Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Služba Azure App poskytuje hostingovou infrastrukturu pro vaše funkční aplikace. Tento článek obsahuje strategie zabezpečení pro spouštění kódu funkce a způsob, jakým vám app Service může pomoct zabezpečit funkce.
Azure App Service aktivně zabezpečuje a zlepšuje zabezpečení komponent platformy, včetně virtuálních počítačů Azure, úložiště, síťových připojení, webových architektur a funkcí pro správu a integraci. Služba App Service prochází nepřetržitými a přísnými kontrolami dodržování předpisů, aby se zajistilo, že:
- Každá aplikace je oddělená od ostatních aplikací a prostředků Azure.
- Pravidelné aktualizace virtuálních počítačů a softwaru modulu runtime řeší nově zjištěná ohrožení zabezpečení.
- Komunikace tajných kódů a připojovacích řetězců mezi aplikacemi a dalšími prostředky Azure, jako je Azure SQL Database , probíhá pouze v rámci Azure bez překročení hranic sítě. Uložené tajné kódy jsou vždy šifrované.
- Veškerá komunikace přes funkce připojení ke službě App Service, jako je hybridní připojení , jsou šifrovaná.
- Všechna připojení prostřednictvím nástrojů pro vzdálenou správu, jako jsou Azure PowerShell, Azure CLI, sady Azure SDK a rozhraní REST API, se šifrují.
- Průběžná správa hrozeb chrání infrastrukturu a platformu před malwarem, distribuovaným útokem doS (DDoS) a útoky typu man-in-the-middle a dalšími hrozbami.
Další informace o zabezpečení infrastruktury a platformy v Azure najdete v Centru zabezpečení Azure.
Sadu doporučení zabezpečení, která se řídí srovnávacím testem zabezpečení cloudu Microsoftu, najdete v tématu Standardní hodnoty zabezpečení Azure pro Azure Functions.
Plánování zabezpečeného vývoje, nasazení a provozu bezserverových funkcí je velmi stejné jako u jakékoli webové nebo cloudové aplikace hostované v cloudu, bezserverové aplikace jsou pravděpodobně zranitelné vůči variantám tradičních útoků. Další informace o potenciálních útocích na bezserverovou infrastrukturu najdete v OWASP Top 10: Serverless Interpretation.
Zabezpečená operace
Tato část vás provede co nejbezpečenější konfigurací a spuštěním aplikace funkcí.
Defender for Cloud
Defender for Cloud se integruje s vaší funkční aplikací na portálu. Poskytuje rychlé posouzení potenciálních ohrožení zabezpečení souvisejících s konfigurací. Aplikace funkcí běžící ve vyhrazeném plánu můžou také využívat funkce rozšířeného zabezpečení v programu Defender for Cloud za příplatek. Další informace viz Defender for App Service.
Protokolování a monitorování
Jedním ze způsobů, jak detekovat útoky, je monitorování aktivit a protokolování analýzy. Funkce se integrují s Application Insights za účelem shromažďování dat protokolu, výkonu a chyb pro vaši aplikaci funkcí. Application Insights automaticky detekuje anomálie výkonu a obsahuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, jak se vaše funkce používají. Další informace naleznete v tématu Monitor Azure Functions.
Funkce se také integruje s protokoly azure Monitoru, abyste mohli konsolidovat protokoly aplikací funkcí pomocí systémových událostí pro snadnější analýzu. Nastavení diagnostiky můžete použít k nakonfigurování streamovaného exportu protokolů a metrik platformy pro vaše funkce na vámi zvolené místo určení, například do pracovního prostoru Služby Log Analytics. Další informace najdete v tématu Monitorování služby Azure Functions pomocí nástroje Azure Monitor.
Pro automatizaci hrozeb na podnikové úrovni streamujte protokoly a události do pracovního prostoru Služby Logs Analytics. Microsoft Sentinel pak můžete připojit k tomuto pracovnímu prostoru. Další informace najdete v tématu Co je Microsoft Sentinel.
Další doporučení zabezpečení pro pozorovatelnost najdete ve standardních hodnotách zabezpečení Azure pro Azure Functions.
Zabezpečení koncových bodů HTTP
Koncové body HTTP, které veřejně zveřejňujete, poskytují vektor útoku pro aktéry se zlými úmysly. Při zabezpečení HTTP koncových bodů používejte vrstvený přístup k zabezpečení. Pomocí těchto technik můžete snížit ohrožení zabezpečení veřejně vystavených koncových bodů HTTP seřazených od nejzásadnějších po nejbezpečnější a omezující:
- Vyžadovat HTTPS
- Vyžadování přístupových klíčů
- Povolení ověřování/autorizace služby App Service
- Použití služby Azure API Management (APIM) k ověřování požadavků
- Nasazení aplikace funkcí do virtuální sítě
- Nasaďte svou funkční aplikaci v izolaci
Vyžadovat HTTPS
Ve výchozím nastavení se klienti můžou připojit ke koncovým bodům funkcí pomocí protokolu HTTP nebo HTTPS. Přesměrujte HTTP na HTTPS, protože HTTPS používá protokol TLS k zajištění zabezpečeného připojení, které je šifrované i ověřené. Postup najdete v tématu Vynucení HTTPS.
Pokud potřebujete protokol HTTPS, vyžadovat také nejnovější verzi protokolu TLS. Postup najdete v tématu Vynucení verzí protokolu TLS.
Další informace najdete v tématu Zabezpečené připojení (TLS).
Klávesy přístupu k funkci
Služba Functions používá klíče, které znesnadní přístup ke koncovým bodům vaší funkce. Pokud u funkce anonymousaktivované protokolem HTTP nenastavíte úroveň přístupu HTTP, musí požadavky do požadavku obsahovat přístupový klíč. Další informace najdete v tématu Práce s přístupovými klíči ve službě Azure Functions.
Přístupové klíče sice můžou pomoct zabránit nežádoucímu přístupu, ale jediným způsobem, jak skutečně zabezpečit koncové body funkce, je implementace pozitivního ověřování klientů, kteří přistupují k vašim funkcím. Pak můžete provádět rozhodnutí o autorizaci na základě identity.
Pro nejvyšší úroveň zabezpečení zabezpečte celou aplikační architekturu ve virtuální síti pomocí privátních koncových bodů nebo provozem v izolaci.
Zakázání koncových bodů správy
Funkční aplikace můžou obsluhovat koncové body správy pod trasou /admin. Tyto koncové body můžete použít pro operace, jako je získání informací o stavu hostitele a provádění testovacích vyvolání. Při zveřejnění musí požadavky na tyto koncové body obsahovat hlavní klíč aplikace. K operacím správy můžete přistupovat také prostřednictvím rozhraní API Azure Resource ManageruMicrosoft.Web/sites, které nabízí Azure RBAC. Pokud chcete zakázat /admin koncové body, nastavte vlastnost webu functionsRuntimeAdminIsolationEnabled ve vaší aplikaci na hodnotu true. Pro více informací se podívejte na odkaz na vlastnost functionsRuntimeAdminIsolationEnabled.
Povolení ověřování/autorizace služby App Service
Platforma App Service umožňuje k ověřování klientů používat ID Microsoft Entra a několik zprostředkovatelů identity jiných společností než Microsoft. Pomocí této strategie můžete implementovat vlastní autorizační pravidla pro vaše funkce. Můžete pracovat s informacemi o uživateli z kódu funkce. Další informace najdete v tématu Ověřování a autorizace ve službě Azure App Service a práce s identitami klientů.
Použití služby Azure API Management (APIM) k ověřování požadavků
APIM poskytuje různé možnosti zabezpečení rozhraní API pro příchozí požadavky. Další informace najdete v tématu Zásady ověřování služby API Management. Pomocí služby APIM můžete aplikaci funkcí nakonfigurovat tak, aby přijímala požadavky pouze z IP adresy vaší instance APIM. Další informace najdete v tématu Omezení IP adres.
Oprávnění
Stejně jako u jakékoli aplikace nebo služby spusťte aplikaci funkcí s nejnižšími možnými oprávněními.
Oprávnění pro správu uživatelů
Functions podporuje integrované řízení přístupu na základě role v Azure (Azure RBAC). Role Azure podporované funkcí jsou Přispěvatel, Vlastník a Čtenář.
Oprávnění se projeví na úrovni aplikace funkcí. Role Přispěvatel je nutná k provádění většiny úloh na úrovni aplikace funkcí. K zobrazení dat protokolu v Application Insights potřebujete roli Přispěvatel spolu s oprávněním Monitorovací čtenář také. Funkční aplikaci může odstranit pouze role vlastníka.
Uspořádání funkcí podle oprávnění
Připojovací řetězce a další přihlašovací údaje uložené v nastavení aplikace poskytují všem funkcím v aplikaci funkcí stejnou sadu oprávnění v přidruženém prostředku. Zvažte minimalizaci počtu funkcí s přístupem ke konkrétním přihlašovacím údajům přesunutím funkcí, které tyto přihlašovací údaje nepoužívají do samostatné aplikace funkcí. K předávání dat mezi funkcemi v různých aplikacích funkcí můžete použít techniky, jako je například řetězení funkcí.
Spravované identity
Spravovaná identita z Microsoft Entra ID umožňuje vaší aplikaci snadno přistupovat k dalším prostředkům chráněným microsoftem Entra, jako je Azure Key Vault. Platforma Azure spravuje identitu, takže nemusíte zřizovat ani obměňovat tajné kódy. Další informace o spravovaných identitách v Microsoft Entra ID najdete v tématu Spravované identity pro prostředky Azure.
Aplikaci můžete udělit dva typy identit:
- Identita přiřazená systémem je svázaná s aplikací a je odstraněna, pokud je aplikace odstraněna. Aplikace může mít pouze jednu identitu přiřazenou systémem.
- Identita přiřazená uživatelem je samostatný prostředek Azure, který je možné přiřadit k vaší aplikaci. Aplikace může mít více identit přiřazených uživatelem. Jednu identitu přiřazenou uživatelem je možné přiřadit k několika prostředkům Azure, jako jsou dvě aplikace App Service.
Pro připojení z některých triggerů a vazeb používejte spravované identity místo tajných kódů. Viz Připojení založená na identitě.
Další informace najdete v tématu Použití spravovaných identit pro App Service a Azure Functions.
Omezení přístupu CORS
Sdílení prostředků mezi zdroji (CORS) je způsob, jak umožnit webovým aplikacím běžícím v jiné doméně provádět požadavky na koncové body triggeru HTTP. App Service poskytuje integrovanou podporu pro zpracování požadovaných hlaviček CORS v požadavcích HTTP. Pravidla CORS jsou definována na úrovni aplikace funkcí.
Je lákavé použít zástupný znak, který umožňuje všem webům přístup k vašemu koncovému bodu. Tento přístup porazí účel CORS, který pomáhá předcházet útokům na skriptování mezi weby. Místo toho přidejte samostatnou položku CORS pro doménu každé webové aplikace, která musí přistupovat k vašemu koncovému bodu.
Správa tajemství
Aby se aplikace funkcí mohli připojit k různým službám a prostředkům potřebným ke spuštění kódu, potřebují přístup k tajným kódům, jako jsou připojovací řetězce a klíče služby. Tato část popisuje, jak ukládat tajné kódy vyžadované vašimi funkcemi.
Nikdy neukládejte tajné kódy do kódu funkce.
Nastavení aplikace
Ve výchozím nastavení uložte připojovací řetězce a tajné kódy používané vaší aplikací funkcí a vazby jako nastavení aplikace. Tento přístup zpřístupňuje tyto přihlašovací údaje kódu funkce i různým vazbám používaným funkcí. K načtení skutečné hodnoty, která je tajná, použijte název nastavení aplikace (klíč).
Například každá aplikace funkcí vyžaduje přidružený účet úložiště, který modul runtime používá. Ve výchozím nastavení uložíte připojení k tomuto účtu úložiště v nastavení aplikace s názvem AzureWebJobsStorage.
Azure šifruje nastavení aplikace a připojovací řetězce. Nastavení aplikace a připojovací řetězce se dešifrují jenom před vložením do paměti procesu aplikace při spuštění aplikace. Šifrovací klíče se pravidelně obměňují. Pokud dáváte přednost správě zabezpečeného úložiště tajných kódů, nastavte nastavení aplikace na tajné kódy služby Azure Key Vault.
Při vývoji funkcí na místním počítači můžete také ve výchozím nastavení zašifrovat nastavení v local.settings.json souboru. Další informace najdete v tématu Šifrování místního souboru nastavení.
Reference ke službě Key Vault
I když pro většinu funkcí stačí nastavení aplikace, můžete chtít sdílet stejné tajné kódy napříč několika službami. V takovém případě má redundantní úložiště tajných kódů za následek větší potenciální ohrožení zabezpečení. Bezpečnějším přístupem je použití centrální služby úložiště tajných kódů a použití odkazů na tuto službu místo samotných tajných kódů.
Azure Key Vault je služba, která poskytuje centralizovanou správu tajných kódů s plnou kontrolou nad zásadami přístupu a historií auditu. Referenci na Key Vault můžete použít místo připojovacího řetězce nebo klíče v nastavení aplikace. Další informace najdete v tématu Použití odkazů služby Key Vault pro App Service a Azure Functions.
Připojení založená na identitách
Pro připojení k některým prostředkům používejte identity místo tajných kódů. Tento přístup má výhodu, že nevyžaduje správu tajného kódu a poskytuje jemněji odstupňované řízení přístupu a auditování.
Když napíšete kód, který vytvoří připojení ke službám Azure, které podporují ověřování Microsoft Entra, můžete místo tajného klíče nebo připojovacího řetězce použít identitu. Podrobnosti o obou metodách připojení najdete v dokumentaci pro každou službu.
Pomocí připojení založených na identitách můžete nakonfigurovat některá rozšíření vazeb Azure Functions pro přístup ke službám. Další informace najdete v tématu Konfigurace připojení založeného na identitě.
Nastavení kvót využití
Zvažte nastavení kvóty využití pro funkce spuštěné v plánu Consumption. Když nastavíte denní limit na dobu spuštění (GB-sec) pro celkové provádění funkcí ve vaší funkční aplikaci, provádění se zastaví, jakmile je limit dosažen. Tento přístup může potenciálně pomoct chránit před škodlivým kódem, který spouští vaše funkce. Pro informace o odhad spotřeby pro vaše funkce viz Odhad nákladů na plán Consumption.
Ověření dat
Triggery a vazby používané vašimi funkcemi neposkytují žádné další ověření dat. Váš kód musí ověřit všechna data přijatá z triggeru nebo vstupní vazby. Pokud dojde k ohrožení zabezpečení upstreamové služby, nechcete, aby vaše funkce procházely nevalidovanými vstupy. Pokud například vaše funkce ukládá data z fronty Azure Storage do relační databáze, musíte data ověřit a parametrizovat příkazy, aby se zabránilo útokům prostřednictvím injektáže SQL.
Nepředpokládáme, že data přicházející do vaší funkce jsou už ověřená nebo sanitizovaná. Je také vhodné ověřit, jestli jsou data zapsaná do výstupních vazeb platná.
Řešení chyb
I když to vypadá jako základní, je důležité ve svých funkcích napsat dobré zpracování chyb. Neošetřené chyby se propagují k hostiteli a modul runtime tyto chyby zpracovává. Různé vazby zpracovávají chyby odlišně. Další informace najdete v tématu Zpracování chyb ve službě Azure Functions.
Zakázat vzdálené ladění
Ujistěte se, že je vzdálené ladění zakázané, s výjimkou případů, kdy aktivně ladíte funkce. Vzdálené ladění můžete zakázat v kartě Obecné nastavení konfigurace vaší aplikace funkcí v portálu.
Omezení přístupu CORS
Azure Functions podporuje sdílení prostředků mezi různými zdroji (CORS). CORS se konfiguruje na portálu a prostřednictvím Azure CLI. Seznam povolených zdrojů CORS se vztahuje na úrovni aplikace funkcí. S povoleným CORS zahrnují odpovědi hlavičku Access-Control-Allow-Origin . Další informace naleznete v tématu Sdílení prostředků různého původu.
Nepoužívejte v seznamu povolených domén zástupné znaky. Místo toho uveďte konkrétní domény, ze kterých očekáváte získání požadavků.
Ukládání šifrovaných dat
Azure Storage šifruje všechny uložené údaje v klidovém stavu v účtu úložiště. Další informace najdete v tématu Šifrování služby Azure Storage pro neaktivní uložená data.
Ve výchozím nastavení se data šifrují pomocí klíčů spravovaných Microsoftem. Pokud chcete mít větší kontrolu nad šifrovacími klíči, můžete zadat klíče spravované zákazníkem pro šifrování dat objektů blob a souborů. Tyto klíče musí být k dispozici ve službě Azure Key Vault, aby služba Functions mohla získat přístup k účtu úložiště. Další informace najdete v tématu Šifrování neaktivních uložených dat aplikace pomocí klíčů spravovaných zákazníkem.
Zabezpečení souvisejících prostředků
Aplikace funkcí často závisí na jiných prostředcích, takže součástí zabezpečení aplikace je zabezpečení těchto externích prostředků. Minimálně většina aplikací funkcí zahrnuje závislost na Application Insights a Azure Storage. Pokyny k zabezpečení těchto prostředků najdete v standardních hodnotách zabezpečení Azure pro Azure Monitor a standardních hodnotách zabezpečení Azure pro službu Storage.
Důležité
Účet úložiště slouží k ukládání důležitých dat aplikace, někdy včetně samotného kódu aplikace. Měli byste omezit přístup z jiných aplikací a uživatelů k účtu pro ukládání.
Měli byste se také podívat na pokyny pro všechny typy zdrojů, na které vaše logika aplikace závisí, a to jak ve formě spouštěčů, tak i vazeb a také z kódu funkce.
Zabezpečené nasazení
Integrace nástrojů Azure Functions usnadňuje publikování kódu projektu místních funkcí do Azure. Při zvažování zabezpečení topologie Azure Functions je důležité pochopit, jak funguje nasazení.
Přihlašovací údaje pro nasazení
Nasazení služby App Service vyžaduje sadu nasazovacích přihlašovacích údajů. Tyto přihlašovací údaje pro nasazení použijete k zabezpečení nasazení funkcí aplikace. Platforma App Service spravuje přihlašovací údaje pro nasazení a šifruje je v klidovém stavu.
Existují dva druhy nasazovacích přihlašovacích údajů:
Uživatelské přihlašovací údaje nebo údaje na úrovni uživatele poskytují jednu sadu přístupových údajů pro nasazení v rámci celého účtu Azure uživatele. Uživatel, kterému je udělen přístup k aplikaci prostřednictvím řízení přístupu na základě role (RBAC) nebo oprávnění spolusprávce, může používat přihlašovací údaje na úrovni uživatele, pokud mají tato oprávnění.
Pomocí přihlašovacích údajů pro konkrétního uživatele můžete provést nasazení jakékoli aplikace do služby App Service prostřednictvím místního Gitu nebo FTP/S v libovolném předplatném, ke kterému má váš účet Azure přístupová práva. Tyto přihlašovací údaje nesdílíte s ostatními uživateli Azure. Přihlašovací údaje uživatelského rozsahu můžete kdykoli resetovat.
Přihlašovací údaje na úrovni aplikace nebo oboru aplikace jsou jednou sadou přihlašovacích údajů na aplikaci, kterou je možné použít k nasazení pouze této aplikace. Tyto přihlašovací údaje se generují automaticky pro každou aplikaci při vytváření a nedají se konfigurovat ručně, ale heslo je možné kdykoli resetovat.
Aby uživatel získal přístup k povolením na úrovni aplikace, musí mít k aplikaci alespoň oprávnění na úrovni Contributor, včetně předdefinované role Website Contributor. Role čtenáře nemůže publikovat a nemá přístup k těmto přihlašovacím údajům.
V tuto chvíli se pro přihlašovací údaje pro nasazení nepodporuje služba Key Vault. Další informace o správě přihlašovacích údajů nasazení najdete v tématu Konfigurace přihlašovacích údajů nasazení pro službu Aplikace Azure Service.
Zakázání FTP
Ve výchozím nastavení má každá aplikace funkcí povolený koncový bod FTP. K FTP koncovému bodu se přistupuje pomocí přihlašovacích údajů pro nasazení.
Ftp se nedoporučuje pro nasazení kódu funkce. Nasazení FTP jsou ruční a vyžadují synchronizaci triggerů. Další informace najdete v tématu Nasazení ftp.
Pokud nepoužíváte FTP, zachovejte ho zakázané. Toto nastavení můžete změnit na portálu. Pokud se rozhodnete používat FTP, vynucujte ftps.
Zabezpečte koncový scm bod
Každá aplikace funkcí má odpovídající scm koncový bod služby, který služba Advanced Tools (Kudu) používá pro nasazení a další rozšíření webu služby App Service. Koncový scm bod aplikace funkcí je vždy adresa URL ve formuláři https://<FUNCTION_APP_NAME>.scm.azurewebsites.net. Pokud k zabezpečení funkcí používáte izolaci sítě, musíte pro tento koncový bod také počítat.
Pomocí samostatného scm koncového bodu můžete řídit nasazení a další funkce Advanced Tools pro aplikace funkcí, které jsou izolované nebo spuštěné ve virtuální síti. Koncový scm bod podporuje jak základní ověřování (pomocí přihlašovacích údajů nasazení), tak jednotné přihlašování pomocí přihlašovacích údajů Azure portálu. Další informace najdete v tématu Přístup ke službě Kudu.
Průběžné ověřování zabezpečení
Vzhledem k tomu, že potřebujete zvážit zabezpečení v každém kroku procesu vývoje, je vhodné implementovat také ověřování zabezpečení v prostředí průběžného nasazování. Tento přístup se někdy označuje jako DevSecOps. Pomocí Azure DevOps pro váš kanál nasazení můžete integrovat ověření do procesu nasazení. Další informace najdete v tématu Zabezpečení služby Azure Pipelines.
Zabezpečení sítě
Omezením síťového přístupu k aplikaci funkcí můžete řídit, kdo má přístup ke koncovým bodům funkcí. Služba Functions používá infrastrukturu služby App Service, aby umožnila přístup k prostředkům bez použití internetově směrovatelných adres, nebo aby omezila přístup k internetu na koncový bod funkce. Další informace o těchtomožnostch
Nastavení omezení přístupu
Omezení přístupu umožňují definovat seznamy pravidel povolení a zamítnutí pro řízení provozu do vaší aplikace. Pravidla se vyhodnocují v pořadí priority. Pokud nedefinujete žádná pravidla, vaše aplikace přijímá provoz z libovolné adresy. Další informace najdete v tématu Omezení přístupu ke službě Azure App Service.
Zabezpečení účtu úložiště
Když vytváříte aplikaci funkcí, musíte vytvořit nebo propojit účet Azure Storage pro obecné účely, který podporuje službu Blob, Queue a Table Storage. Tento účet úložiště můžete nahradit účtem, který je zabezpečený virtuální sítí s přístupem povoleným koncovými body služby nebo privátními koncovými body. Další informace najdete v části Omezení účtu úložiště na virtuální síť.
Nasazení aplikace funkcí do virtuální sítě
Služba Azure Private Endpoint je síťové rozhraní, které umožňuje soukromé a bezpečné připojení ke službě, která používá technologii Azure Private Link. Privátní koncový bod používá privátní IP adresu vaší virtuální sítě a tím vlastně přináší službu do vaší virtuální sítě.
Privátní koncový bod můžete použít pro funkce hostované v plánech Flex Consumption, Elastic Premium a Dedicated (App Service).
Pokud chcete uskutečňovat hovory na privátní koncové body, musíte se ujistit, že vaše vyhledávání DNS se přeloží na privátní koncové body. Toto chování můžete vynutit jedním z následujících způsobů:
- Integrace s privátními zónami Azure DNS Pokud vaše virtuální síť nemá vlastní server DNS, provede se to automaticky.
- Spravujte privátní koncový bod na serveru DNS používaném vaší aplikací. Pokud chcete spravovat privátní koncový bod, musíte znát adresu koncového bodu a pomocí záznamu A odkazovat na koncový bod, ke kterém se pokoušíte připojit.
- Nakonfigurujte vlastní server DNS tak, aby předával privátní zóny Azure DNS.
Další informace najdete v tématu Použití privátních koncových bodů pro Web Apps.
Nasazení aplikace funkcí izolovaně
Aplikace Azure Service Environment poskytuje vyhrazené hostitelské prostředí, ve kterém můžete spouštět funkce. Tato prostředí umožňují nakonfigurovat jednu front-endovou bránu, kterou můžete použít k ověření všech příchozích požadavků. Další informace najdete v tématu Integrace prostředí ILB App Service Environment se službou Azure Application Gateway.
Použijte službu brány
Pomocí služeb brány, jako je Azure Application Gateway a Azure Front Door, můžete nastavit firewall webových aplikací (WAF). Pravidla WAF monitorují nebo blokují zjištěné útoky, které poskytují další vrstvu ochrany vašich funkcí. Pokud chcete nastavit WAF, musí vaše funkční aplikace běžet v ASE nebo používat privátní koncové body (náhled). Další informace najdete v tématu Použití privátních koncových bodů.