Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Azure App Service poskytuje prostředí paaS (platforma jako služba), které umožňuje vytvářet, nasazovat a škálovat webové aplikace, back-endy mobilních aplikací, rozhraní RESTful API a aplikace funkcí. Při nasazování této služby je důležité dodržovat osvědčené postupy zabezpečení k ochraně aplikací, dat a infrastruktury.
Tento článek obsahuje pokyny k zajištění nejlepšího zabezpečení nasazení služby Azure App Service.
Azure App Service aktivně zabezpečuje a zlepšuje zabezpečení komponent platformy, včetně virtuálních počítačů Azure, úložiště, síťových připojení, webových architektur a funkcí pro správu a integraci. Služba App Service prochází nepřetržitými a přísnými kontrolami dodržování předpisů, aby se zajistilo, že:
- Každá aplikace je oddělená od ostatních aplikací a prostředků Azure.
- Pravidelné aktualizace virtuálních počítačů a softwaru modulu runtime řeší nově zjištěná ohrožení zabezpečení.
- Komunikace tajných kódů a připojovacích řetězců mezi aplikacemi a dalšími prostředky Azure, jako je Azure SQL Database , probíhá pouze v rámci Azure bez překročení hranic sítě. Uložené tajné kódy jsou vždy šifrované.
- Veškerá komunikace přes funkce připojení ke službě App Service, jako je hybridní připojení , jsou šifrovaná.
- Všechna připojení prostřednictvím nástrojů pro vzdálenou správu, jako jsou Azure PowerShell, Azure CLI, sady Azure SDK a rozhraní REST API, se šifrují.
- Průběžná správa hrozeb chrání infrastrukturu a platformu před malwarem, distribuovaným útokem doS (DDoS) a útoky typu man-in-the-middle a dalšími hrozbami.
Další informace o zabezpečení infrastruktury a platformy v Azure najdete v Centru zabezpečení Azure.
Zabezpečení sítě
App Service podporuje řadu funkcí zabezpečení sítě, které umožňují uzamknout aplikace a zabránit neoprávněnému přístupu.
Konfigurace privátních koncových bodů: Eliminujte vystavení veřejného internetu směrováním provozu do služby App Service prostřednictvím virtuální sítě pomocí služby Azure Private Link a zajištění zabezpečeného připojení pro klienty ve vašich privátních sítích. Viz Použití privátních koncových bodů pro Azure App Service.
Implementace integrace virtuální sítě: Zabezpečte odchozí provoz tím, že aplikaci povolíte přístup k prostředkům ve virtuální síti Azure nebo prostřednictvím virtuální sítě Azure a přitom zachováte izolaci od veřejného internetu. Viz Integrace aplikace s virtuální sítí Azure.
Nakonfigurujte omezení přístupu IP adres: Omezte přístup k aplikaci definováním seznamu povolených IP adres a podsítí, které mají přístup k vaší aplikaci a blokují veškerý ostatní provoz. Můžete definovat jednotlivé IP adresy nebo rozsahy definované maskami podsítě a nakonfigurovat dynamická omezení IP adres prostřednictvím web.config souborů v aplikacích pro Windows. Viz Nastavení omezení přístupu ke službě Azure App Service.
Nastavení omezení koncového bodu služby: Zamkněte příchozí přístup k vaší aplikaci z konkrétních podsítí ve virtuálních sítích pomocí koncových bodů služby, které spolupracují s omezeními přístupu ip adres k zajištění filtrování na úrovni sítě. Viz omezení přístupu ke službě Azure App Service.
Použití firewallu webových aplikací: Vylepšení ochrany před běžnými webovými ohroženími zabezpečení a útoky implementací služby Azure Front Door nebo Application Gateway s funkcemi firewallu webových aplikací před vaší službou App Service. Viz Azure Web Application Firewall ve službě Azure Application Gateway.
Správa identit a přístupu
Správná správa identit a řízení přístupu je nezbytná pro zabezpečení nasazení služby Azure App Service proti neoprávněnému použití a potenciálnímu krádeži přihlašovacích údajů.
Povolte spravované identity pro odchozí požadavky: Zabezpečené ověřování ve službách Azure z vaší aplikace bez uložení přihlašovacích údajů v kódu nebo konfiguraci pomocí spravovaných identit, což eliminuje nutnost spravovat instanční objekty a připojovací řetězce. Spravované identity poskytují vaší aplikaci automaticky spravovanou identitu v Microsoft Entra ID, která se použije při provádění odchozích požadavků na jiné služby Azure, jako je Azure SQL Database, Azure Key Vault a Azure Storage. App Service podporuje spravované identity přiřazené systémem i spravované identity přiřazené uživatelem. Viz Použití spravovaných identit pro App Service a Azure Functions.
Konfigurace ověřování a autorizace: Implementujte ověřování nebo autorizaci služby App Service pro zabezpečení vaší aplikace pomocí Microsoft Entra ID nebo jiných zprostředkovatelů identity, což brání neoprávněnému přístupu bez psaní vlastního ověřovacího kódu. Integrovaný ověřovací modul zpracovává webové požadavky před jejich předáním kódu aplikace a podporuje několik poskytovatelů, včetně Microsoft Entra ID, účtů Microsoft, Facebooku, Googlu a X. Viz Ověřování a autorizace ve službě Azure App Service.
Implementace řízení přístupu na základě role pro operace správy: Řídit, kdo může spravovat a konfigurovat prostředky služby App Service (rovina správy) přiřazením minimálních potřebných oprávnění Azure RBAC uživatelům a instančním objektům podle principu nejnižšího oprávnění. Tím se řídí přístup pro správu k operacím, jako je vytváření aplikací, úpravy nastavení konfigurace a správa nasazení – odděleně od ověřování na úrovni aplikace (Easy Auth) nebo ověřování mezi aplikacemi (spravované identity). Předdefinované role v Azure
Implementujte ověřování jménem uživatele: Delegujte přístup ke vzdáleným prostředkům jménem uživatelů pomocí Microsoft Entra ID jako zprostředkovatele ověřování. Aplikace App Service může provádět delegované přihlašování ke službám, jako jsou Microsoft Graph nebo vzdálené aplikace api služby App Service. Najdete kompletní kurz v tématu Ověřování a autorizace uživatelů od začátku do konce v Azure App Service.
Povolit vzájemné ověřování TLS: Vyžadování klientských certifikátů pro přidání zabezpečení, když vaše aplikace potřebuje ověřit identitu klienta, zejména pro scénáře B2B nebo interní aplikace. Viz Konfigurace vzájemného ověřování TLS pro Službu Azure App Service.
Ochrana dat
Ochrana dat během přenosu a v klidu je klíčová pro zachování důvěrnosti a integrity vašich aplikací a jejich dat.
Vynucení HTTPS: Přesměrujte veškerý provoz HTTP na HTTPS tím, že povolíte režim pouze HTTPS a zajistíte, že veškerá komunikace mezi klienty a vaší aplikací je šifrovaná. Služba App Service ve výchozím nastavení vynutí přesměrování požadavků HTTP na HTTPS a výchozí název
<app_name>.azurewebsites.netdomény vaší aplikace je už přístupný přes HTTPS. Viz Konfigurace obecných nastavení.Konfigurace verze protokolu TLS: Použijte moderní protokoly TLS tím, že nakonfigurujete minimální verzi protokolu TLS na verzi 1.2 nebo vyšší a zakážete zastaralé nezabezpečené protokoly, abyste zabránili potenciálním ohrožením zabezpečení. App Service podporuje protokol TLS 1.3 (nejnovější), TLS 1.2 (výchozí minimum) a TLS 1.1/1.0 (pouze kvůli zpětné kompatibilitě). Nakonfigurujte minimální verzi protokolu TLS pro webovou aplikaci i web SCM. Viz Konfigurace obecných nastavení.
Správa certifikátů TLS/SSL: Zabezpečte vlastní domény pomocí správně nakonfigurovaných certifikátů TLS/SSL pro navázání důvěryhodných připojení. App Service podporuje více typů certifikátů: bezplatné spravované certifikáty služby App Service, certifikáty služby App Service, certifikáty třetích stran a certifikáty importované ze služby Azure Key Vault. Pokud nakonfigurujete vlastní doménu, zabezpečte ji pomocí certifikátu TLS/SSL, aby prohlížeče mohly vytvářet zabezpečená připojení HTTPS. Viz Přidání a správa certifikátů TLS/SSL ve službě Azure App Service.
Ukládání tajných kódů ve službě Key Vault: Ochrana citlivých hodnot konfigurace, jako jsou přihlašovací údaje databáze, tokeny rozhraní API a privátní klíče, jejich uložením ve službě Azure Key Vault a přístupem k nim pomocí spravovaných identit místo jejich ukládání do nastavení aplikace nebo kódu. Aplikace služby App Service může bezpečně přistupovat ke službě Key Vault pomocí ověřování spravované identity. Viz Odkazy na použití služby Key Vault pro App Service a Azure Functions.
Šifrování nastavení aplikace: Místo ukládání tajných kódů do kódu nebo konfiguračních souborů používejte šifrovaná nastavení aplikace a připojovací řetězce. App Service ukládá tyto hodnoty zašifrované v Azure a dešifruje je těsně před injektáží do paměti procesu vaší aplikace při spuštění aplikace. Šifrovací klíče se pravidelně obměňují. K těmto hodnotám můžete přistupovat jako k proměnným prostředí pomocí standardních vzorů pro váš programovací jazyk. Viz Konfigurace nastavení aplikace.
Zabezpečená vzdálená připojení: Při přístupu ke vzdáleným prostředkům vždy používejte šifrovaná připojení, i když back-endový prostředek umožňuje nešifrovaná připojení. Pro prostředky Azure, jako je Azure SQL Database a Azure Storage, zůstanou připojení v Azure a nepřekračují hranice sítě. Pro virtuální prostředky sítě použijte integraci virtuální sítě s VPN typu Point-to-Site. Pro místní prostředky použijte hybridní připojení s protokolem TLS 1.2 nebo integrací virtuální sítě s vpn typu site-to-site. Zajistěte, aby back-endové služby Azure umožňovaly jenom nejmenší možnou sadu IP adres z vaší aplikace. Viz Vyhledání odchozích IP adres.
Protokolování a monitorování
Implementace komplexního protokolování a monitorování je nezbytná pro detekci potenciálních bezpečnostních hrozeb a řešení potíží s nasazením služby Azure App Service.
Povolit protokolování diagnostiky: Konfigurace diagnostických protokolů služby Azure App Service pro sledování chyb aplikací, protokolů webového serveru, trasování neúspěšných požadavků a podrobných chybových zpráv pro identifikaci problémů se zabezpečením a řešení problémů Viz Povolení protokolování diagnostiky pro aplikace ve službě Azure App Service.
Integrace se službou Azure Monitor: Nastavte Azure Monitor tak, aby shromažďovali a analyzovali protokoly a metriky z vaší služby App Service, což umožňuje komplexní monitorování a upozorňování na události zabezpečení a problémy s výkonem. Viz Monitorování aplikací ve službě Azure App Service.
Konfigurace Application Insights: Implementujte Application Insights, abyste získali podrobné přehledy o výkonu aplikací, vzorech využití a potenciálních problémech se zabezpečením s možnostmi monitorování a analýzy v reálném čase. Viz Monitorování výkonu služby Azure App Service.
Nastavení výstrah zabezpečení: Vytvořte vlastní výstrahy, které vás upozorní na neobvyklé vzorce použití, potenciální porušení zabezpečení nebo přerušení služeb ovlivňující vaše prostředky služby App Service. Viz Vytváření, zobrazování a správa upozornění metrik pomocí služby Azure Monitor.
Povolte kontroly stavu: Nakonfigurujte kontroly stavu, abyste mohli monitorovat provozní stav vaší aplikace a automaticky opravovat problémy, pokud je to možné. Viz Monitorování instancí služby App Service pomocí kontroly stavu.
Dodržování předpisů a zásady správného řízení
Vytvoření správných zásad správného řízení a zajištění dodržování příslušných standardů je zásadní pro zabezpečené fungování aplikací Azure App Service.
Implementace azure Policy: Vynucujte standardy zabezpečení pro nasazení služby App Service v celé organizaci vytvořením a přiřazením definic Azure Policy, které auditují a vynucují požadavky na dodržování předpisů. Viz kontrolní opatření kompatibility s předpisy Azure Policy pro Azure App Service.
Projděte si doporučení zabezpečení: Pravidelně vyhodnocujte stav zabezpečení služby App Service pomocí Programu Microsoft Defender for Cloud a identifikujte a opravujte ohrožení zabezpečení a chybné konfigurace. Viz Ochrana webových aplikací a rozhraní API služby Azure App Service.
Provádění posouzení zabezpečení: Proveďte pravidelná posouzení zabezpečení a penetrační testování aplikací app Service za účelem identifikace potenciálních ohrožení zabezpečení a slabých míst zabezpečení. Podívejte se na srovnávací test zabezpečení cloudu Microsoftu.
Dodržování právních předpisů: Nakonfigurujte nasazení služby App Service v souladu s platnými zákonnými požadavky pro vaše odvětví a oblast, zejména pokud jde o ochranu dat a ochranu osobních údajů. Viz dokumentace k dodržování předpisů Azure.
Implementace zabezpečených postupů DevOps: Vytvořte zabezpečené kanály CI/CD pro nasazování aplikací do služby App Service, včetně kontroly kódu, kontrol závislostí a automatizovaného testování zabezpečení. Viz DevSecOps v Azure.
Zálohování a obnovování
Implementace robustních mechanismů zálohování a obnovení je nezbytná pro zajištění kontinuity podnikových procesů a ochrany dat v nasazeních služby Azure App Service.
Povolení automatizovaných záloh: Nakonfigurujte naplánované zálohy pro aplikace služby App Service, abyste zajistili obnovení aplikací a dat v případě náhodného odstranění, poškození nebo jiných selhání. Viz Zálohování a obnovení aplikace ve službě Azure App Service.
Konfigurace uchovávání záloh: Nastavte vhodná období uchovávání záloh na základě vašich obchodních požadavků a potřeb dodržování předpisů a zajistěte zachování důležitých dat po požadovanou dobu. Viz Zálohování a obnovení aplikace ve službě Azure App Service.
Implementace nasazení ve více oblastech: Nasaďte důležité aplikace napříč několika oblastmi, abyste zajistili vysokou dostupnost a možnosti zotavení po havárii v případě regionálních výpadků. Viz kurz: Vytvoření vysoce dostupné aplikace pro více oblastí ve službě App Service
Test obnovení zálohování: Pravidelně testujte proces obnovení zálohování, abyste zajistili, že zálohy jsou platné a lze je v případě potřeby úspěšně obnovit, přičemž se ověřuje funkčnost aplikace a integrita dat. Viz Obnovení aplikace ze zálohy.
Postupy obnovení dokumentů: Vytvoření a údržba komplexní dokumentace pro postupy obnovení, zajištění rychlé a efektivní reakce během přerušení služby nebo havárie.
Zabezpečení specifické pro službu
Azure App Service má jedinečné aspekty zabezpečení, které by se měly řešit, aby se zajistilo celkové zabezpečení webových aplikací.
Zakázat základní ověřování: Zakažte základní ověřování pomocí uživatelského jména a hesla pro koncové body FTP a SCM ve prospěch ověřování založeného na ID microsoftu Entra, které poskytuje ověřování založené na tokenech OAuth 2.0 s vylepšeným zabezpečením. Viz Zakázání základního ověřování v nasazeních služby Azure App Service.
Zabezpečené nasazení FTP/FTPS: Zakažte přístup FTP nebo vynucujte režim jen FTPS při použití protokolu FTP pro nasazení, aby se zabránilo přenosu přihlašovacích údajů a obsahu ve formátu prostého textu. Nové aplikace jsou nastavené tak, aby ve výchozím nastavení přijímaly jenom FTPS. Viz Nasazení aplikace do služby Azure App Service pomocí FTP/S.
Dosažení úplné izolace sítě: Pomocí služby App Service Environment můžete spouštět aplikace ve vyhrazené službě App Service Environment ve vaší vlastní instanci služby Azure Virtual Network. To poskytuje úplnou izolaci sítě od sdílené infrastruktury s vyhrazenými veřejnými koncovými body, možnostmi interního nástroje pro vyrovnávání zatížení (ILB) pro interní přístup a schopnost používat interní nástroj pro vyrovnávání zatížení za bránou firewall webových aplikací pro ochranu na podnikové úrovni. Viz Úvod do prostředí Azure App Service Environment.
Implementace ochrany před útoky DDoS: K ochraně před vznikajícími útoky DDoS použijte firewall webových aplikací (WAF) a ochranu před útoky DDoS azure DDoS. Nasaďte Službu Azure Front Door s WAF pro ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Viz Azure DDoS Protection a Azure Front Door s Webovým aplikačním firewallem (WAF).