Consideraciones sobre administración de identidad y acceso del acelerador de zonas de aterrizaje de Azure App Service

  • Artículo

En este artículo se proporcionan consideraciones y recomendaciones de diseño para la administración de identidad y acceso que puede aplicar cuando use el acelerador de zonas de aterrizaje de Azure App Service. La autenticación y la configuración de aplicaciones son algunas de las consideraciones que se describen en este artículo.

Más información sobre el área de diseño de administración de identidad y acceso.

Consideraciones de diseño

Cuando usa el acelerador de zonas de aterrizaje para implementar una solución de App Service, hay algunas consideraciones clave para la administración de identidades y acceso:

  • Determine el nivel de seguridad y aislamiento necesario para la aplicación y sus datos. El acceso público permite a cualquier persona con la dirección URL de la aplicación acceder a la misma, mientras que el acceso privado restringe el acceso solo a usuarios y redes autorizados.
  • Determine el tipo de autenticación y autorización necesarios para la solución de App Service: usuarios corporativos internos y anónimos, cuentas sociales, otro proveedor de identidades o una combinación de estos tipos.
  • Determine si se deben usar identidades administradas asignadas por el sistema o asignadas por el usuario cuando la solución de App Service se conecta a recursos de back-end protegidos por Microsoft Entra ID.
  • Considere la posibilidad de crear roles personalizados siguiendo el principio de privilegios mínimos cuando los roles integrados requieran modificaciones en los permisos existentes.
  • Elija almacenamiento de seguridad mejorada para claves, secretos, certificados y configuración de la aplicación.
    • Use App Configuration para compartir valores de configuración comunes (que no sean contraseñas, secretos o claves) entre aplicaciones, microservicios y aplicaciones sin servidor.
    • Use Azure Key Vault. Proporciona almacenamiento de seguridad mejorada de contraseñas, cadenas de conexión, claves, secretos y certificados. Puede usar Key Vault para almacenar los secretos y, a continuación, acceder a ellos desde la aplicación App Service mediante una identidad administrada. Al hacerlo, puede ayudar a proteger los secretos al tiempo que sigue proporcionando acceso a ellos desde la aplicación según sea necesario.

Recomendaciones de diseño

Debe incorporar los siguientes procedimientos recomendados en las implementaciones de App Service:

  • Si la solución de App Service requiere autenticación:
    • Si el acceso a toda la solución de App Service debe restringirse a los usuarios autenticados, deshabilite el acceso anónimo.
    • Use las funcionalidades de autenticación y autorización integradas de App Service, en lugar de escribir su propio código de autenticación y autorización.
    • Use registros de aplicaciones independientes para ranuras o entornos independientes.
    • Si la solución de App Service está pensada solo para usuarios internos, use la autenticación de certificados de cliente para aumentar la seguridad.
    • Si la solución de App Service está pensada para usuarios externos, use Azure AD B2C para autenticarse en cuentas sociales y cuentas de Microsoft Entra.
  • Use roles integrados de Azure siempre que sea posible. Estos roles están diseñados para proporcionar un conjunto de permisos que suelen ser necesarios para escenarios específicos, como el rol Lector para los usuarios que necesitan acceso de solo lectura y el rol Colaborador para los usuarios que necesitan poder crear y administrar recursos.
    • Si los roles integrados no satisfacen sus necesidades, puede crear roles personalizados combinando los permisos de uno o varios roles integrados. Si lo hace, puede conceder el conjunto exacto de permisos que necesitan los usuarios al tiempo que cumple con el principio de privilegios mínimos.
    • Supervise los recursos de App Service periódicamente para asegurarse de que se usan de acuerdo con las directivas de seguridad. Hacerlo, puede ayudarle a identificar cualquier acceso o cambio no autorizado y tomar las medidas adecuadas.
  • Use el principio de privilegios mínimos al asignar permisos a usuarios, grupos y servicios. Este principio indica que solo debe conceder los permisos mínimos necesarios para realizar la tarea específica y ninguno más. Seguir esta guía puede ayudarle a reducir el riesgo de cambios accidentales o malintencionados en los recursos.
  • Use identidades administradas asignadas por el sistema para acceder, con recursos de back-end de seguridad mejorados protegidos por Microsoft Entra ID. Esto le permite controlar a qué recursos tiene acceso la solución App Service y qué permisos tiene para esos recursos.
  • Para la implementación automatizada, configure una entidad de servicio que tenga los permisos mínimos necesarios para hacer la implementación desde la canalización de integración continua y entrega continua.
  • Habilite los registros de acceso de AppServiceHTTPLogs del registro de diagnóstico para App Service. Puede usar estos registros detallados para diagnosticar problemas con la aplicación y supervisar las solicitudes de acceso. La habilitación de estos registros también proporciona un registro de actividad de Azure Monitor que proporciona información sobre los eventos en el nivel de suscripción.
  • Siga las recomendaciones que se indican en las secciones Administración de identidades y Acceso con privilegios de la línea de base de seguridad de Azure para App Service.

El objetivo de la administración de identidades y acceso para el acelerador de zonas de aterrizaje es garantizar que la aplicación implementada y sus recursos asociados sean seguros y que solo los usuarios autorizados puedan acceder a ellos. Hacerlo, puede ayudarle a proteger los datos confidenciales y evitar el uso indebido de la aplicación y sus recursos.