Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure App Service szolgáltatásként nyújtott platformkörnyezetet (PaaS) biztosít, amely lehetővé teszi webalkalmazások, mobilalkalmazás-háttérrendszerek, RESTful API-k és függvényalkalmazások létrehozását, üzembe helyezését és méretezését. A szolgáltatás üzembe helyezésekor fontos, hogy kövesse az alkalmazások, adatok és infrastruktúra védelme érdekében ajánlott biztonsági eljárásokat.
Ez a cikk útmutatást nyújt az Azure App Service üzembe helyezésének legjobb védelméhez.
Az Azure App Service aktívan biztosítja és erősíti platformösszetevőit, beleértve az Azure virtuális gépeket, a tárolást, a hálózati kapcsolatokat, a webes keretrendszereket, valamint a felügyeleti és integrációs jellemzőket. Az App Service folyamatos, szigorú megfelelőségi ellenőrzéseken megy keresztül annak biztosítása érdekében, hogy:
- Minden alkalmazás elkülönül a többi Azure-alkalmazástól és erőforrástól.
- A virtuális gépek és a futtatókörnyezeti szoftverek rendszeres frissítései az újonnan felfedezett biztonsági réseket kezelik.
- A titkos kódok és a kapcsolati sztringek közötti kommunikáció az alkalmazások és más Azure-erőforrások, például az Azure SQL Database között csak az Azure-on belül történik, hálózati határok átlépése nélkül. A tárolt titkos kódok mindig titkosítva vannak.
- Az App Service-kapcsolaton keresztüli összes kommunikáció, például a hibrid kapcsolat titkosítva van.
- A távfelügyeleti eszközök, például az Azure PowerShell, az Azure CLI, az Azure SDK-k és a REST API-k minden kapcsolata titkosítva van.
- A folyamatos fenyegetéskezelés védi az infrastruktúrát és a platformot a kártevők, az elosztott szolgáltatásmegtagadási (DDoS) és az emberközi támadások és egyéb fenyegetések ellen.
Az Azure infrastruktúrával és platformbiztonságával kapcsolatos további információkért tekintse meg az Azure Adatvédelmi központot.
Hálózati biztonság
Az App Service számos hálózati biztonsági funkciót támogat az alkalmazások zárolásához és a jogosulatlan hozzáférés megakadályozásához.
Privát végpontok konfigurálása: A nyilvános internetes kitettség kiküszöbölése azáltal, hogy az App Service felé irányuló forgalmat az Azure Private Link használatával átirányítja az App Service-be, biztosítva a privát hálózatokban lévő ügyfelek biztonságos kapcsolatát. Lásd: Privát végpontok használata az Azure App Service-hez.
Virtuális hálózati integráció megvalósítása: A kimenő forgalom védelme azáltal, hogy lehetővé teszi az alkalmazás számára az erőforrások elérését egy Azure-beli virtuális hálózaton keresztül vagy azon keresztül, miközben fenntartja a nyilvános internettől való elkülönítést. Lásd : Alkalmazás integrálása Azure-beli virtuális hálózattal.
IP-hozzáférési korlátozások konfigurálása: Korlátozza az alkalmazáshoz való hozzáférést az alkalmazáshoz hozzáférő IP-címek és alhálózatok engedélyezési listájának meghatározásával, és blokkolja az összes többi forgalmat. Az alhálózati maszkok által meghatározott egyéni IP-címeket vagy tartományokat definiálhatja, és dinamikus IP-korlátozásokat konfigurálhat web.config Windows-alkalmazások fájljain keresztül. Lásd: Az Azure App Service hozzáférési korlátozásainak beállítása.
Szolgáltatásvégpont-korlátozások beállítása: Az alkalmazás bejövő hozzáférésének zárolása a virtuális hálózatok adott alhálózataiból szolgáltatásvégpontok használatával, amelyek az IP-hozzáférési korlátozásokkal együttműködve biztosítják a hálózati szintű szűrést. Lásd az Azure App Service hozzáférési korlátozásait.
Webalkalmazási tűzfal használata: A gyakori webes biztonsági rések és támadások elleni védelem javítása az Azure Front Door vagy az Application Gateway alkalmazás tűzfalfunkcióival az App Service előtt való implementálásával. Lásd: Azure Web Application Firewall az Azure Application Gatewayen.
Identitás- és hozzáférés-kezelés
Az identitások és hozzáférés-vezérlések megfelelő kezelése elengedhetetlen ahhoz, hogy biztonságossá tehesse az Azure App Service üzemelő példányait a jogosulatlan használat és az esetleges hitelesítő adatok ellopása ellen.
Felügyelt identitások engedélyezése kimenő kérelmekhez: Hitelesítés az Azure-szolgáltatásokba biztonságosan az alkalmazásból anélkül, hogy hitelesítő adatokat tárol a kódban vagy a konfigurációban felügyelt identitások használatával, így szükségtelenné válik a szolgáltatásnevek és a kapcsolati sztringek kezelése. A felügyelt identitások automatikusan felügyelt identitást biztosítanak a Microsoft Entra-azonosítóban az alkalmazás számára, amelyet más Azure-szolgáltatásokba, például az Azure SQL Database-be, az Azure Key Vaultba és az Azure Storage-ba irányuló kimenő kérések során használhat. Az App Service támogatja a rendszer által hozzárendelt és a felhasználó által hozzárendelt felügyelt identitásokat is. Lásd: Felügyelt identitások használata az App Service-hez és az Azure Functionshez.
Hitelesítés és engedélyezés konfigurálása: Az App Service-hitelesítés/engedélyezés implementálása az alkalmazás Microsoft Entra-azonosítóval vagy más identitásszolgáltatókkal való védelméhez, amely megakadályozza a jogosulatlan hozzáférést egyéni hitelesítési kód írása nélkül. A beépített hitelesítési modul kezeli a webes kéréseket, mielőtt továbbadja őket az alkalmazás kódjának, és több szolgáltatót támogat, például a Microsoft Entra-azonosítót, a Microsoft-fiókokat, a Facebookot, a Google-t és az X-t. Lásd : Hitelesítés és engedélyezés az Azure App Service-ben.
Szerepköralapú hozzáférés-vezérlés implementálása a felügyeleti műveletekhez: Az App Service-erőforrások (felügyeleti sík) kezelésére és konfigurálására a minimálisan szükséges Azure RBAC-engedélyek hozzárendelésével a felhasználók és szolgáltatásnevek számára a minimális jogosultság elvét követve. Ez szabályozza a felügyeleti hozzáférést az olyan műveletekhez, mint az alkalmazások létrehozása, a konfigurációs beállítások módosítása és a központi telepítések kezelése – az alkalmazásszintű hitelesítéstől (Easy Auth) és az alkalmazások közötti hitelesítéstől (felügyelt identitásoktól) függetlenül. További információt a beépített Azure-szerepkörök ismertetésében talál.
Az on-behalf-of hitelesítés megvalósítása: A felhasználók nevében történő távoli erőforrás-hozzáférés delegálása a Microsoft Entra ID-t mint hitelesítésszolgáltatót használva. Az App Service-alkalmazás delegált bejelentkezést végezhet olyan szolgáltatásokba, mint a Microsoft Graph vagy a távoli App Service API-alkalmazások. A végpontok közötti oktatóanyagért tekintse meg a felhasználók hitelesítését és engedélyezését az Azure App Service-ben.
Kölcsönös TLS-hitelesítés engedélyezése: Ügyféltanúsítványok megkövetelése a további biztonság érdekében, ha az alkalmazásnak ellenőriznie kell az ügyfélidentitást, különösen B2B-forgatókönyvek vagy belső alkalmazások esetében. Lásd: TLS kölcsönös hitelesítés konfigurálása az Azure App Service-hez.
Adatvédelem
Az átvitel közben és nyugalmi állapotban lévő adatok védelme elengedhetetlen az alkalmazások és azok adatainak bizalmasságának és integritásának fenntartásához.
HTTPS kényszerítése: Az összes HTTP-forgalom átirányítása HTTPS-ra a https-only mód engedélyezésével, biztosítva, hogy az ügyfelek és az alkalmazás közötti összes kommunikáció titkosítva legyen. Az App Service alapértelmezés szerint átirányítja a HTTP-kérelmeket a HTTPS-hez, és az alkalmazás alapértelmezett tartományneve
<app_name>.azurewebsites.netmár elérhető HTTPS-en keresztül. Lásd: Általános beállítások konfigurálása.TLS-verzió konfigurálása: Modern TLS-protokollok használata a minimális TLS-verzió 1.2-es vagy újabb verziójának konfigurálásával, valamint az elavult, nem biztonságos protokollok letiltása a lehetséges biztonsági rések elkerülése érdekében. Az App Service támogatja a TLS 1.3 -at (legújabb), a TLS 1.2-t (alapértelmezett minimum) és a TLS 1.1/1.0-t (csak visszamenőleges kompatibilitás esetén). Konfigurálja a minimális TLS-verziót a webalkalmazáshoz és az SCM-webhelyhez is. Lásd: Általános beállítások konfigurálása.
TLS-/SSL-tanúsítványok kezelése: Az egyéni tartományok biztonságossá tételéhez megfelelően konfigurált TLS-/SSL-tanúsítványokat használva hozzon létre megbízható kapcsolatokat. Az App Service több tanúsítványtípust is támogat: ingyenes App Service által felügyelt tanúsítványokat, App Service-tanúsítványokat, külső tanúsítványokat és Azure Key Vaultból importált tanúsítványokat. Ha egyéni tartományt konfigurál, tLS-/SSL-tanúsítvánnyal védje meg, hogy a böngészők biztonságos HTTPS-kapcsolatokat létesíthessenek. Lásd: TLS/SSL-tanúsítványok hozzáadása és kezelése az Azure App Service-ben.
Titkos kulcsok tárolása a Key Vaultban: A bizalmas konfigurációs értékek, például az adatbázis hitelesítő adatai, az API-jogkivonatok és a titkos kulcsok védelme az Azure Key Vaultban való tárolásukkal és felügyelt identitásokkal való hozzáférésük révén, nem pedig alkalmazásbeállításokban vagy kódban való tárolásukkal. Az App Service-alkalmazás biztonságosan hozzáférhet a Key Vaulthoz felügyelt identitáshitelesítéssel. Lásd: Key Vault-hivatkozások használata az App Service-hez és az Azure Functionshez.
Alkalmazásbeállítások titkosítása: Titkos kódok kódban vagy konfigurációs fájlokban való tárolása helyett használjon titkosított alkalmazásbeállításokat és kapcsolati sztringeket. Az App Service ezeket az értékeket titkosítva tárolja az Azure-ban, és visszafejti őket az alkalmazás folyamatmemóriájába való injektálás előtt, amikor az alkalmazás elindul, és a titkosítási kulcsokat rendszeresen elforgatja. Ezeket az értékeket környezeti változókként érheti el a programozási nyelv szabványos mintáival. Lásd: Alkalmazásbeállítások konfigurálása.
Távoli kapcsolatok védelme: A távoli erőforrások elérésekor mindig használjon titkosított kapcsolatokat, még akkor is, ha a háttérerőforrás titkosítatlan kapcsolatokat tesz lehetővé. Az Azure-erőforrások, például az Azure SQL Database és az Azure Storage esetében a kapcsolatok az Azure-ban maradnak, és nem lépik át a hálózati határokat. Virtuális hálózati erőforrások esetén használja a pont–hely VPN virtuális hálózati integrációját. Helyszíni erőforrások esetén használjon hibrid kapcsolatokat a TLS 1.2-vel vagy a helyek közötti VPN-vel való virtuális hálózati integrációval. Győződjön meg arról, hogy a háttérbeli Azure-szolgáltatások csak a lehető legkisebb IP-címet engedélyezik az alkalmazásból. Lásd: Kimenő IP-címek keresése.
Naplózás és figyelés
Az átfogó naplózás és monitorozás megvalósítása elengedhetetlen a lehetséges biztonsági fenyegetések észleléséhez és az Azure App Service üzembe helyezésével kapcsolatos problémák elhárításához.
Diagnosztikai naplózás engedélyezése: Az Azure App Service diagnosztikai naplóinak konfigurálása az alkalmazáshibák, a webkiszolgálói naplók, a sikertelen kérelmek nyomkövetése és a részletes hibaüzenetek nyomon követéséhez a biztonsági problémák azonosításához és a problémák elhárításához. Lásd: Diagnosztikai naplózás engedélyezése alkalmazásokhoz az Azure App Service-ben.
Integrálás az Azure Monitorral: Az Azure Monitor beállítása az App Service-ből származó naplók és metrikák gyűjtéséhez és elemzéséhez, lehetővé téve a biztonsági események és teljesítményproblémák átfogó monitorozását és riasztását. Lásd : Alkalmazások monitorozása az Azure App Service-ben.
Az Application Insights konfigurálása: Valós idejű monitorozási és elemzési funkciókkal részletes elemzéseket kaphat az alkalmazás teljesítményével, használati mintáival és lehetséges biztonsági problémáival kapcsolatban. Lásd: Az Azure App Service teljesítményének monitorozása.
Biztonsági riasztások beállítása: Egyéni riasztások létrehozása az App Service-erőforrásokat érintő rendellenes használati mintákról, esetleges biztonsági incidensekről vagy szolgáltatáskimaradásokról. Lásd: Metrikariasztások létrehozása, megtekintése és kezelése az Azure Monitor használatával.
Állapot-ellenőrzések engedélyezése: Állapotellenőrzések konfigurálása az alkalmazás működési állapotának monitorozásához és a problémák automatikus elhárításához, ha lehetséges. Lásd: App Service-példányok monitorozása állapotellenőrzéssel.
Megfelelőség és irányítás
Az Azure App Service-alkalmazások biztonságos működéséhez elengedhetetlen a megfelelő szabályozás és a vonatkozó szabványoknak való megfelelés biztosítása.
Azure Policy implementálása: Az App Service-környezetek szervezeti szintű biztonsági szabványainak kikényszerítése a megfelelőségi követelmények naplózását és kikényszerítését végző Azure Policy-definíciók létrehozásával és hozzárendelésével. Tekintse meg az Azure App Service-hez készült Azure Policy szabályozási megfelelőségi ellenőrzéseket.
Biztonsági javaslatok áttekintése: Az App Service biztonsági helyzetének rendszeres felmérése a Microsoft Defender for Cloud használatával a biztonsági rések és a helytelen konfigurációk azonosításához és elhárításához. Lásd : Az Azure App Service-webalkalmazások és API-k védelme.
Biztonsági értékelések elvégzése: Az App Service-alkalmazások rendszeres biztonsági felmérései és behatolástesztelése a lehetséges biztonsági rések és biztonsági hiányosságok azonosítása érdekében. Lásd a Microsoft felhőbiztonsági teljesítménytesztét.
A jogszabályi megfelelőség fenntartása: Az App Service-üzemelő példányokat az iparágra és régióra vonatkozó jogszabályi követelményeknek megfelelően konfigurálhatja, különös tekintettel az adatvédelemre és az adatbiztonságra. Tekintse meg az Azure megfelelőségi dokumentációját.
Biztonságos DevOps-eljárások implementálása: Biztonságos CI/CD-folyamatok létrehozása alkalmazások App Service-ben való üzembe helyezéséhez, beleértve a kódvizsgálatot, a függőségi ellenőrzéseket és az automatizált biztonsági tesztelést. Lásd: DevSecOps az Azure-ban.
Biztonsági mentés és helyreállítás
A robusztus biztonsági mentési és helyreállítási mechanizmusok megvalósítása elengedhetetlen az üzletmenet folytonosságának és az adatok védelmének biztosításához az Azure App Service üzemelő példányaiban.
Automatikus biztonsági mentések engedélyezése: Konfigurálja az App Service-alkalmazások ütemezett biztonsági mentéseit, hogy véletlenül törlés, sérülés vagy egyéb hibák esetén helyreállíthassa az alkalmazásokat és az adatokat. Tekintse meg az alkalmazás biztonsági mentését és visszaállítását az Azure App Service-ben.
Biztonsági másolatok megőrzésének konfigurálása: Állítsa be a biztonsági másolatok megfelelő megőrzési időtartamát az üzleti követelmények és a megfelelőségi igények alapján, biztosítva, hogy a kritikus adatok a szükséges időtartamig megmaradnak. Tekintse meg az alkalmazás biztonsági mentését és visszaállítását az Azure App Service-ben.
Többrégiós üzemelő példányok implementálása: A kritikus fontosságú alkalmazásokat több régióban is üzembe helyezheti, hogy regionális kimaradások esetén magas rendelkezésre állási és vészhelyreállítási képességeket biztosítson. Lásd az oktatóanyagot: Magas rendelkezésre állású többrégiós alkalmazás létrehozása az App Service-ben.
Biztonsági mentés visszaállításának tesztelése: Rendszeresen tesztelje a biztonsági mentés visszaállításának folyamatát, hogy a biztonsági másolatok érvényesek legyenek, és szükség esetén sikeresen visszaállíthatók legyenek, és ellenőrizze az alkalmazás működését és az adatok integritását is. Lásd : Alkalmazás visszaállítása biztonsági másolatból.
Dokumentum-helyreállítási eljárások: A helyreállítási eljárások átfogó dokumentációjának létrehozása és karbantartása, amely gyors és hatékony választ biztosít a szolgáltatáskimaradások vagy katasztrófák során.
Szolgáltatásspecifikus biztonság
Az Azure App Service-nek egyedi biztonsági szempontokat kell figyelembe vennie a webalkalmazások általános biztonsága érdekében.
Alapszintű hitelesítés letiltása: Az FTP- és SCM-végpontok alapszintű felhasználónév- és jelszóhitelesítésének letiltása a Microsoft Entra ID-alapú hitelesítés mellett, amely fokozott biztonsággal biztosítja az OAuth 2.0 jogkivonatalapú hitelesítést. Lásd: Alapszintű hitelesítés letiltása az Azure App Service üzemelő példányaiban.
Biztonságos FTP-/FTPS-telepítések: Tiltsa le az FTP-hozzáférést, vagy kényszerítse ki az FTPS-re váltást, amikor FTP-t használ a telepítésekhez, hogy megakadályozza a hitelesítő adatok és tartalom tiszta szövegben történő továbbítását. Az új alkalmazások alapértelmezés szerint csak FTPS-t fogadnak el. Lásd : Alkalmazás üzembe helyezése az Azure App Service-ben FTP/S használatával.
Teljes hálózatelkülönítés: Az App Service-környezettel futtathatja az alkalmazásokat egy dedikált App Service-környezetben a saját Azure Virtual Network-példányában. Ez teljes hálózatelkülönítést biztosít a megosztott infrastruktúrától dedikált nyilvános végpontokkal, a belső terheléselosztó (ILB) lehetőségekkel a csak belső hozzáféréshez, valamint egy webalkalmazási tűzfal mögötti ILB nagyvállalati szintű védelemhez való használatát. Lásd : Bevezetés az Azure App Service-környezetek használatába.
DDoS-védelem implementálása: Webalkalmazási tűzfal (WAF) és Azure DDoS-védelem használata az újonnan megjelenő DDoS-támadások elleni védelem érdekében. Az Azure Front Door üzembe helyezése WAF-sel a hálózati szintű DDoS-támadások elleni platformszintű védelemhez. Lásd: Azure DDoS Protection és Azure Front Door WAF-tal.