اعتبارات الأمان لمسرع المنطقة المنتقل إليها في Azure Spring Apps
توضح هذه المقالة اعتبارات الأمان والتوصيات لحمل العمل المستضاف في Azure Spring Apps. يساعدك هذا التوجيه على إنشاء حمل عمل قادر على اكتشاف الثغرات الأمنية ومنعها والاستجابة لها.
لا يمكن للتطبيق الآمن ضمان أمان حمل العمل بأكمله. بصفتك مالك حمل العمل، قم بتقييم الأخطاء البشرية، وقم بتقييم سطح الهجوم، مثل التطبيق وخدمات البنية الأساسية التي يتفاعل معها التطبيق.
يوفر Azure عناصر تحكم أمان للشبكة والهوية والبيانات لدعم استراتيجية الدفاع في العمق. تم تضمين العديد من عناصر التحكم في Azure Spring Apps. يستند هذا الإرشادات إلى أساس أمان Azure لتطبيقات Azure Spring المشتقة من الإصدار 2.0 من معيار أمان Azure. يوفر المعيار توصيات حول كيفية تأمين حمل العمل الذي يعمل على سحابة Azure Spring Apps.
توفر الفرق المركزية عناصر تحكم في الشبكات والهوية كجزء من النظام الأساسي. وهي توفر حواجز حماية للحفاظ على التحكم في الأنظمة الأساسية والتطبيقات والموارد في Azure. يتم توفير اشتراك المنطقة المنتقل إليها للتطبيق المقدم لحمل العمل مسبقا مع النهج، والتي يتم توريثها من مجموعة الإدارة.
أثناء تصميم حمل العمل، تأكد من محاذاة عناصر التحكم في الأمان التي تملكها مع عناصر التحكم المركزية. يخضع التصميم لمراجعات دورية أجراها فريق الأمان المركزي. راجع بانتظام عناصر التحكم في الأمان ونهج النظام الأساسي مع الفرق المركزية للتأكد من استيعاب متطلبات حمل العمل.
للحصول على معلومات حول تصميم النظام الأساسي، راجع:
اعتبارات التصميم
نسبة استخدام الشبكة الداخلية. تقييد نسبة استخدام الشبكة بين الموارد الداخلية أو السماح لها باتباع مبدأ تجزئة المؤسسة الذي يتوافق مع مخاطر الأعمال. عند الضرورة، قم بإنشاء حدود عزل من خلال الشبكات الظاهرية والشبكات الفرعية. تنفيذ القواعد لتقييد تدفقات نسبة استخدام الشبكة بين الشبكات.
نسبة استخدام الشبكة الخارجية. استخدم موارد Azure الأصلية لحماية موارد حمل العمل من الهجمات من الشبكات الخارجية، بما في ذلك:
- هجمات رفض الخدمة الموزعة (DDoS).
- الهجمات الخاصة بالتطبيق.
- نسبة استخدام شبكة الإنترنت غير المرغوب فيها والمحتمل أن تكون ضارة.
إدارة الهوية. استخدم ميزات Azure Active Directory (Azure AD)، مثل الهويات المدارة وتسجيل الدخول الأحادي والمصادقات القوية والهويات المدارة والوصول المشروط لتوفير المصادقة والتخويل من خلال Azure AD.
المراقبة الأمنية. يجب أن يكون لدى النظام أدوات مراقبة للكشف عن التهديدات وقياس التوافق باستخدام أهداف المؤسسة وعناصر تحكم Azure Security Benchmark. يجب دمج هذه الأدوات مع أنظمة معلومات الأمان المركزية وإدارة الأحداث (SIEM) للحصول على نظرة شاملة على الوضع الأمني.
البيانات المتنقلة. يجب تشفير البيانات التي يتم نقلها بين المكونات أو المواقع أو استدعاءات واجهة برمجة التطبيقات.
البيانات الثابتة. يجب تشفير جميع البيانات المستمرة، بما في ذلك التكوين.
نُهج الحوكمة. يجب اكتشاف الانحرافات عن معايير التوافق التي تحددها مؤسستك. يوفر نهج Azure تعريفات مضمنة يجب تطبيقها للكشف عن الانحرافات. عند تطبيق النهج، فإنه لا يضمن أنك متوافق تماما مع جميع متطلبات عنصر التحكم. قد تكون هناك معايير متوافقة لا تتم معالجتها في التعريفات المضمنة.
التعرض لبيانات الاعتماد. يمكنك نشر التعليمات البرمجية والتكوينات والبيانات المستمرة وتشغيلها باستخدام الهويات أو الأسرار. تأكد من فحص بيانات الاعتماد عند الوصول إلى الأصول.
إدارة الشهادات. يجب تحميل الشهادات استنادا إلى مبدأ ثقة معدومة عدم الثقة أبدا، والتحقق دائما، ويجب أن تكون خالية من بيانات الاعتماد. الثقة في الشهادات المشتركة فقط عن طريق التحقق من الهوية قبل منح حق الوصول إلى الشهادات.
عمليات النشر المتسقة. استخدم البنية الأساسية كتعليمة برمجية (IaC) لأتمتة توفير وتكوين جميع موارد Azure وتعزيز وضع الأمان.
توصيات التصميم
الشبكة كمحيط
تنشئ عناصر التحكم في الشبكة هذه حدود عزل وتقيد التدفقات داخل التطبيق وخارجه.
تجزئة الشبكة
إنشاء شبكة ظاهرية موجودة أو استخدامها عند توزيع موارد خدمة Azure Spring Cloud.
إنشاء عزل داخل الشبكة الظاهرية من خلال الشبكات الفرعية. تقييد نسبة استخدام الشبكة بين الموارد الداخلية أو السماح بها باستخدام قواعد NSG الخاصة بك. استخدم ميزة تصلب الشبكة التكيفية Microsoft Defender for Cloud لزيادة تقوية تكوينات NSG التي تحد من المنافذ وIPs المصدر. قم بإسناد التكوينات إلى قواعد نسبة استخدام الشبكة الخارجية.
عند إنشاء قواعد أمان، استخدم علامات خدمة Azure لتعريف عناصر التحكم في الوصول إلى الشبكة بدلا من عناوين IP محددة. عند تحديد اسم علامة الخدمة في حقل المصدر أو الوجهة للقاعدة المناسبة، قم بالسماح بنسبة استخدام الشبكة للخدمة المقابلة أو رفضها. تدير Microsoft بادئات العناوين التي تغطيها علامة الخدمة. يقوم تلقائيا بتحديث علامة الخدمة مع تغيير العناوين.
AzureSpringCloud استخدم علامة الخدمة على مجموعات أمان الشبكة أو Azure Firewall للسماح بنسبة استخدام الشبكة إلى التطبيقات في Azure Spring Apps.
لمزيد من المعلومات، راجع مسؤوليات العملاء لتشغيل Azure Spring Cloud في شبكة ظاهرية.
الاتصال بالشبكات الخاصة
في بيئة متقاربة، استخدم Azure ExpressRoute أو شبكة Azure الظاهرية الخاصة (VPN) لإنشاء اتصالات خاصة بين مراكز بيانات Azure والبنية الأساسية المحلية. لا تنتقل اتصالات ExpressRoute عبر الإنترنت العام مع الموثوقية والسرعات الأسرع وا لزمن انتقال أقل.
بالنسبة إلى VPN من نقطة إلى موقع وVPN من موقع إلى موقع، قم بتوصيل الأجهزة أو الشبكات المحلية بشبكة ظاهرية. استخدم أي مجموعة من خيارات VPN هذه وAzure ExpressRoute.
لتوصيل شبكتين ظاهريتين أو أكثر في Azure، استخدم نظير الشبكة الظاهرية. تعتبر حركة مرور الشبكة بين الشبكات الظاهرية المتناظرة حركةً خاصةً. يتم الاحتفاظ بهذا النوع من نسبة استخدام الشبكة على شبكة Azure الأساسية.
الهجمات من الشبكات الخارجية
ضع عناصر التحكم في نسبة استخدام الشبكة الواردة وحظر هجمات طبقة التطبيق باستخدام Azure Application Gateway مع جدار حماية تطبيق الويب المتكامل (WAF).
استخدم Azure Firewall لتقييد نسبة استخدام الشبكة الصادرة من التطبيق. يمكنك استخدام Azure Firewall لحماية التطبيقات والخدمات من نسبة استخدام الشبكة الضارة المحتملة من الإنترنت والمواقع الخارجية الأخرى.
يمكن أن ترسل لك التصفية المستندة إلى التحليل الذكي للمخاطر في Azure Firewall تنبيها أو حظر نسبة استخدام الشبكة من وإلى عناوين IP والمجالات الضارة المعروفة. ونحصل على عناوين IP والمجالات من موجز التحليل الذكي للمخاطر لـ Microsoft. عندما يكون فحص الحمولة ضروريا، قم بتوزيع نظام الكشف عن الاختراق/منع الاختراق (IDS/IPS) التابع لجهة خارجية من Azure Marketplace مع قدرات فحص الحمولة. بدلا من ذلك، يمكنك استخدام IDS/IPS المستندة إلى المضيف أو حل الكشف عن نقطة النهاية المستندة إلى المضيف والاستجابة لها (EDR) مع IDS/IPS المستندة إلى الشبكة أو بدلا من ذلك.
لحماية موارد حمل العمل من هجمات DDoS، قم بتمكين حماية DDoS القياسية على شبكات Azure الظاهرية. استخدم Microsoft Defender للسحابة للكشف عن مخاطر التكوين الخاطئ للموارد المتعلقة بالشبكة.
حماية خدمة اسم المجال (DNS)
استخدم Azure DNS لاستضافة مجالات DNS. حماية مناطق DNS وسجلاتها من الجهات الفاعلة السيئة. يوصى بالتحكم في الوصول المستند إلى الدور في Azure (Azure RBAC) وتأمين الموارد لهذا الغرض. لمزيد من المعلومات، راجع منع إدخالات DNS المعلقة وتجنب استيلاء المجال الفرعي.
الهوية كمحيط
يوفر Azure عناصر التحكم في الهوية من خلال Azure Active Directory (Azure AD). يحتوي التطبيق على العديد من الميزات، مثل تسجيل الدخول الأحادي والمصادقات القوية والهويات المدارة والوصول المشروط. للحصول على معلومات حول خيارات التصميم للبنية، راجع اعتبارات الهوية لمسرع المنطقة المنتقل إليها في Azure Spring Apps.
يصف القسم التالي الجوانب الأمنية لتلك الخيارات.
التكامل مع نظام الهوية المركزي
تستخدم مناطق هبوط Azure Azure AD كخدمة افتراضية لإدارة الهوية والوصول. لإدارة خدمات حمل العمل، يوصى Azure AD المركزية. تتضمن Azure AD المركزية الوصول إلى موارد شبكة المؤسسة وتخزين Azure Key Vault والخدمات الأخرى التي يعتمد عليها تطبيقك.
إذا كنت ترغب في منح حق الوصول إلى مستوى بيانات Azure Spring Apps، فاستخدم الدور المضمن في Azure Spring Cloud Data Reader . يمنح هذا الدور أذونات للقراءة فقط.
يوصى باستخدام ميزات Azure AD هذه:
هويات التطبيق. قد يحتاج التطبيق إلى الوصول إلى خدمات Azure الأخرى. على سبيل المثال، إذا كان يريد استرداد البيانات السرية من Azure Key Vault.
استخدم الهويات المدارة مع Azure Spring Apps حتى يتمكن التطبيق من مصادقة نفسه على خدمات أخرى باستخدام Azure AD. تجنب استخدام كيانات الخدمة لهذا الغرض. لا تستخدم عملية مصادقة الهويات المدارة بيانات الاعتماد المضمنة في التعليمات البرمجية المصدر أو ملفات التكوين.
إذا كنت بحاجة إلى استخدام كيانات الخدمة مع بيانات اعتماد الشهادة والرجوع إلى أسرار العميل، فمن المستحسن استخدام Azure AD لإنشاء كيان خدمة بأذونات مقيدة على مستوى المورد.
في كلتا الحالتين، يمكن استخدام Key Vault مع الهويات المدارة من Azure. يمكن استخدام مكون وقت التشغيل، مثل دالة Azure، لاسترداد الأسرار من Key Vault. لمزيد من المعلومات، راجع المصادقة في Azure Key Vault.
Azure AD تسجيل الدخول الأحادي (SSO). يوصى Azure AD SSO لمصادقة الوصول إلى التطبيق من التطبيقات أو الأجهزة الأخرى التي تعمل في السحابة أو محليا. يوفر SSO إدارة الهوية للمستخدمين الداخليين والخارجيين، مثل الشركاء أو الموردين.
عناصر تحكم مصادقة قوية. يدعم Azure AD عناصر تحكم مصادقة قوية من خلال المصادقة متعددة العوامل (MFA) وأساليب قوية بدون كلمة مرور. بالنسبة للمسؤولين والمستخدمين المتميزين، استخدم أعلى مستوى من أسلوب المصادقة القوي لتقليل نصف قطر الانفجار إذا كان هناك خرق. ثم طرح نهج المصادقة القوية المناسبة للمستخدمين الآخرين. لمزيد من المعلومات، راجع تمكين المصادقة متعددة العوامل في Azureوخيارات المصادقة بدون كلمة مرور ل Azure Active Directory.
الوصول المشروط إلى الموارد. تدعم Azure Spring Apps الوصول المشروط Azure AD لعنصر تحكم وصول أكثر دقة يستند إلى الشروط المعرفة من قبل المستخدم. يمكنك تعيين الشروط لتضمين عمليات تسجيل دخول المستخدم من نطاقات IP معينة تحتاج إلى تسجيل الدخول باستخدام MFA. تنطبق نهج الوصول المشروط هذه فقط على حسابات المستخدمين التي تصادق على Azure AD للوصول إلى التطبيقات وإدارتها. لا تنطبق هذه النهج على كيانات الخدمة أو المفاتيح أو الرموز المميزة المستخدمة للاتصال بموارد حمل العمل.
الوصول المتميز. تنفيذ Azure AD إدارة الهويات المتميزة لضمان الوصول الأقل امتيازا وإعداد التقارير العميقة في بيئة Azure بأكملها. يجب أن تبدأ الفرق في مراجعات صلاحية الوصول المتكررة لضمان حصول الأشخاص ومبادئ الخدمة المناسبة على مستويات تخويل حالية وصحيحة.
عناصر تحكم البيانات
تقيد عناصر التحكم في الشبكة والهوية الوصول إلى التطبيق، ولكن يجب حماية البيانات. يضمن التشفير تكامل البيانات وهو قدرة أمان رئيسية يجب تطبيقها للتخفيف من التهديدات.
البيانات المتنقلة
البيانات المنقولة عرضة للهجمات خارج النطاق، مثل التقاط نسبة استخدام الشبكة. استخدم التشفير للتأكد من أن المهاجمين لا يمكنهم قراءة تلك البيانات أو تعديلها بسهولة. يوفر Azure تشفيرا للبيانات أثناء النقل بين مراكز بيانات Azure.
تدعم Azure Spring Apps التشفير باستخدام بروتوكول أمان طبقة النقل (TLS) v1.2 أو أحدث. يوفر TLS اتصالات آمنة من خلال الهوية والثقة، ويشفرة الاتصالات من جميع الأنواع. يمكنك استخدام أي نوع من شهادات TLS. على سبيل المثال، الشهادات الصادرة عن مرجع مصدق أو شهادات التحقق الموسعة أو شهادات أحرف البدل مع دعم أي عدد من المجالات الفرعية أو الشهادات الموقعة ذاتيا لبيئات التطوير والاختبار.
يعد التشفير أمرا بالغ الأهمية لنسبة استخدام الشبكة على الشبكات الخارجية والعامة. يجب أن تستخدم جميع نقاط النهاية العامة HTTPS لنسبة استخدام الشبكة الواردة بشكل افتراضي. يجب أن تكون استدعاءات الإدارة لتكوين خدمة Azure Spring Apps من خلال استدعاءات Azure Resource Manager API عبر HTTPS.
بالنسبة لحركة مرور HTTP، تأكد من أن العملاء الذين يتصلون بموارد Azure يمكنهم التفاوض على TLS v1.2 أو أحدث. لا تستخدم الإصدارات أو البروتوكولات القديمة. تعطيل الشفرات الضعيفة.
للإدارة عن بعد، بدلا من استخدام بروتوكول غير مشفر، استخدم Secure Shell (SSH) لنظام التشغيل Linux أو بروتوكول سطح المكتب البعيد (RDP) وTLS لنظام التشغيل Windows.
البيانات الثابتة
يحتاج حمل العمل إلى حالة مخزن للمصدر والبيانات الاصطناعية وإعدادات خادم التكوين وإعدادات التطبيق والتخزين. البيانات الثابتة من جانب الخادم محمية بواسطة تشفير Azure Storage. يقوم التخزين تلقائيا بتشفير المحتوى باستخدام مفاتيح تديرها Microsoft.
يتم حفظ ذاكرة التخزين المؤقت لخادم التكوين وثنائيات وقت التشغيل التي تم إنشاؤها من المصادر التي تم تحميلها وسجلات التطبيق أثناء مدة بقاء التطبيق في قرص مدار من Azure. يتم تشفير هذه البيانات تلقائيا. يتم تشفير صور الحاوية، التي تم إنشاؤها من المصدر الذي تم تحميله من قبل المستخدم وحفظها في Azure Container Registry.
بالنسبة لسيناريوهات الدعم، عندما تحتاج Microsoft إلى الوصول إلى بيانات العملاء ذات الصلة، استخدم مربع تأمين العميل ل Microsoft Azure لأنه يجب على فريقك أو مؤسستك الموافقة على الوصول.
مراقبة الحالات الشاذة للحساب والتنبيه بشأنها
يوصى Microsoft Defender for Cloud بتلقي تنبيهات حول الأنشطة المشبوهة، مثل العدد الزائد من محاولات المصادقة الفاشلة أو الحسابات المهملة في الاشتراك.
تم دمج Azure Spring Apps مع Azure AD، والتي يمكنها تتبع أنشطة تسجيل الدخول بما في ذلك عمليات تسجيل الدخول الخطرة. يمكنك استخدام سجلات التدقيق للكشف عن التغييرات التي يتم إجراؤها على أي موارد ضمن Azure AD. يتم دمج البيانات مع Azure Monitor ويمكن تصديرها إلى Azure Sentinel.
لمزيد من المعلومات، راجع:
- تقارير نشاط التدقيق في Azure AD
- عرض Azure AD عمليات تسجيل الدخول الخطرة
- مراقبة هوية المستخدمين ونشاط الوصول في Microsoft Defender for Cloud
- التنبيهات في Microsoft Defender لوحدة الحماية من التحليل الذكي للمخاطر في السحابة
نهج الحوكمة
يسمح لك تعريف Azure المضمن المسمى Azure Spring Cloud باستخدام إدخال الشبكة بفرض عناصر التحكم في الشبكة.
- الكشف عن تنفيذ حدود العزل للتطبيق من الإنترنت.
- تمكين Azure Spring Apps من الاتصال بالشبكات الخاصة في مراكز البيانات المحلية أو خدمة Azure في الشبكات الظاهرية الأخرى.
- التحكم في اتصالات الشبكة الواردة والصادرة لشبكة Azure Spring Apps الظاهرية.
إدارة الشهادات
قد يحتاج التطبيق إلى شهادات TLS عامة عند الاتصال بخدمات الواجهة الخلفية أو الأنظمة المحلية. يمكنك تحميل الشهادات في Key Vault.
لتحميل الشهادات بأمان من Key Vault، تستخدم تطبيقات Spring Boot الهويات المدارة والتحكم في الوصول المستند إلى الدور في Azure (RBAC). تستخدم Azure Spring Apps كيان خدمة موفر والتحكم في الوصول المستند إلى الدور في Azure. يتم تشغيل هذا التحميل الآمن باستخدام موفر Azure Key Vault Java Cryptography Architecture (JCA). لمزيد من المعلومات، راجع مكتبة عميل Azure Key Vault JCA ل Java.
إذا كانت التعليمات البرمجية Spring أو تعليمة Java البرمجية أو المكتبات مفتوحة المصدر، مثل OpenSSL، تعتمد على سلسلة JVM الافتراضية JCA لتحميل الشهادات ضمنيا في مخزن ثقة JVM، يمكنك استيراد شهادات TLS الخاصة بك من Key Vault إلى Azure Spring Apps. استخدم هذه الشهادات داخل التطبيق. لمزيد من المعلومات، راجع استخدام شهادات TLS/SSL في تطبيقك في Azure Spring Apps.
فحص بيانات الاعتماد
تنفيذ Credential Scanner لتحديد بيانات الاعتماد التي تصل إلى التعليمات البرمجية والتكوينات والبيانات المستمرة. يشجع Credential Scanner على نقل بيانات الاعتماد المكتشفة إلى مواقع أكثر أمانا، مثل Key Vault.
بالنسبة إلى GitHub، يمكنك استخدام ميزة فحص البيانات السرية الأصلية لتحديد بيانات الاعتماد أو أشكال البيانات السرية الأخرى داخل التعليمات البرمجية.
لمزيد من المعلومات، راجع: