Resumen

Completado

La revisión de seguridad de Contoso Retail identificó cuatro deficiencias de control que dejaban expuestas sus cargas de trabajo sin servidor: disparadores HTTP no autenticados, cadenas de conexión en texto sin formato en la configuración de la aplicación, ausencia de restricciones de red de entrada en los puntos de conexión de Function App y credenciales incrustadas en el código en los recursos compartidos de conexión de Logic App. En este módulo se aborda cada brecha mediante controles organizados en torno a tres capas de seguridad.

Revise lo que configuró.

La capa de autenticación, que controla quién puede invocar una aplicación de funciones, se ha solucionado a través de la autenticación de Azure App Service. Ha configurado Microsoft Entra ID como proveedor de identidad de EasyAuth, mediante la configuración Require authentication para bloquear las solicitudes no autenticadas antes de que se ejecute el código de la función. Los niveles de autorización de las funciones proporcionan una capa secundaria: claves del host para el acceso a toda la aplicación, claves de función para restringir el acceso por función y el nivel anónimo, reservado para los puntos de conexión protegidos por una pasarela ascendente.

La capa de identidad, que controla la identidad con la que la aplicación de funciones se presenta al realizar llamadas a servicios posteriores, se abordó mediante una identidad administrada asignada por el sistema. Con la identidad administrada habilitada y los roles de RBAC adecuados asignados, las cadenas de conexión ya no se almacenan en la configuración de la aplicación. Para los patrones de orquestación de IA en los que las aplicaciones de Function invocan los puntos de conexión de Azure OpenAI, el rol Cognitive Services OpenAI User elimina por completo la necesidad de almacenar claves de API. Las referencias de Key Vault mediante la sintaxis @Microsoft.KeyVault(SecretUri=...) amplían este patrón a cualquier valor de configuración de la aplicación que anteriormente contenía un valor secreto.

La capa de aislamiento de red, que controla lo que puede llegar al punto de conexión de la función, se ha solucionado a través de restricciones de IP entrantes, puntos de conexión privados para aplicaciones de funciones en el plan Elastic Premium o Dedicado, y la integración de red virtual para el tráfico saliente. El mismo modelo de tres capas se aplicó a Logic Apps, y el plan Standard ofrecía integración con redes virtuales, puntos de conexión privados y aislamiento de un solo inquilino que el plan Consumption no ofrece. Las entradas seguras y la configuración de salidas seguras en las acciones individuales de la aplicación lógica protegen la aparición de datos confidenciales en el historial de ejecución.

Aprende más