أفضل الممارسات لتأمين تطبيقات الويب والجوال لـ PaaS باستخدام Azure Service

في هذه المقالة، نناقش مجموعة من أفضل الممارسات الأمنية لخدمة تطبيقات Azure لتأمين تطبيقات الويب والهاتف المحمول الخاصة بك من PaaS. تُستمد أفضل الممارسات هذه من تجربتنا مع Azure وتجارب عملاء مثلك.

خدمة تطبيقات Azure هي خدمة منصة كخدمة (PaaS) تتيح لك إنشاء تطبيقات الويب والهاتف المحمول لأي نظام أساسي أو جهاز والاتصال بالبيانات في أي مكان أو في السحابة أو في الموقع. تتضمن App Service إمكانات الويب والأجهزة المحمولة التي تم تسليمها مسبقًا بشكل منفصل كمواقع Azure على الويب وخدمات Azure Mobile. كما تتضمن قدرات جديدة لأتمتة العمليات التجارية واستضافة واجهات برمجة التطبيقات السحابية. كخدمة متكاملة واحدة، توفر App Service مجموعة قيمة من الإمكانات لسيناريوهات الويب والجوال والتكامل.

المصادقة من خلال معرف Microsoft Entra

توفر App Service خدمة OAuth 2.0 لموفر الهوية الخاص بك. يركز OAuth 2.0 على بساطة مطور العميل مع توفير تدفقات تخويل محددة لتطبيقات الويب وتطبيقات سطح المكتب والهواتف المحمولة. يستخدم معرف Microsoft Entra OAuth 2.0 لتمكينك من تخويل الوصول إلى تطبيقات الجوال والويب. لمعرفة المزيد، راجع المصادقة والتخويل في Azure App Service.

تقييد الوصول استنادًا إلى الدور

هذا أمر ضروري للمؤسسات التي تريد فرض نهج الأمان للوصول إلى البيانات. يمكنك استخدام التحكم في الوصول استنادًا إلى الدور في Azure (Azure RBAC) لتعيين أذونات للمستخدمين والمجموعات والتطبيقات في نطاق معين، مثل الحاجة إلى المعرفة ومبادئ الأمان الأقل امتيازًا. لمعرفة المزيد حول منح المستخدمين حق الوصول إلى التطبيقات، راجع ما هو التحكم في الوصول المستند إلى دور Azure (Azure RBAC).

حماية المفاتيح

لا يهم مدى جودة أمانك إذا فقدت مفاتيح الاشتراك. يحمي Azure Key Vault helps مفاتيح وأسرار التشفير التي تستخدمها التطبيقات والخدمات السحابية. باستخدام Key Vault، يمكنك تشفير المفاتيح والأسرار (مثل مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات و. PFX الملفات وكلمات المرور) باستخدام مفاتيح محمية بواسطة الوحدات النمطية أمان الأجهزة (HSMs). لضمان إضافي، يمكنك استيراد أو إنشاء مفاتيح في HSMs. يمكنك أيضًا استخدام Key Vault لإدارة شهادات TLS الخاصة بك بالتجديد التلقائي. راجع ما هو Azure Key Vault لمعرفة المزيد.

تقييد عناوين IP المصدر الواردة

تحتوي بيئات خدمة التطبيقات على ميزة تكامل شبكة افتراضية تساعدك على تقييد عناوين IP المصدر الواردة من خلال مجموعات أمان الشبكة (NSGs). إذا كنت غير معتاد على شبكات Azure الظاهرية (VNETs)، فهذه قدرة تسمح لك بوضع العديد من موارد Azure في شبكة غير متصلة بالإنترنت وقابلة للتوجيه تتحكم في الوصول إليها. راجع تكامل التطبيق مع شبكة Azure الظاهرية.

بالنسبة إلى App Service على Windows، يمكنك أيضًا تقييد عناوين IP ديناميكيًا عن طريق تكوين web.config. لمزيد من المعلومات، راجع Dynamic IP Security.

الخطوات التالية

قدمت لك هذه المقالة مجموعة من أفضل ممارسات أمان Azure Storage لتأمين تطبيقات الويب والجوال لـ PaaS. لمعرفة المزيد حول تأمين عمليات توزيع PaaS، راجع:

• تأمين عمليات توزيع PaaS
• تأمين قواعد بيانات PaaS في Azure