiente, período de validade excessivamente longo, criptografia insegura. Configure a rotação automática do certificado no Azure Key Vault e no serviço do Azure (se suportado) com base numa agenda definida ou quando existe uma expiração do certificado. Se a rotação automática não for suportada na aplicação, certifique-se de que ainda são rodadas com métodos manuais no Azure Key Vault e na aplicação.

Gestão de ativos

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Gestão de recursos.

AM-2: Utilizar apenas serviços aprovados

Funcionalidades

Suporte do Azure Policy

Descrição: as configurações do serviço podem ser monitorizadas e impostas através de Azure Policy. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: à medida que o Logic Apps Standard é executado em cima dos Serviços de Aplicações, os clientes podem configurar políticas semelhantes à forma como podem configurar os Serviços de Aplicações e as Funções. Além disso, também existem políticas específicas do Logic Apps disponíveis.

políticas incorporadas Serviço de Aplicações

Orientação de Configuração: utilize Microsoft Defender para a Cloud para configurar Azure Policy para auditar e impor configurações dos seus recursos do Azure. Utilize o Azure Monitor para criar alertas quando for detetado um desvio de configuração nos recursos. Utilize os efeitos Azure Policy [negar] e [implementar se não existir] para impor a configuração segura em todos os recursos do Azure.

Referência: Políticas incorporadas do Logic Apps

Deteção de registo e de ameaça

Para obter mais informações, veja Referência de segurança na cloud da Microsoft: Registo e deteção de ameaças.

LT-1: Ativar as capacidades de deteção de ameaças

Funcionalidades

Microsoft Defender de Serviço/Oferta de Produtos

Descrição: o serviço tem uma solução de Microsoft Defender específica da oferta para monitorizar e alertar sobre problemas de segurança. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Notas de funcionalidades: esta funcionalidade é suportada através dos Serviços de Aplicações para o Logic Apps Standard.

Orientação de Configuração: utilize o Azure Active Directory (Azure AD) como o método de autenticação predefinido para controlar o acesso do plano de gestão. Quando receber um alerta de Microsoft Defender para Key Vault, investigue e responda ao alerta.

Referência: Descrição geral do Defender para Serviço de Aplicações para proteger a sua Serviço de Aplicações do Azure aplicações Web e APIs

LT-4: Ativar o registo para investigação de segurança

Funcionalidades

Registos de Recursos do Azure

Descrição: o Serviço produz registos de recursos que podem fornecer métricas e registos específicos do serviço melhorados. O cliente pode configurar estes registos de recursos e enviá-los para o seu próprio sink de dados, como uma conta de armazenamento ou uma área de trabalho do Log Analytics. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Verdadeiro Falso Cliente

Orientação de Configuração: ative os registos de recursos para o serviço. Por exemplo, Key Vault suporta registos de recursos adicionais para ações que obtêm um segredo de um cofre de chaves ou SQL do Azure têm registos de recursos que monitorizam pedidos para uma base de dados. O conteúdo dos registos de recursos varia de acordo com o serviço do Azure e o tipo de recurso.

Referência: Monitorizar e recolher dados de diagnóstico para fluxos de trabalho no Azure Logic Apps

Cópia de segurança e recuperação

Para obter mais informações, veja Referência de segurança da cloud da Microsoft: Cópia de segurança e recuperação.

BR-1: Garantir cópias de segurança automatizadas regulares

Funcionalidades

Azure Backup

Descrição: o serviço pode ser efetuado uma cópia de segurança pelo serviço Azure Backup. Saiba mais.

Suportado Ativado Por Predefinição Responsabilidade de Configuração
Falso Não Aplicável Não Aplicável

Orientação de Configuração: esta funcionalidade não é suportada para proteger este serviço.

Passos seguintes