Osvědčené postupy pro zabezpečení webových a mobilních aplikací PaaS pomocí služby Aplikace Azure Service
V tomto článku probereme kolekci osvědčených postupů zabezpečení služby Aplikace Azure Service pro zabezpečení webových a mobilních aplikací PaaS. Tyto osvědčené postupy vycházejí z našich zkušeností s Azure a prostředími zákazníků, jako jsou sami.
Aplikace Azure Service je nabídka typu platforma jako služba (PaaS), která umožňuje vytvářet webové a mobilní aplikace pro libovolnou platformu nebo zařízení a připojovat se k datům kdekoli v cloudu nebo v místním prostředí. App Service zahrnuje webové a mobilní funkce, které byly dříve dodány samostatně jako Weby Azure a Azure Mobile Services. Obsahuje také nové možnosti pro automatizaci obchodních procesů a hostování cloudových rozhraní API. Služba App Service jako jedna integrovaná služba přináší bohatou sadu funkcí pro webové, mobilní a integrační scénáře.
Ověřování prostřednictvím ID Microsoft Entra
App Service poskytuje pro vašeho zprostředkovatele identity službu OAuth 2.0. OAuth 2.0 se zaměřuje na jednoduchost vývojářů klientů a současně poskytuje specifické toky autorizace pro webové aplikace, desktopové aplikace a mobilní telefony. Microsoft Entra ID používá OAuth 2.0 k povolení přístupu k mobilním a webovým aplikacím. Další informace najdete v tématu Ověřování a autorizace ve službě Aplikace Azure Service.
Omezení přístupu na základě role
Omezení přístupu je nezbytné pro organizace, které chtějí vynutit zásady zabezpečení pro přístup k datům. Pomocí řízení přístupu na základě role v Azure (Azure RBAC) můžete přiřadit oprávnění uživatelům, skupinám a aplikacím v určitém rozsahu, jako je potřeba znát principy zabezpečení s minimálními oprávněními. Další informace o udělení přístupu uživatelů k aplikacím najdete v tématu Co je řízení přístupu na základě role v Azure (Azure RBAC).
Ochrana klíčů
Nezáleží na tom, jak dobré je vaše zabezpečení, pokud ztratíte klíče předplatného. Azure Key Vault pomáhá chránit kryptografické klíče a tajné klíče používané cloudovými aplikacemi a službami. Pomocí služby Key Vault můžete šifrovat klíče a tajné kódy (například ověřovací klíče, klíče účtu úložiště, šifrovací klíče dat, . Soubory PFX a hesla) pomocí klíčů chráněných moduly hardwarového zabezpečení (HSM). Pro zvýšené bezpečí můžete klíče importovat nebo generovat v modulech HSM. Key Vault můžete také použít ke správě certifikátů TLS s automatickým prodlužováním platnosti. Další informace najdete v tématu Co je Azure Key Vault .
Omezení příchozích zdrojových IP adres
App Service Environment má funkci integrace virtuální sítě, která pomáhá omezit příchozí zdrojové IP adresy prostřednictvím skupin zabezpečení sítě (NSG). Pokud neznáte virtuální sítě Azure, jedná se o funkci, která umožňuje umístit mnoho vašich prostředků Azure do ne internetu směrovatelné sítě, ke které řídíte přístup. Další informace najdete v tématu Integrace aplikace se službou Azure Virtual Network.
Pro App Service ve Windows můžete ip adresy také dynamicky omezit konfigurací web.config. Další informace najdete v tématu Dynamické zabezpečení IP adres.
Další kroky
Tento článek vás seznámil s kolekcí osvědčených postupů zabezpečení služby App Service pro zabezpečení webových a mobilních aplikací PaaS. Další informace o zabezpečení nasazení PaaS najdete tady: