Especificar requisitos de segurança para cargas de trabalho da Web
Esta unidade resume a linha de base de segurança do Azure para o Serviço de Aplicativo para ajudá-lo a criar novas especificações de requisitos para cargas de trabalho da Web.
Consulte Introdução à arquitetura de referência de segurança cibernética da Microsoft e ao benchmark de segurança na nuvem para obter mais informações sobre o Microsoft Cloud Security Benchmark.
Na tabela abaixo, incluímos controles da linha de base completa onde:
- Os controles de segurança eram suportados, mas não habilitados por padrão
- Havia orientações explícitas que continham medidas a serem tomadas por parte do cliente
Área | Ctrl | Caraterística | Resumo das orientações |
---|---|---|---|
Segurança da rede | NS-1: Estabelecer limites de segmentação de rede | Integração da Rede Virtual | Garantir um IP estável para comunicações de saída para endereços de Internet: Você pode fornecer um IP de saída estável usando o recurso de integração de Rede Virtual. Isso permite que a parte recetora permita a lista de permissões com base no IP, se necessário. |
NS-2: Proteger serviços cloud com controlos de rede | Azure Private Link | Use pontos de extremidade privados para seus Aplicativos Web do Azure para permitir que clientes localizados em sua rede privada acessem com segurança os aplicativos por Link Privado. O ponto final privado utiliza um endereço IP no seu espaço de endereços VNet do Azure. | |
NS-2: Proteger serviços cloud com controlos de rede | Desativar o Acesso à Rede Pública | Desabilite o Acesso à Rede Pública' usando regras de filtragem de ACL IP de nível de serviço ou pontos de extremidade privados ou definindo a propriedade publicNetworkAccess como Desabilitado no Gerenciador de Recursos do Azure. | |
NS-5: Implante a proteção contra DDoS | Habilite a Proteção contra DDoS na rede virtual que hospeda o Firewall de Aplicativo Web do Serviço de Aplicativo. O Azure fornece proteção de infraestrutura DDoS (Básica) em sua rede. Para melhorar os recursos inteligentes de DDoS, habilite a Proteção contra DDoS do Azure, que aprende sobre padrões de tráfego normais e pode detetar comportamentos incomuns. A Proteção contra DDoS do Azure tem duas camadas; Proteção de Rede e Proteção IP. | ||
NS-6: Implante o firewall de aplicativos Web | Evite que o WAF seja ignorado para seus aplicativos. Certifique-se de que o WAF não pode ser ignorado bloqueando o acesso apenas ao WAF. Use uma combinação de Restrições de Acesso, Pontos de Extremidade de Serviço e Pontos de Extremidade Privados. | ||
Gestão de identidades | IM-1: utilizar o sistema de autenticação e identidade centralizado | Autenticação do Microsoft Entra necessária para acesso ao plano de dados | Para aplicativos Web autenticados, use apenas provedores de identidade estabelecidos conhecidos para autenticar e autorizar o acesso do usuário. |
Métodos de Autenticação Local para Acesso ao Plano de Dados | Restrinja o uso de métodos de autenticação local para acesso ao plano de dados. Em vez disso, use o Microsoft Entra ID como o método de autenticação padrão para controlar o acesso ao plano de dados. | ||
IM-3: Gerir identidades de aplicações de forma segura e automática | Identidades Geridas | Use identidades gerenciadas do Azure em vez de entidades de serviço quando possível, que podem se autenticar nos serviços e recursos do Azure que dão suporte à autenticação do Microsoft Entra. As credenciais de identidade gerida são totalmente geridas, rodadas e protegidas pela plataforma, evitando credenciais codificadas em código fonte ou ficheiros de configuração. | |
IM-7: Restringir o acesso a recursos com base nas condições | Acesso Condicional para Plano de Dados | Defina as condições e os critérios aplicáveis para o Acesso Condicional do Microsoft Entra na carga de trabalho. | |
IM-8: Restringir a exposição de credenciais e segredos | Integração e Armazenamento de Suporte de Credenciais de Serviço e Segredos no Azure Key Vault | Certifique-se de que os segredos e credenciais do aplicativo sejam armazenados em locais seguros, como o Cofre de Chaves do Azure, em vez de incorporá-los em arquivos de código ou configuração. Use uma identidade gerenciada em seu aplicativo para acessar credenciais ou segredos armazenados no Cofre da Chave de forma segura. | |
Acesso privilegiado | PA-8: Determinar o processo de acesso para o suporte do fornecedor de cloud | Sistema de Proteção de Dados do Cliente | Em cenários de suporte em que a Microsoft precisa acessar seus dados, use o Customer Lockbox para revisar e, em seguida, aprovar ou rejeitar cada uma das solicitações de acesso a dados da Microsoft. |
Proteção de dados | DP-3: Encriptar dados confidenciais em trânsito | Dados na Encriptação de Trânsito | Use e imponha a versão mínima padrão do TLS v1.2, configurada nas configurações TLS/SSL, para criptografar todas as informações em trânsito. Certifique-se também de que todas as solicitações de conexão HTTP sejam redirecionadas para HTTPS. |
DP-5: Utilize a opção chave gerida pelo cliente na encriptação de dados inativos quando necessário | Encriptação de Dados Inativos com CMK | Se necessário para conformidade regulamentar, defina o caso de uso e o escopo do serviço em que a criptografia usando chaves gerenciadas pelo cliente é necessária. Habilite e implemente a criptografia de dados em repouso usando a chave gerenciada pelo cliente para esses serviços. | |
DP-6: Utilizar um processo de gestão de chaves segura | Gestão de Chaves no Azure Key Vault | Use o Azure Key Vault para criar e controlar o ciclo de vida de suas chaves de criptografia, incluindo geração, distribuição e armazenamento de chaves. Gire e revogue suas chaves no Cofre de Chaves do Azure e seu serviço com base em um cronograma definido ou quando houver uma desativação de chave ou comprometimento. | |
DP-7: Use um processo seguro de gerenciamento de certificados | Gerenciamento de certificados no Azure Key Vault | O Serviço de Aplicativo pode ser configurado com SSL/TLS e outros certificados, que podem ser configurados diretamente no Serviço de Aplicativo ou referenciados no Cofre da Chave. Para garantir o gerenciamento central de todos os certificados e segredos, armazene todos os certificados usados pelo Serviço de Aplicativo no Cofre de Chaves em vez de implantá-los localmente diretamente no Serviço de Aplicativo. | |
Gestão de ativos | AM-2: Utilizar apenas serviços aprovados | ||
AM-4: Limitar o acesso à gestão de ativos | Isolar sistemas que processam informações confidenciais. Para fazer isso, use Planos do Serviço de Aplicativo ou Ambientes do Serviço de Aplicativo separados e considere o uso de assinaturas ou grupos de gerenciamento diferentes. | ||
Deteção de registo e de ameaça | LT-1: Ativar as capacidades de deteção de ameaças | Microsoft Defender de Serviço/Oferta de Produtos | Use o Microsoft Defender for App Service para identificar ataques direcionados a aplicativos em execução no Serviço de Aplicativo. |
LT-4: Ativar o registo para investigação de segurança | Registos de Recursos do Azure | Habilite os logs de recursos para seus aplicativos Web no Serviço de Aplicativo. | |
Gestão de postura e de vulnerabilidade | PV-2: Auditar e impor configurações seguras | Desative a depuração remota, a depuração remota não deve ser ativada para cargas de trabalho de produção, pois isso abre mais portas no serviço, o que aumenta a superfície de ataque. | |
PV-7: Conduzir operações regulares da equipe vermelha | Realize testes de penetração regulares em seus aplicativos da Web seguindo as regras de teste de penetração de engajamento. | ||
Cópia de segurança e recuperação | BR-1: Garantir cópias de segurança automatizadas regulares | Azure Backup | Sempre que possível, implemente o design de aplicativos sem monitoração de estado para simplificar cenários de recuperação e backup com o Serviço de Aplicativo. Se você realmente precisar manter um aplicativo com monitoração de estado, habilite o recurso Backup e Restauração no Serviço de Aplicativo, que permite criar facilmente backups de aplicativos manualmente ou de forma agendada. |
Segurança do DevOps | DS-6: Reforçar a segurança da carga de trabalho durante todo o ciclo de vida do DevOps | Implante código no Serviço de Aplicativo a partir de um ambiente controlado e confiável, como um pipeline de implantação de DevOps bem gerenciado e seguro. Isso evita que o código que não foi controlado pela versão e verificado para ser implantado a partir de um host mal-intencionado. |