Zabezpečení ve službě Azure App Service
V tomto článku se dozvíte, jak služba Aplikace Azure pomáhá zabezpečit webovou aplikaci, back-end mobilní aplikace, aplikaci API a aplikaci funkcí. Ukazuje také, jak můžete aplikaci dále zabezpečit pomocí integrovaných funkcí služby App Service.
Komponenty platformy služby App Service, včetně virtuálních počítačů Azure, úložiště, síťových připojení, webových architektur, funkcí správy a integrace, jsou aktivně zabezpečené a posílené. App Service průběžně prochází důslednými kontrolami dodržování předpisů, aby se zajistilo, že:
- Prostředky vaší aplikace jsou zabezpečené z prostředků Azure ostatních zákazníků.
- Instance virtuálních počítačů a software runtime se pravidelně aktualizují , aby se vyřešily nově zjištěná ohrožení zabezpečení.
- Komunikace tajných kódů (například připojovací řetězec) mezi vaší aplikací a jinými prostředky Azure (jako je SQL Database) zůstává v Azure a nepřekračuje hranice sítě. Tajné kódy se při ukládání vždy šifrují.
- Veškerá komunikace přes funkce připojení služby App Service, jako je například hybridní připojení, je šifrovaná.
- Šifrují se připojení pomocí nástrojů pro vzdálenou správu, jako jsou Azure PowerShell, Azure CLI, sady Azure SDK, rozhraní REST API.
- 24hodinová správa hrozeb chrání infrastrukturu a platformu před malwarem, distribuovaným odepřením služby (DDoS), man-in-the-middle (MITM) a dalšími hrozbami.
Další informace o zabezpečení infrastruktury a platformy v Azure najdete v Centru zabezpečení Azure.
V následujících částech se dozvíte, jak aplikaci App Service dál chránit před hrozbami.
HTTPS a certifikáty
App Service umožňuje zabezpečit aplikace pomocí protokolu HTTPS. Po vytvoření aplikace je výchozí název domény (<app_name.azurewebsites.net>) už přístupný pomocí protokolu HTTPS. Pokud pro aplikaci nakonfigurujete vlastní doménu, měli byste ji také zabezpečit certifikátem TLS/SSL, aby klientské prohlížeče mohly vytvářet zabezpečená připojení HTTPS k vaší vlastní doméně. App Service podporuje několik typů certifikátů:
- Bezplatný spravovaný certifikát služby App Service
- Certifikát služby App Service
- Certifikát třetí strany
- Certifikát importovaný ze služby Azure Key Vault
Další informace najdete v tématu Přidání certifikátu TLS/SSL ve službě Aplikace Azure Service.
Nezabezpečené protokoly (HTTP, TLS 1.0, FTP)
Pro zabezpečení aplikace před všemi nešifrovanými připojeními (HTTP) poskytuje App Service konfiguraci jedním kliknutím, která vynucuje PROTOKOL HTTPS. Nezabezpečené požadavky se odpojí, než se dostanou k kódu vaší aplikace. Další informace najdete v tématu Vynucení HTTPS.
Protokol TLS 1.0 se už nepovažuje za zabezpečený podle oborových standardů, jako je PCI DSS. App Service umožňuje zakázat zastaralé protokoly vynucováním protokolu TLS 1.1/1.2.
App Service podporuje ftp i FTPS pro nasazení souborů. Pokud je to ale možné, měli byste místo FTP použít FTPS. Pokud se nepoužívá jeden nebo oba tyto protokoly, měli byste je zakázat.
Omezení statických IP adres
Aplikace app Service ve výchozím nastavení přijímá požadavky ze všech IP adres z internetu, ale tento přístup můžete omezit na malou podmnožinu IP adres. App Service ve Windows umožňuje definovat seznam IP adres, které mají povolený přístup k vaší aplikaci. Povolený seznam může obsahovat jednotlivé IP adresy nebo rozsah IP adres definovaných maskou podsítě. Další informace najdete v tématu Aplikace Azure Omezení statické IP adresy služby.
Pro App Service ve Windows můžete ip adresy také dynamicky omezit konfigurací web.config. Další informace naleznete v tématu Dynamic IP Security <dynamicIpSecurity>.
Ověřování a autorizace klientů
služba Aplikace Azure poskytuje ověřování na klíč a autorizaci uživatelů nebo klientských aplikací. Když je tato možnost povolená, může se přihlásit uživatele a klientské aplikace s malým nebo žádným kódem aplikace. Můžete implementovat vlastní řešení ověřování a autorizace nebo povolit službě App Service, aby ji za vás zpracovála. Modul ověřování a autorizace zpracovává webové požadavky předtím, než je předá kódu vaší aplikace, a před tím, než se dostanou k vašemu kódu, zamítá neoprávněné požadavky.
Ověřování a autorizace služby App Service podporují více zprostředkovatelů ověřování, včetně ID Microsoft Entra, účtů Microsoft, Facebooku, Googlu a X. Další informace najdete v tématu Ověřování a autorizace ve službě Aplikace Azure Service.
Ověřování služba-služba
Při ověřování back-endové služby poskytuje App Service dva různé mechanismy v závislosti na vaší potřebě:
- Identita služby – Přihlaste se ke vzdálenému prostředku pomocí identity samotné aplikace. App Service umožňuje snadno vytvořit spravovanou identitu, kterou můžete použít k ověřování s jinými službami, jako je Azure SQL Database nebo Azure Key Vault. Kompletní kurz tohoto přístupu najdete v tématu Zabezpečené připojení ke službě Azure SQL Database ze služby App Service pomocí spravované identity.
- On-behalf-of (OBO) – Delegovaný přístup ke vzdáleným prostředkům jménem uživatele. S ID Microsoft Entra jako zprostředkovatelem ověřování může aplikace App Service provádět delegované přihlašování ke vzdálené službě, jako je Microsoft Graph nebo vzdálená aplikace API ve službě App Service. Kompletní kurz tohoto přístupu najdete v tématu Ověřování a autorizace koncových uživatelů ve službě Aplikace Azure Service.
Připojení ke vzdáleným prostředkům
Existují tři typy vzdálených prostředků, ke které může vaše aplikace potřebovat přístup:
V každém z těchto případů poskytuje App Service způsob, jak zajistit zabezpečená připojení, ale přesto byste měli dodržovat osvědčené postupy zabezpečení. Vždy například používejte šifrovaná připojení, i když back-endový prostředek umožňuje nešifrovaná připojení. Kromě toho se ujistěte, že vaše back-endová služba Azure umožňuje minimální sadu IP adres. Odchozí IP adresy pro vaši aplikaci najdete na příchozích a odchozích IP adresách ve službě Aplikace Azure Service.
Prostředky Azure
Když se vaše aplikace připojí k prostředkům Azure, jako je SQL Database a Azure Storage, připojení zůstane v Azure a nepřekračuje žádné síťové hranice. Připojení ale prochází sdílenými sítěmi v Azure, proto se vždy ujistěte, že je vaše připojení šifrované.
Pokud je vaše aplikace hostovaná ve službě App Service Environment, měli byste se připojit k podporovaným službám Azure pomocí koncových bodů služeb virtuální sítě.
Prostředky ve službě Azure Virtual Network
Vaše aplikace má přístup k prostředkům ve službě Azure Virtual Network prostřednictvím integrace virtuální sítě. Integrace se vytvoří s virtuální sítí pomocí sítě VPN typu point-to-site. Aplikace pak může přistupovat k prostředkům ve virtuální síti pomocí jejich privátních IP adres. Připojení typu point-to-site ale stále prochází sdílenými sítěmi v Azure.
Pokud chcete plně izolovat připojení k prostředkům od sdílených sítí v Azure, vytvořte aplikaci v prostředí App Service. Vzhledem k tomu, že je prostředí App Service vždy nasazené do vyhrazené virtuální sítě, je připojení mezi vaší aplikací a prostředky ve virtuální síti plně izolované. Další aspekty zabezpečení sítě ve službě App Service Environment najdete v tématu Izolace sítě.
Místní prostředky
K místním prostředkům, jako jsou databáze, můžete bezpečně přistupovat třemi způsoby:
- Hybridní připojení – Vytvoří připojení typu point-to-point ke vzdálenému prostředku prostřednictvím tunelu TCP. Tunel TCP se naváže pomocí protokolu TLS 1.2 s klíči sdíleného přístupového podpisu (SAS).
- Integrace virtuální sítě s vpn typu site-to-site – jak je popsáno v prostředcích uvnitř virtuální sítě Azure, ale virtuální síť je možné připojit k místní síti prostřednictvím sítě VPN typu site-to-site. V této síťové topologii se vaše aplikace může připojit k místním prostředkům, jako jsou jiné prostředky ve virtuální síti.
- Prostředí App Service s vpn typu site-to-site – jak je popsáno v prostředcích uvnitř virtuální sítě Azure, ale virtuální síť je možné připojit k místní síti prostřednictvím sítě VPN typu site-to-site. V této síťové topologii se vaše aplikace může připojit k místním prostředkům, jako jsou jiné prostředky ve virtuální síti.
Tajné kódy aplikací
Neukládejte tajné kódy aplikací, jako jsou přihlašovací údaje databáze, tokeny rozhraní API a privátní klíče, do kódu nebo konfiguračních souborů. Běžně přijímaný přístup je přístup k nim jako k proměnným prostředí pomocí standardního vzoru ve zvoleném jazyce. Ve službě App Service je způsob, jak definovat proměnné prostředí, prostřednictvím nastavení aplikace (a zejména pro aplikace .NET připojovací řetězec). Nastavení aplikací a připojovací řetězec se ukládají zašifrované v Azure a dešifrují se jenom před vložením do paměti procesu vaší aplikace při spuštění aplikace. Šifrovací klíče se pravidelně obměňují.
Případně můžete aplikaci App Service integrovat se službou Azure Key Vault pro pokročilou správu tajných kódů. Když ke službě Key Vault přistupujete se spravovanou identitou, může vaše aplikace app Service bezpečně přistupovat k potřebným tajným kódům.
Izolace sítě
S výjimkou cenové úrovně izolované, všechny úrovně spouští vaše aplikace ve sdílené síťové infrastruktuře ve službě App Service. Veřejné IP adresy a nástroje pro vyrovnávání zatížení front-endu se například sdílejí s ostatními tenanty. Izolovaná úroveň poskytuje úplnou izolaci sítě spuštěním aplikací ve vyhrazeném prostředí App Service Environment. Prostředí App Service běží ve vaší vlastní instanci služby Azure Virtual Network. Umožňuje:
- Obsluha aplikací prostřednictvím vyhrazeného veřejného koncového bodu s vyhrazenými front-endy
- Obsluha interní aplikace pomocí interního nástroje pro vyrovnávání zatížení (ILB), který umožňuje přístup pouze z vaší virtuální sítě Azure. Interní nástroj pro vyrovnávání zatížení má IP adresu z vaší privátní podsítě, která poskytuje celkovou izolaci vašich aplikací od internetu.
- Použijte interní nástroj pro vyrovnávání zatížení za firewallem webových aplikací (WAF). WAF nabízí ochranu na podnikové úrovni pro vaše veřejně přístupné aplikace, jako je ochrana před útoky DDoS, filtrování identifikátorů URI a prevence injektáže SQL.
Ochrana před útoky DDoS
U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je nasadit Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě.
Další informace naleznete v tématu Úvod do prostředí služby Aplikace Azure Service.