Considérations relatives à la gestion des identités et des accès pour l’accélérateur de zone d’atterrissage App Service

Cet article fournit des considérations et des recommandations relatives à la conception pour la gestion des identités et des accès que vous pouvez appliquer quand vous utilisez l’accélérateur de zone d’atterrissage Azure App Service. L’authentification et la configuration des applications sont quelques-unes des considérations abordées dans cet article.

En savoir plus dans la zone de conception de la gestion des identités et des accès.

Remarques relatives à la conception

Quand vous utilisez l’accélérateur de zone d’atterrissage pour déployer une solution App Service, il existe quelques considérations clés pour la gestion des identités et des accès :

• Déterminez le niveau de sécurité et d’isolation requis pour l’application et ses données. L’accès public permet à toute personne disposant de l’URL de l’application d’accéder à celle-ci, tandis que l’accès privé limite l’accès aux seuls utilisateurs et réseaux autorisés.
• Déterminez le type d’authentification et d’autorisation nécessaires pour votre solution App Service : anonyme, utilisateurs d’entreprise internes, comptes sociaux, autre fournisseur d’identité ou une combinaison de ces types.
• Déterminez s’il faut utiliser des identités managées attribuées par le système ou affectées par l’utilisateur quand votre solution App Service se connecte à des ressources back-end protégées par Microsoft Entra ID.
• Envisagez de créer des rôles personnalisés en respectant le principe des privilèges minimum quand les rôles prêts à l’emploi nécessitent des modifications des autorisations existantes.
• Choisissez un stockage à sécurité renforcée pour les clés, les secrets, les certificats et la configuration de l’application.
  • Utilisez une configuration d’application pour partager des valeurs de configuration communes autres que des mots de passe, des secrets ou des clés entre les applications, les microservices et les applications serverless.
  • Utilisez Azure Key Vault. Il fournit un stockage à sécurité renforcée des mots de passe, des chaînes de connexion, des clés, des secrets et des certificats. Vous pouvez utiliser Key Vault pour stocker vos secrets, puis y accéder à partir de votre application App Service via une identité managée App Service. Ce faisant, vous pouvez sécuriser vos secrets tout en pouvant y accéder à partir de votre application en fonction des besoins.

Recommandations de conception

Vous devez incorporer les bonnes pratiques suivantes dans vos déploiements App Service :

• Si la solution App Service nécessite une authentification :
  • Si l’accès à l’ensemble de la solution App Service doit être limité aux utilisateurs authentifiés, désactivez l’accès anonyme.
  • Utilisez les fonctionnalités d’authentification et d’autorisation intégrées d’App Service au lieu d’écrire votre propre code d’authentification et d’autorisation.
  • Utilisez des inscriptions d’applications distinctes pour des emplacements ou des environnements distincts.
  • Si la solution App Service est destinée uniquement aux utilisateurs internes, utilisez l’authentification par certificat client pour renforcer la sécurité.
  • Si la solution App Service est destinée aux utilisateurs externes, utilisez Azure AD B2C pour vous authentifier auprès des comptes sociaux et des comptes Microsoft Entra.
• Utilisez des rôles intégrés Azure chaque fois que cela est possible. Ces rôles sont conçus pour fournir un ensemble d’autorisations qui sont couramment nécessaires pour des scénarios spécifiques, comme le rôle Lecteur pour les utilisateurs qui ont besoin d’un accès en lecture seule et le rôle Contributeur pour les utilisateurs qui doivent pouvoir créer et gérer des ressources.
  • Si les rôles intégrés ne répondent pas à vos besoins, vous pouvez créer des rôles personnalisés en combinant les autorisations d’un ou de plusieurs rôles intégrés. Ce faisant, vous pouvez accorder l’ensemble exact d’autorisations dont vos utilisateurs ont besoin tout en suivant le principe du moindre privilège.
  • Supervisez régulièrement vos ressources App Service pour vous assurer qu’elles sont utilisées conformément à vos stratégies de sécurité. Cela peut vous aider à identifier tout accès non autorisé ou toute modification et à prendre les mesures appropriées.
• Utilisez le principe du moindre privilège quand vous attribuez des autorisations à des utilisateurs, des groupes et des services. Ce principe stipule que vous ne devez accorder que les autorisations minimales requises pour effectuer une tâche spécifique, et pas plus. Le fait de suivre ces conseils peut vous aider à réduire le risque de modifications accidentelles ou malveillantes de vos ressources.
• Utilisez des identités managées affectées par le système pour accéder, avec une sécurité renforcée, aux ressources back-end protégées par Microsoft Entra ID. Cela vous permet de contrôler les ressources auxquelles la solution App Service a accès et les autorisations dont elle dispose pour ces ressources.
• Pour un déploiement automatisé, configurez un principal de service disposant des autorisations minimales requises pour le déploiement à partir du pipeline CI/CD.
• Activez les journaux d’accès AppServiceHTTPLogs de journalisation des diagnostics pour App Service. Vous pouvez utiliser ces journaux détaillés pour diagnostiquer les problèmes liés à votre application et superviser les demandes d’accès. L’activation de ces journaux fournit également un journal d’activité Azure Monitor qui vous donne un aperçu des événements au niveau de l’abonnement.
• Suivez les recommandations décrites dans les sections Gestion des identités et Accès privilégié de la base de référence de sécurité Azure pour App Service.

L’objectif de la gestion des identités et des accès pour l’accélérateur de zone d’atterrissage est d’aider à garantir que l’application déployée et ses ressources associées sont sécurisées et accessibles uniquement aux utilisateurs autorisés. Cela peut vous aider à protéger les données sensibles et à empêcher toute utilisation abusive de l’application et de ses ressources.