Introducción

Completado

Contoso Retail ejecuta Azure Functions para impulsar el procesamiento de pedidos controlado por eventos y la sincronización de inventario. Se trata de funciones activadas mediante HTTP que los sistemas externos de socios invocan directamente y que se activan mediante webhooks entrantes cada vez que se confirma una compra o cambia el nivel de existencias. Una revisión de seguridad ha expuesto cuatro brechas de control que no se han examinado desde la implementación inicial. Varias funciones de producción aceptan solicitudes no autenticadas: cualquier llamador con la dirección URL puede desencadenarlas. Las cadenas de conexión de Cosmos DB se almacenan como valores de configuración de la aplicación de texto sin formato, visibles para cualquier persona que tenga acceso de lectura a la pantalla de configuración de App Service. No existen restricciones de red entrantes, por lo que los puntos de conexión de función aceptan tráfico desde cualquier lugar de Internet. Sus flujos de trabajo de integración de Logic Apps presentan una cuarta carencia: los recursos de conexión compartidos entre varias aplicaciones contienen credenciales codificadas de forma rígida de las que nadie es responsable y que nadie rota.

Ninguna de estas lagunas produce un error inmediato. Un desencadenador HTTP no autenticado sigue funcionando. Una cadena de conexión de texto sin formato sigue autenticándose en la base de datos. La exposición es silenciosa hasta que se roba una credencial, se abusa de una función o una investigación de vulneración revela que todos los puntos de conexión están abiertos a Internet todo el tiempo.

Las cargas de trabajo sin servidor requieren el mismo modelo de seguridad de tres niveles que se aplica a cualquier superficie de API. La primera capa controla quién puede invocar la función: autenticación y autorización. La segunda capa controla qué identidad adopta la función cuando realiza llamadas a servicios posteriores: la identidad administrada. La tercera capa controla qué puede llegar al punto de conexión de la función en primer lugar: aislamiento de red.

Este módulo funciona a través de cada capa para Azure Functions y Azure Logic Apps. En el caso de las aplicaciones de funciones, se configura la autenticación de Azure App Service con Microsoft Entra ID, se asigna una identidad administrada para eliminar las cadenas de conexión y se aplican restricciones de IP de entrada, puntos de conexión privados, integración con redes virtuales y referencias de Key Vault. En Logic Apps, aplique las mismas identidades administradas y patrones de red, elija el plan de hospedaje adecuado en función de los requisitos de funcionalidad de red y proteja los datos confidenciales expuestos a través del historial de ejecución.

Al final de este módulo, podrás configurar la autenticación, la identidad administrada y el aislamiento de red para aplicaciones de función de Azure y aplicaciones lógicas con una configuración de seguridad de nivel de producción.

Objetivos de aprendizaje

Después de completar este módulo, podrá:

  • Configuración de controles de autenticación y autorización para aplicaciones de funciones de Azure
  • Implementación de controles de acceso de red para aplicaciones de funciones, incluida la integración de red virtual y los puntos de conexión privados
  • Aplicación de la identidad administrada, la seguridad del conector y el aislamiento de red para las aplicaciones lógicas de Azure