Aspekty správy identit a přístupu pro akcelerátor cílové zóny služby App Service

Tento článek obsahuje aspekty návrhu a doporučení pro správu identit a přístupu, které můžete použít při použití akcelerátoru cílové zóny služby Aplikace Azure Service. Konfigurace ověřování a aplikace jsou některými aspekty, které tento článek popisuje.

Přečtěte si další informace o oblasti návrhu správy identit a přístupu.

Aspekty návrhu

Když k nasazení řešení služby App Service použijete akcelerátor cílové zóny, je potřeba vzít v úvahu některé klíčové aspekty správy identit a přístupu:

• Určete úroveň zabezpečení a izolace vyžadovanou pro aplikaci a její data. Veřejný přístup umožňuje přístup k aplikaci komukoli s adresou URL aplikace, zatímco soukromý přístup omezuje přístup jenom na oprávněné uživatele a sítě.
• Určete typ ověřování a autorizace potřebné pro vaše řešení služby App Service: anonymní, interní firemní uživatelé, sociální účty, jiného zprostředkovatele identity nebo kombinaci těchto typů.
• Určete, jestli se mají používat spravované identity přiřazené systémem nebo přiřazené uživatelem, když se vaše řešení App Service připojí k back-endovým prostředkům chráněným ID Microsoft Entra.
• Zvažte vytvoření vlastních rolí podle principu nejnižšího oprávnění, pokud předefinované role vyžadují úpravy stávajících oprávnění.
• Zvolte úložiště rozšířeného zabezpečení pro klíče, tajné klíče, certifikáty a konfiguraci aplikací.
  • Pomocí konfigurace aplikace můžete sdílet běžné konfigurační hodnoty, které nejsou hesla, tajné kódy nebo klíče mezi aplikacemi, mikroslužbami a bezserverovými aplikacemi.
  • Použijte Azure Key Vault. Poskytuje rozšířené úložiště zabezpečení hesel, připojovací řetězec, klíčů, tajných klíčů a certifikátů. Key Vault můžete použít k ukládání tajných kódů a pak k nim přistupovat z vaší aplikace App Service prostřednictvím spravované identity služby App Service. Tímto způsobem můžete zajistit zabezpečení tajných kódů a zároveň jim podle potřeby poskytnout přístup z vaší aplikace.

Doporučení k návrhu

Do nasazení služby App Service byste měli začlenit následující osvědčené postupy:

• Pokud řešení App Service vyžaduje ověřování:
  • Pokud je potřeba omezit přístup k celému řešení služby App Service na ověřené uživatele, zakažte anonymní přístup.
  • Místo psaní vlastního ověřovacího a autorizačního kódu používejte integrované funkce ověřování a autorizace služby App Service.
  • Pro samostatné sloty nebo prostředí použijte samostatné registrace aplikací.
  • Pokud je řešení služby App Service určené jenom pro interní uživatele, použijte pro zvýšení zabezpečení ověřování klientských certifikátů.
  • Pokud je řešení Služby App Service určené pro externí uživatele, použijte Azure AD B2C k ověření na sociálních účtech a účtech Microsoft Entra.
• Kdykoli je to možné, používejte předdefinované role Azure. Tyto role jsou navržené tak, aby poskytovaly sadu oprávnění, která jsou běžně potřebná pro konkrétní scénáře, jako je role Čtenář pro uživatele, kteří potřebují přístup jen pro čtení, a roli Přispěvatel pro uživatele, kteří potřebují vytvářet a spravovat prostředky.
  • Pokud předdefinované role nevyhovují vašim potřebám, můžete vytvořit vlastní role tak, že zkombinujete oprávnění z jedné nebo více předdefinovaných rolí. Tímto způsobem můžete udělit přesnou sadu oprávnění, která uživatelé potřebují, a přitom stále sledovat princip nejnižších oprávnění.
  • Pravidelně monitorujte prostředky služby App Service, abyste měli jistotu, že se používají v souladu s vašimi zásadami zabezpečení. To vám může pomoct identifikovat jakýkoli neoprávněný přístup nebo změny a provést příslušné akce.
• Při přiřazování oprávnění uživatelům, skupinám a službám použijte princip nejnižší úrovně oprávnění. Tento princip uvádí, že byste měli udělit pouze minimální oprávnění, která jsou nutná k provedení konkrétní úlohy, a ne více. Následující pokyny vám můžou pomoct snížit riziko náhodných nebo škodlivých změn vašich prostředků.
• Použijte spravované identity přiřazené systémem pro přístup s vylepšeným zabezpečením back-endových prostředků, které jsou chráněny id Microsoft Entra. Díky tomu můžete řídit, ke kterým prostředkům má řešení App Service přístup a jaká oprávnění má pro tyto prostředky.
• Pro automatizované nasazení nastavte instanční objekt , který má minimální požadovaná oprávnění k nasazení z kanálu CI/CD.
• Povolte protokoly přístupu AppServiceHTTPLogs protokolování diagnostiky pro Službu App Service. Pomocí těchto podrobných protokolů můžete diagnostikovat problémy s aplikací a monitorovat žádosti o přístup. Povolení těchto protokolů také poskytuje protokol aktivit služby Azure Monitor, který poskytuje přehled o událostech na úrovni předplatného.
• Postupujte podle doporučení uvedených v částech Správa identit a privilegovaný přístup standardních hodnot zabezpečení Azure pro App Service.

Cílem správy identit a přístupu pro akcelerátor cílové zóny je zajistit, aby nasazená aplikace a její přidružené prostředky byly zabezpečené a mohly k němu přistupovat jenom autorizovaní uživatelé. Tímto způsobem můžete chránit citlivá data a zabránit zneužití aplikace a jejích prostředků.