App Service için Azure güvenlik temeli
Bu güvenlik temeli, Microsoft bulut güvenliği karşılaştırması sürüm 1.0'dan App Service için yönergeler uygular. Microsoft bulut güvenliği karşılaştırması, Azure'da bulut çözümlerinizin güvenliğini nasıl sağlayabileceğiniz hakkında öneriler sağlar. İçerik, Microsoft bulut güvenliği karşılaştırması tarafından tanımlanan güvenlik denetimlerine ve App Service için geçerli olan ilgili kılavuza göre gruplandırılır.
Bulut için Microsoft Defender kullanarak bu güvenlik temelini ve önerilerini izleyebilirsiniz. Azure İlkesi tanımları, Bulut portalı için Microsoft Defender sayfasının Mevzuat Uyumluluğu bölümünde listelenir.
Bir özelliğin ilgili Azure İlkesi Tanımları olduğunda, Bunlar Microsoft bulut güvenliği karşılaştırma denetimleri ve önerileriyle uyumluluğu ölçmenize yardımcı olmak için bu temelde listelenir. Bazı öneriler, belirli güvenlik senaryolarını etkinleştirmek için ücretli bir Microsoft Defender planı gerektirebilir.
Not
App Service uygulanamaz özellikler dışlanmıştır. App Service Tamamen Microsoft bulut güvenlik karşılaştırmasına nasıl eşlediğini görmek için tam App Service güvenlik temeli eşleme dosyasına bakın.
Güvenlik profili
Güvenlik profili, App Service yüksek etkili davranışlarını özetler ve bu da güvenlikle ilgili dikkat edilmesi gereken noktaların artmasına neden olabilir.
| Hizmet Davranışı Özniteliği | Değer |
|---|---|
| Ürün Kategorisi | İşlem, Web |
| Müşteri HOST/işletim sistemine erişebilir | Erişim Yok |
| Hizmet müşterinin sanal ağına dağıtılabilir | Doğru |
| Bekleyen müşteri içeriğini depolar | Doğru |
Ağ güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ağ güvenliği.
NS-1: Ağ segmentasyon sınırları oluşturma
Özellikler
Sanal Ağ Tümleştirmesi
Açıklama: Hizmet, müşterinin özel Sanal Ağ (VNet) dağıtımı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Sanal Ağ Tümleştirme, App Service Ortamları kullanılırken varsayılan olarak yapılandırılır, ancak genel çok kiracılı teklif kullanılırken el ile yapılandırılması gerekir.
Yapılandırma Kılavuzu: İnternet adreslerine giden iletişimler için kararlı bir IP sağlayın: Sanal Ağ tümleştirme özelliğini kullanarak kararlı bir giden IP sağlayabilirsiniz. Bu, alıcı tarafın gerekli olması gereken IP'ye göre izin verenler listesine izin vermesine olanak tanır.
App Service Ortamı (ASE) olarak da adlandırılan Yalıtılmış fiyatlandırma katmanında App Service kullanırken, doğrudan Azure Sanal Ağ içindeki bir alt ağa dağıtabilirsiniz. Sanal ağınızdaki kaynaklara gelen ve giden trafiği engelleyerek Azure App Service Ortamınızın güvenliğini sağlamak veya App Service Ortamı uygulamalara erişimi kısıtlamak için ağ güvenlik gruplarını kullanın.
Çok kiracılı App Service (Yalıtılmış katmanda olmayan bir uygulama), uygulamalarınızın Sanal Ağ Tümleştirme özelliğiyle bir Sanal Ağ içinde veya üzerinden kaynaklara erişmesini sağlayın. Ardından uygulamanızdan giden trafiği denetlemek için ağ güvenlik gruplarını kullanabilirsiniz. Sanal Ağ Tümleştirmesi'ni kullanırken, tüm giden trafiği ağ güvenlik gruplarına ve tümleştirme alt ağında kullanıcı tanımlı yollara tabi hale getirmek için 'Tümünü Yönlendir' yapılandırmasını etkinleştirebilirsiniz. Bu özellik, uygulamadan genel adreslere giden trafiği engellemek için de kullanılabilir. Sanal Ağ Tümleştirmesi bir uygulamaya gelen erişim sağlamak için kullanılamaz.
Azure Hizmetleri'ne yönelik iletişimler için genellikle IP adresine bağımlı olmanız gerekmez ve bunun yerine Hizmet Uç Noktaları gibi mekanikler kullanılmalıdır.
Not: App Service Ortamları için ağ güvenlik grupları varsayılan olarak en düşük önceliğe sahip örtük bir reddetme kuralı içerir ve açık izin verme kuralları eklemenizi gerektirir. En az ayrıcalıklı ağ yaklaşımını temel alarak ağ güvenlik grubunuz için izin verme kuralları ekleyin. App Service Ortamı barındırmak için kullanılan temel alınan sanal makineler, Microsoft tarafından yönetilen bir abonelikte olduklarından doğrudan erişilemez.
Sanal Ağ Tümleştirme özelliğini aynı bölgedeki sanal ağlarla kullanırken, ağ güvenlik gruplarını ve kullanıcı tanımlı yollarla yönlendirme tablolarını kullanın. Kullanıcı tanımlı yollar, hedeflenen şekilde giden trafiği göndermek için tümleştirme alt asına yerleştirilebilir.
Başvuru: Uygulamanızı bir Azure sanal ağıyla tümleştirme
Ağ Güvenlik Grubu Desteği
Açıklama: Hizmet ağ trafiği, alt ağlarında Ağ Güvenlik Grupları kural atamasını dikkate alır. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Ağ Güvenlik Grubu desteği, App Service Ortamları kullanan tüm müşteriler için kullanılabilir, ancak yalnızca genel çok kiracılı teklifi kullanan müşteriler için sanal ağ ile tümleşik uygulamalarda kullanılabilir.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
Başvuru: ağ App Service Ortamı
NS-2: Ağ denetimleriyle bulut hizmetlerinin güvenliğini sağlama
Özellikler
Azure Özel Bağlantı
Açıklama: Ağ trafiğini filtrelemek için hizmet yerel IP filtreleme özelliği (NSG veya Azure Güvenlik Duvarı ile karıştırılmamalıdır). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Özel ağınızda bulunan istemcilerin Özel Bağlantı üzerinden uygulamalara güvenli bir şekilde erişmesine izin vermek için Azure Web Apps için özel uç noktaları kullanın. Özel uç nokta, Azure sanal ağ adres alanınızdan bir IP adresi kullanır. Özel ağınızdaki bir istemci ile Web Uygulaması arasındaki ağ trafiği sanal ağ üzerinden ve Microsoft omurga ağındaki bir Özel Bağlantı üzerinden geçiş yaparak genel İnternet'ten etkilenmeyi ortadan kaldırır.
Not: Özel Uç Nokta yalnızca Web Uygulamanıza gelen akışlar için kullanılır. Giden akışlar bu Özel Uç Noktayı kullanmaz. Sanal ağ tümleştirme özelliği aracılığıyla giden akışları farklı bir alt ağda ağınıza ekleyebilirsiniz. App Service trafiğinin alıcı ucundaki hizmetler için özel uç noktaların kullanılması, SNAT'nin gerçekleşmesini önler ve kararlı bir giden IP aralığı sağlar.
Ek Rehberlik: Azure Container Registry (ACR) içinde depolanan kapsayıcıları App Service çalıştırıyorsanız, bu görüntülerin özel bir ağ üzerinden çekildiğinden emin olun. Bunu, web uygulamanızda "WEBSITE_PULL_IMAGE_OVER_VNET" uygulama ayarıyla birlikte ACR'de bu görüntüleri depolayan özel bir uç nokta yapılandırarak yapın.
Başvuru: Azure Web App için Özel Uç Noktaları Kullanma
Genel Ağ Erişimini Devre Dışı Bırak
Açıklama: Hizmet, hizmet düzeyi IP ACL filtreleme kuralı (NSG veya Azure Güvenlik Duvarı değil) veya 'Genel Ağ Erişimini Devre Dışı Bırak' iki durumlu anahtarı kullanarak genel ağ erişimini devre dışı bırakmayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Hizmet düzeyi IP ACL filtreleme kurallarını veya özel uç noktaları kullanarak veya özelliği ARM'de devre dışı olarak ayarlayarak publicNetworkAccess Genel Ağ Erişimini devre dışı bırakın.
Başvuru: Azure App Service erişim kısıtlamalarını ayarlama
NS-5: DDOS korumasını dağıtma
NS-5 için diğer yönergeler
App Service'nizin Web Uygulaması Güvenlik Duvarı barındıran sanal ağda DDOS Koruma Standardı'nı etkinleştirin. Azure, ağı üzerinde normal trafik desenlerini öğrenen ve olağan dışı davranışları algılayan akıllı DDoS Standart özellikleriyle geliştirilebilen DDoS Temel koruması sağlar. DDoS Standard bir Sanal Ağ için geçerli olduğundan, Application Gateway veya NVA gibi uygulamanın önündeki ağ kaynağı için yapılandırılması gerekir.
NS-6: Web uygulaması güvenlik duvarı dağıtma
NS-6 için diğer yönergeler
Uygulamalarınız için WAF'nin atlanmasını önle. Erişimi yalnızca WAF'ye kilitleyerek WAF'nin atlanmadığından emin olun. Erişim Kısıtlamaları, Hizmet Uç Noktaları ve Özel Uç Noktaların birleşimini kullanın.
Ayrıca trafiği Web Uygulaması Güvenlik Duvarı (WAF) etkinleştirilmiş bir Azure Application Gateway veya Azure Front Door üzerinden yönlendirerek bir App Service Ortamı koruyun.
Çok kiracılı teklif için aşağıdakilerle uygulamanıza gelen trafiğin güvenliğini sağlayın:
- Erişim Kısıtlamaları: Gelen erişimi denetleen bir dizi izin verme veya reddetme kuralı
- Hizmet Uç Noktaları: Belirtilen sanal ağların veya alt ağların dışından gelen trafiği reddedebilir
- Özel Uç Noktalar: Uygulamanızı özel ip adresiyle Sanal Ağ kullanıma salar. Uygulamanızda Özel Uç Noktalar etkinleştirildiğinden artık İnternet'e erişilemez
Abonelikleriniz ve sanal ağlarınız arasında uygulama ve ağ bağlantı ilkelerini merkezi olarak oluşturmak, zorunlu kılmak ve günlüğe kaydetmek için bir Azure Güvenlik Duvarı uygulamayı göz önünde bulundurun. Azure Güvenlik Duvarı, dış güvenlik duvarlarının sanal ağınızdan kaynaklanan trafiği tanımlamasını sağlayan sanal ağ kaynakları için statik bir genel IP adresi kullanır.
Kimlik yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Kimlik yönetimi.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
Özellikler
veri düzlemi erişimi için gerekli Azure AD kimlik doğrulaması
Açıklama: Hizmet, veri düzlemi erişimi için Azure AD kimlik doğrulamasının kullanılmasını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Kimliği doğrulanmış web uygulamaları için, kullanıcı erişiminin kimliğini doğrulamak ve yetkilendirmek için yalnızca iyi bilinen yerleşik kimlik sağlayıcılarını kullanın. Uygulamanıza yalnızca kendi kuruluşunuzun kullanıcıları tarafından erişilmesi gerektiğinde veya diğer durumlarda tüm kullanıcılarınız Azure Active Directory (Azure AD) kullanıyorsa, Azure AD veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak yapılandırın.
Başvuru: Azure App Service ve Azure İşlevleri kimlik doğrulaması ve yetkilendirme
Veri Düzlemi Erişimi için Yerel Kimlik Doğrulama Yöntemleri
Açıklama: Yerel kullanıcı adı ve parola gibi veri düzlemi erişimi için desteklenen yerel kimlik doğrulama yöntemleri. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Özellik notları: Yerel kimlik doğrulama yöntemlerinin veya hesaplarının kullanımından kaçının; bunlar mümkün olduğunca devre dışı bırakılmalıdır. Bunun yerine mümkün olduğunca kimlik doğrulaması yapmak için Azure AD kullanın.
Yapılandırma Kılavuzu: Veri düzlemi erişimi için yerel kimlik doğrulama yöntemlerinin kullanımını kısıtlayın. Bunun yerine, veri düzlemi erişiminizi denetlemek için varsayılan kimlik doğrulama yöntemi olarak Azure Active Directory 'yi (Azure AD) kullanın.
Başvuru: Azure App Service ve Azure İşlevleri kimlik doğrulaması ve yetkilendirme
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
Özellikler
Yönetilen Kimlikler
Açıklama: Veri düzlemi eylemleri, yönetilen kimlikleri kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mümkün olduğunda, Azure Active Directory (Azure AD) kimlik doğrulamasını destekleyen Azure hizmetleri ve kaynaklarında kimlik doğrulaması yapabilen hizmet sorumluları yerine Azure yönetilen kimliklerini kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur ve kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini önler.
App Service ile yönetilen kimlik kullanmanın yaygın bir senaryosu, Azure SQL Veritabanı, Azure Depolama veya Key Vault gibi diğer Azure PaaS hizmetlerine erişmektir.
Başvuru: App Service ve Azure İşlevleri için yönetilen kimlikleri kullanma
Hizmet Sorumluları
Açıklama: Veri düzlemi, hizmet sorumlularını kullanarak kimlik doğrulamayı destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Ek Rehberlik: Hizmet sorumluları hizmet tarafından kimlik doğrulaması için bir düzen olarak desteklense de, bunun yerine mümkün olduğunda Yönetilen Kimlikler kullanmanızı öneririz.
Bulut izleme için Microsoft Defender
Yerleşik tanımları Azure İlkesi - Microsoft.Web:
| Name (Azure portal) |
Description | Efekt | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalar yönetilen kimlik kullanmalıdır | Gelişmiş kimlik doğrulaması güvenliği için yönetilen kimlik kullanma | AuditIfNotExists, Devre Dışı | 3.0.0 |
IM-7: Koşullara göre kaynak erişimini kısıtlama
Özellikler
Veri Düzlemi için Koşullu Erişim
Açıklama: Veri düzlemi erişimi Azure AD Koşullu Erişim İlkeleri kullanılarak denetlenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: İş yükünde Azure Active Directory (Azure AD) koşullu erişimi için geçerli koşulları ve ölçütleri tanımlayın. Belirli konumlardan erişimi engelleme veya verme, riskli oturum açma davranışını engelleme veya belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme gibi yaygın kullanım durumlarını göz önünde bulundurun.
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
Özellikler
Azure Key Vault'de Hizmet Kimlik Bilgileri ve Gizli Diziler Tümleştirme ve Depolama desteği
Açıklama: Veri düzlemi, kimlik bilgileri ve gizli dizi deposu için Azure Key Vault yerel kullanımını destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Uygulama gizli dizilerinin ve kimlik bilgilerinin kod veya yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun. Daha sonra kimlik bilgilerine veya Key Vault depolanan gizli dizilere güvenli bir şekilde erişmek için uygulamanızda yönetilen bir kimlik kullanın.
Başvuru: App Service ve Azure İşlevleri için Key Vault başvuruları kullanın
Ayrıcalıklı erişim
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Ayrıcalıklı erişim.
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
Özellikler
Veri Düzlemi için Azure RBAC
Açıklama: Hizmetin veri düzlemi eylemlerine yönetilen erişim için Azure Role-Based Access Control (Azure RBAC) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
PA-8: Bulut sağlayıcısı desteği için erişim sürecini belirleme
Özellikler
Müşteri Kasası
Açıklama: Müşteri Kasası, Microsoft destek erişimi için kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, Gözden geçirmek için Müşteri Kasası'na tıklayın, ardından Microsoft'un veri erişim isteklerinin her birini onaylayın veya reddedin.
Veri koruma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Veri koruma.
DP-1: Hassas verileri bulma, sınıflandırma ve etiketleme
Özellikler
Hassas Veri Bulma ve Sınıflandırma
Açıklama: Hizmette veri bulma ve sınıflandırma için araçlar (Azure Purview veya Azure Information Protection gibi) kullanılabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Kod içindeki kimlik bilgilerini tanımlamak için derleme işlem hattınıza Kimlik Bilgisi Tarayıcısı uygulayın. Kimlik Bilgisi Tarayıcısı ayrıca bulunan kimlik bilgilerinin Azure Key Vault gibi daha güvenlik konumlara aktarılmasını sağlar.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-2: Hassas verileri hedefleyen anomalileri ve tehditleri izleme
Özellikler
Veri Sızıntısı/Kaybı Önleme
Açıklama: Hizmet, hassas veri taşımayı (müşterinin içeriğinde) izlemek için DLP çözümünü destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Özellik notları: Veri tanımlama, sınıflandırma ve kayıp önleme özellikleri henüz App Service için kullanılamasa da, hedefin İnternet veya Azure hizmetleri için 'etiket' kullandığı tüm kuralları kaldırarak sanal ağdan veri sızdırma riskini azaltabilirsiniz.
Microsoft, App Service için temel altyapıyı yönetir ve verilerinizin kaybolmasını veya açığa çıkmasını önlemek için katı denetimler uygulamıştır.
Hassas bilgileri depolayan veya işleyen App Service kaynakları izlemeye yardımcı olması için etiketleri kullanın.
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DP-3: Aktarımdaki hassas verileri şifreleme
Özellikler
AktarımDaki Veriler Şifrelemesi
Açıklama: Hizmet, veri düzlemi için aktarım sırasında veri şifrelemesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Aktarımdaki tüm bilgileri şifrelemek için TLS/SSL ayarlarında yapılandırılan varsayılan en düşük TLS v1.2 sürümünü kullanın ve zorunlu kılın. Ayrıca tüm HTTP bağlantı isteklerinin HTTPS'ye yeniden yönlendirildiğinden emin olun.
Başvuru: Azure App Service'de TLS/SSL sertifikası ekleme
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Web:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| App Service uygulamalara yalnızca HTTPS üzerinden erişilebilir olmalıdır | HTTPS kullanımı, sunucu/hizmet kimlik doğrulamasını güvence altına alır ve aktarımdaki verileri ağ katmanı gizli dinleme saldırılarından korur. | Denetim, Devre Dışı, Reddet | 4.0.0 |
DP-4: Bekleyen verileri varsayılan olarak şifrelemeyi etkinleştirme
Özellikler
Platform Anahtarlarını Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Platform anahtarları kullanılarak bekleyen verilerin şifrelenmesi desteklenir, bekleyen tüm müşteri içerikleri bu Microsoft tarafından yönetilen anahtarlarla şifrelenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Doğru | Microsoft |
Özellik notları: Dosyalar gibi bir App Service uygulamasındaki web sitesi içeriği, bekleyen içeriği otomatik olarak şifreleyen Azure Depolama'da depolanır. Uygulama gizli dizilerini Key Vault depolamayı ve çalışma zamanında almayı seçin.
Müşteri tarafından sağlanan gizli diziler, App Service yapılandırma veritabanlarında depolanırken bekleme sırasında şifrelenir.
Yerel olarak eklenen diskler web siteleri tarafından isteğe bağlı olarak geçici depolama alanı olarak kullanılabilse de (örneğin, D:\local ve %TMP%), yalnızca Pv3 SKU'sunun kullanılabildiği genel çok kiracılı App Service teklifinde bekleme durumunda şifrelenir. Pv3 SKU'sunun kullanılamadığı eski genel çok kiracılı ölçek birimleri için müşterinin yeni bir kaynak grubu oluşturması ve kaynaklarını orada yeniden dağıtması gerekir.
Ayrıca, müşterinin uygulamasını doğrudan bir ZIP paketinden App Service çalıştırma seçeneği vardır. Daha fazla bilgi için lütfen şu adresi ziyaret edin: Uygulamanızı doğrudan bir ZIP paketinden Azure App Service'de çalıştırın.
Yapılandırma Kılavuzu: Varsayılan dağıtımda etkinleştirildiğinden ek yapılandırma gerekmez.
DP-5: Gerektiğinde bekleyen şifrelemede verilerde müşteri tarafından yönetilen anahtar seçeneğini kullanın
Özellikler
CMK Kullanarak Bekleyen Verileri Şifreleme
Açıklama: Müşteri tarafından yönetilen anahtarlar kullanılarak bekleyen veriler, hizmet tarafından depolanan müşteri içeriği için desteklenir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mevzuat uyumluluğu için gerekiyorsa, müşteri tarafından yönetilen anahtarları kullanarak şifrelemenin gerekli olduğu kullanım örneğini ve hizmet kapsamını tanımlayın. Bu hizmetler için müşteri tarafından yönetilen anahtarı kullanarak bekleyen şifrelemede verileri etkinleştirin ve uygulayın.
Not: Dosyalar gibi bir App Service uygulamasındaki web sitesi içeriği, bekleyen içeriği otomatik olarak şifreleyen Azure Depolama'da depolanır. Uygulama gizli dizilerini Key Vault depolamayı ve çalışma zamanında almayı seçin.
Müşteri tarafından sağlanan gizli diziler, App Service yapılandırma veritabanlarında depolanırken bekleme sırasında şifrelenir.
Yerel olarak eklenen diskler web siteleri tarafından isteğe bağlı olarak geçici depolama alanı olarak kullanılabilse de (örneğin, D:\local ve %TMP%), bekleme sırasında şifrelenmez.
Başvuru: Müşteri tarafından yönetilen anahtarları kullanarak bekleyen verileri şifreleme
DP-6: Güvenli bir anahtar yönetim işlemi kullanma
Özellikler
Azure Key Vault'de Anahtar Yönetimi
Açıklama: Hizmet tüm müşteri anahtarları, gizli diziler veya sertifikalar için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Anahtar oluşturma, dağıtım ve depolama dahil olmak üzere şifreleme anahtarlarınızın yaşam döngüsünü oluşturmak ve denetlemek için Azure Key Vault kullanın. Azure Key Vault ve hizmetinizde anahtarlarınızı tanımlı bir zamanlamaya göre veya önemli bir kullanımdan kaldırma veya risk söz konusu olduğunda döndürün ve iptal edin. İş yükü, hizmet veya uygulama düzeyinde müşteri tarafından yönetilen anahtarı (CMK) kullanmanız gerektiğinde, anahtar yönetimi için en iyi yöntemleri izlediğinizden emin olun: Anahtar kasanızda anahtar şifreleme anahtarınızla (KEK) ayrı bir veri şifreleme anahtarı (DEK) oluşturmak için anahtar hiyerarşisi kullanın. Anahtarlara Azure Key Vault kaydedildiğinden ve hizmetten veya uygulamadan anahtar kimlikleri aracılığıyla başvurıldığından emin olun. Hizmete kendi anahtarınızı (BYOK) getirmeniz gerekiyorsa (örneğin, şirket içi HSM'lerinizden Azure Key Vault HSM korumalı anahtarları içeri aktarma), ilk anahtar oluşturma ve anahtar aktarımını gerçekleştirmek için önerilen yönergeleri izleyin.
Başvuru: App Service ve Azure İşlevleri için Key Vault başvurularını kullanma
DP-7: Güvenli bir sertifika yönetim işlemi kullanma
Özellikler
Azure Key Vault'de Sertifika Yönetimi
Açıklama: Hizmet, tüm müşteri sertifikaları için Azure Key Vault tümleştirmesini destekler. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: App Service SSL/TLS ve diğer sertifikalarla yapılandırılabilir. Bu sertifikalar doğrudan App Service yapılandırılabilir veya Key Vault başvurabilir. Tüm sertifikaların ve gizli dizilerin merkezi yönetimini sağlamak için, App Service tarafından kullanılan sertifikaları doğrudan App Service yerel olarak dağıtmak yerine Key Vault içinde depolayın. Bu yapılandırıldığında App Service Azure Key Vault'dan en son sertifikayı otomatik olarak indirir. Sertifika oluşturma işleminin, aşağıdakiler gibi güvenli olmayan özellikler kullanmadan tanımlı standartlara uydığından emin olun: yetersiz anahtar boyutu, fazla uzun geçerlilik süresi, güvenli olmayan şifreleme. Azure Key Vault'da sertifikanın otomatik olarak döndürülmesi için tanımlı bir zamanlamaya göre veya sertifika süre sonu olduğunda ayarlama.
Başvuru: Azure App Service'de TLS/SSL sertifikası ekleme
Varlık yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Varlık yönetimi.
AM-2: Yalnızca onaylanan hizmetleri kullanın
Özellikler
Azure İlkesi Desteği
Açıklama: Hizmet yapılandırmaları Azure İlkesi aracılığıyla izlenebilir ve zorunlu kılınabilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Azure kaynaklarınızın yapılandırmalarını denetlemek ve zorunlu kılmak üzere Azure İlkesi yapılandırmak üzere Bulut için Microsoft Defender kullanın. Kaynaklarda bir yapılandırma sapması algılandığında uyarılar oluşturmak için Azure İzleyici'yi kullanın. Azure kaynakları arasında güvenli yapılandırmayı zorlamak için Azure İlkesi [reddet] ve [yoksa dağıt] efektlerini kullanın.
Not: Azure İlkesi ile dağıtılan App Service uygulamalarınız için standart güvenlik yapılandırmaları tanımlayın ve uygulayın. Sistem yapılandırmalarını uyarmak, denetlemek ve zorunlu kılmak için özel ilkeler oluşturmak için yerleşik Azure İlkesi tanımlarının yanı sıra "Microsoft.Web" ad alanında Azure İlkesi diğer adları kullanın. İlke özel durumlarını yönetmek için bir işlem ve işlem hattı geliştirin.
Başvuru: Azure App Service için mevzuat uyumluluğu denetimlerini Azure İlkesi
AM-4: Varlık yönetimine erişimi sınırlama
AM-4 için diğer yönergeler
Hassas bilgileri işleyen sistemleri yalıtma. Bunu yapmak için ayrı App Service Planları veya App Service Ortamları kullanın ve farklı aboneliklerin veya yönetim gruplarının kullanımını göz önünde bulundurun.
Günlüğe kaydetme ve tehdit algılama
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Günlüğe kaydetme ve tehdit algılama.
LT-1: Tehdit algılama özelliklerini etkinleştirme
Özellikler
Hizmet / Ürün Teklifi için Microsoft Defender
Açıklama: Hizmet, güvenlik sorunlarını izlemek ve uyarı vermek için teklife özgü bir Microsoft Defender çözümüne sahiptir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: App Service üzerinde çalışan uygulamaları hedefleyen saldırıları belirlemek üzere App Service için Microsoft Defender kullanın. App Service için Microsoft Defender etkinleştirdiğinizde, bu Defender planı tarafından sunulan aşağıdaki hizmetlerden hemen yararlanabilirsiniz:
Güvenli: App Service için Defender, App Service planınızın kapsadığı kaynakları değerlendirir ve bulgularına göre güvenlik önerileri oluşturur. App Service kaynaklarınızı sağlamlaştırmak için bu önerilerdeki ayrıntılı yönergeleri kullanın.
Algılama: App Service için Defender, App Service çalıştığı VM örneğini ve yönetim arabirimini, App Service uygulamalarınıza gönderilen ve gelen istekleri ve yanıtları, temel alınan korumalı alanları ve VM'leri izleyerek App Service kaynaklarınıza yönelik çok sayıda tehdit algılar ve İç günlükleri App Service.
Başvuru: Web uygulamalarınızı ve API'lerinizi koruma
LT-4: Güvenlik araştırması için günlüğe kaydetmeyi etkinleştirme
Özellikler
Azure Kaynak Günlükleri
Açıklama: Hizmet, hizmete özgü gelişmiş ölçümler ve günlükler sağlayabilen kaynak günlükleri oluşturur. Müşteri bu kaynak günlüklerini yapılandırabilir ve depolama hesabı veya log analytics çalışma alanı gibi kendi veri havuzuna gönderebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: App Service'da web uygulamalarınız için kaynak günlüklerini etkinleştirin.
Başvuru: Azure App Service'da uygulamalar için tanılama günlüğünü etkinleştirme
Duruş ve güvenlik açığı yönetimi
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Duruş ve güvenlik açığı yönetimi.
PV-2: Güvenli yapılandırmaları denetleme ve zorlama
PV-2 için diğer yönergeler
Uzaktan hata ayıklamayı kapatın, hizmette saldırı yüzeyini artıran ek bağlantı noktaları açtığından, üretim iş yükleri için uzaktan hata ayıklama açık olmamalıdır.
Bulut izleme için Microsoft Defender
yerleşik tanımları Azure İlkesi - Microsoft.Web:
| Name (Azure portal) |
Description | Efekt(ler) | Sürüm (GitHub) |
|---|---|---|---|
| [Kullanım dışı]: İşlev uygulamalarında 'İstemci Sertifikaları (Gelen istemci sertifikaları)' etkinleştirilmelidir | İstemci sertifikaları, uygulamanın gelen istekler için bir sertifika istemesine olanak sağlar. Yalnızca geçerli sertifikaları olan istemciler uygulamaya ulaşabilir. Http 2.0 istemci sertifikalarını desteklemediğinden bu ilke aynı ada sahip yeni bir ilkeyle değiştirildi. | Denetim, Devre Dışı | 3.1.0 kullanım dışı |
PV-7: Düzenli olarak kırmızı takım operasyonları gerçekleştirin
PV-7 için diğer yönergeler
Sızma testi kurallarını izleyerek web uygulamalarınızda düzenli sızma testi gerçekleştirin.
Yedekleme ve kurtarma
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: Yedekleme ve kurtarma.
BR-1: Düzenli otomatik yedeklemelerden emin olun
Özellikler
Azure Backup
Açıklama: Hizmet, Azure Backup hizmeti tarafından yedeklenebilir. Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Doğru | Yanlış | Müşteri |
Yapılandırma Kılavuzu: Mümkün olduğunda, App Service ile kurtarma ve yedekleme senaryolarını basitleştirmek için durum bilgisi olmayan uygulama tasarımı uygulayın.
Durum bilgisi olan bir uygulamanın bakımını yapmanız gerekiyorsa, uygulama yedeklemelerini el ile veya belirli bir zamanlamaya göre kolayca oluşturmanıza olanak tanıyan App Service'de Yedekleme ve Geri Yükleme özelliğini etkinleştirin. Yedeklemeleri süresiz bir süre boyunca saklanacak şekilde yapılandırabilirsiniz. Mevcut uygulamanın üzerine yazarak veya başka bir uygulamaya geri yükleyerek uygulamayı önceki durumun anlık görüntüsüne geri yükleyebilirsiniz. Düzenli ve otomatik yedeklemelerin kuruluş ilkelerinizde tanımlandığı sıklıkta gerçekleştiğine emin olun.
Not: App Service aşağıdaki bilgileri, uygulamanızı kullanmak üzere yapılandırdığınız bir Azure depolama hesabına ve kapsayıcısına yedekleyebilir:
- Uygulama yapılandırması
- Dosya içeriği
- Uygulamanıza bağlı veritabanı
Başvuru: Uygulamanızı Azure'da yedekleme
Hizmet Yerel Yedekleme Özelliği
Açıklama: Hizmet kendi yerel yedekleme özelliğini destekler (Azure Backup kullanmıyorsa). Daha fazla bilgi edinin.
| Destekleniyor | Varsayılan Olarak Etkin | Yapılandırma Sorumluluğu |
|---|---|---|
| Yanlış | Geçerli değil | Geçerli değil |
Yapılandırma Kılavuzu: Bu özellik, bu hizmetin güvenliğini sağlamak için desteklenmez.
DevOps güvenliği
Daha fazla bilgi için bkz. Microsoft bulut güvenliği karşılaştırması: DevOps güvenliği.
DS-6: DevOps yaşam döngüsü boyunca iş yükünün güvenliğini zorunlu kılma
DS-6 için diğer yönergeler
İyi yönetilen ve güvenli bir DevOps dağıtım işlem hattı gibi denetimli ve güvenilir bir ortamdan App Service kodu dağıtın. Bu, sürüm denetimi yapılmayan ve kötü amaçlı bir konaktan dağıtıldığı doğrulanmamış kodu önler.
Sonraki adımlar
- Bkz. Microsoft bulut güvenliği karşılaştırması genel bakış
- Azure güvenlik temelleri hakkında daha fazla bilgi edinin