Megosztás a következőn keresztül:

Az Azure Functions biztonságossá tétele

A kiszolgáló nélküli függvények biztonságos fejlesztésének, üzembe helyezésének és üzemeltetésének megtervezése sok szempontból ugyanaz, mint bármely webalapú vagy felhőalapú alkalmazás esetében. Azure-alkalmazás szolgáltatás biztosítja a függvényalkalmazások üzemeltetési infrastruktúráját. Ez a cikk biztonsági stratégiákat tartalmaz a függvénykód futtatásához, és azt, hogy az App Service hogyan segítheti a függvények védelmét.

Az Azure App Service aktívan biztosítja és erősíti platformösszetevőit, beleértve az Azure virtuális gépeket, a tárolást, a hálózati kapcsolatokat, a webes keretrendszereket, valamint a felügyeleti és integrációs jellemzőket. Az App Service folyamatos, szigorú megfelelőségi ellenőrzéseken megy keresztül annak biztosítása érdekében, hogy:

Az Azure infrastruktúrával és platformbiztonságával kapcsolatos további információkért tekintse meg az Azure Adatvédelmi központot.

A Microsoft felhőbiztonsági referenciamutatóját követő biztonsági javaslatokért tekintse meg az Azure Functions azure-beli biztonsági alapkonfigurációját.

Biztonságos művelet

Ez a szakasz ismerteti a függvényalkalmazás lehető legbiztonságosabb konfigurálását és futtatását.

Defender for Cloud

A Felhőhöz készült Defender integrálódik a portálon lévő függvényalkalmazásával. Ingyenesen biztosítja a konfigurációval kapcsolatos biztonsági rések gyors értékelését. A dedikált csomagban futó függvényalkalmazások további költségekért is használhatják a Defender for Cloud továbbfejlesztett biztonsági funkcióit. További információ: Defender for App Service.

Naplózás és monitorozás

A támadások észlelésének egyik módja a tevékenységfigyelés és a naplózási elemzés. A Functions integrálható az Application Insights szolgáltatással a függvényalkalmazás napló-, teljesítmény- és hibaadatainak gyűjtéséhez. Az Application Insights automatikusan észleli a teljesítmény rendellenességeit, és hatékony elemzési eszközöket tartalmaz a problémák diagnosztizálásához és a függvények használatának megértéséhez. További információ: Az Azure Functions monitorozása.

A Functions az Azure Monitor-naplókkal is integrálható, így a könnyebb elemzés érdekében összevonhatja a függvényalkalmazás-naplókat a rendszereseményekkel. Diagnosztikai beállítások használatával konfigurálhatja a függvények platformnaplóinak és metrikáinak streamelési exportálását a kívánt célhelyre, például egy Logs Analytics-munkaterületre. További információért lásd: Az Azure Functions monitorozása az Azure Monitor-naplók segítségével.

A nagyvállalati szintű fenyegetésészleléshez és a válaszautomatizáláshoz streamelje naplóit és eseményeit egy Logs Analytics-munkaterületre. Ezután csatlakoztathatja a Microsoft Sentinelt ehhez a munkaterülethez. További információ: What is Microsoft Sentinel.

A megfigyelhetőséggel kapcsolatos további biztonsági javaslatokért tekintse meg az Azure Functions azure-beli biztonsági alapkonfigurációját.

BIZTONSÁGOS HTTP-végpontok

A nyilvánosan közzétett HTTP-végpontok támadási vektort biztosítanak a rosszindulatú szereplők számára. A HTTP-végpontok védelmekor rétegzett biztonsági megközelítést kell használnia. Ezek a technikák a nyilvánosan közzétett HTTP-végpontok biztonsági résének csökkentésére használhatók, a legalapvetőbbtől a legbiztonságosabbig és a legszigorúbbig rendezve:

HTTPS megkövetelése

Alapértelmezés szerint az ügyfelek HTTP vagy HTTPS használatával csatlakozhatnak a függvényvégpontokhoz. A HTTP-t https-ra kell átirányítani, mert a HTTPS a TLS protokoll használatával biztosít biztonságos kapcsolatot, amely titkosítva és hitelesítve is van. További információ: HTTPS kényszerítése.

Ha HTTPS-t igényel, a legújabb TLS-verzióra is szüksége lesz. Ennek módjáról a TLS-verziók kényszerítése című témakörben olvashat.

További információt a Biztonságos kapcsolatok (TLS) című témakörben talál.

Függvényelérési kulcsok

A függvények segítségével kulcsokkal megnehezítheti a függvényvégpontok elérését. Ha egy HTTP-aktivált függvény HTTP-hozzáférési szintje nincs beállítva anonymous, a kéréseknek tartalmazniuk kell egy hozzáférési kulcsot a kérelemben. További információ: A hozzáférési kulcsok használata az Azure Functionsben.

Bár a hozzáférési kulcsok némi megoldást jelenthetnek a nem kívánt hozzáférésre, a függvényvégpontok biztonságossá tételének egyetlen módja a függvényekhez hozzáférő ügyfelek pozitív hitelesítésének megvalósítása. Ezután identitás alapján hozhat engedélyezési döntéseket.

A legmagasabb szintű biztonság érdekében a teljes alkalmazásarchitektúrát magánvégpontok használatával vagy elkülönítésben is biztonságossá teheti egy virtuális hálózaton belül.

Felügyeleti végpontok letiltása

A függvényalkalmazások olyan felügyeleti végpontokat is kiszolgálhatnak az /admin útvonalon, amelyek olyan műveletekhez használhatók, mint a gazdagép állapotadatainak lekérése és a teszthívások végrehajtása. A közzétett végpontokra irányuló kérelmeknek tartalmazniuk kell az alkalmazás főkulcsát. A felügyeleti műveletek az Azure Resource Manager Microsoft.Web/sites API-val is elérhetők, amely az Azure RBAC-t kínálja. A /admin végpontokat letilthatja, ha a functionsRuntimeAdminIsolationEnabled helytulajdonságot true értékre állítja. Ez a tulajdonság nem állítható be a Linux-használat termékváltozatán futó alkalmazásokhoz, és nem állítható be az Azure Functions 1.x-es verzióján futó alkalmazásokhoz. Ha az 1.x verziót használja, először át kell állnia a 4.x verzióra.

App Service-hitelesítés/engedélyezés engedélyezése

Az App Service platform lehetővé teszi a Microsoft Entra ID és számos nem Microsoft-identitásszolgáltató használatát az ügyfelek hitelesítéséhez. Ezzel a stratégiával egyéni engedélyezési szabályokat implementálhat a függvényekhez, és használhatja a függvénykód felhasználói adatait. További információ: Hitelesítés és engedélyezés az Azure App Service-ben és az ügyfélidentitások használata.

Kérelmek hitelesítése az Azure API Management (APIM) használatával

Az APIM különböző API-biztonsági lehetőségeket biztosít a bejövő kérésekhez. További információ: API Management hitelesítési szabályzatok. Ha az APIM működik, konfigurálhatja a függvényalkalmazást úgy, hogy csak az APIM-példány IP-címéről fogadjon kérelmeket. További információ: IP-címkorlátozások.

Engedélyek

Mint minden alkalmazáshoz vagy szolgáltatáshoz, a cél az, hogy a függvényalkalmazást a lehető legalacsonyabb engedélyekkel futtassa.

Felhasználói felügyeleti engedélyek

A Functions támogatja a beépített Azure szerepköralapú hozzáférés-vezérlést (Azure RBAC). A Functions által támogatott Azure-szerepkörök a Közreműködő, a Tulajdonos és az Olvasó.

Az engedélyek a függvényalkalmazás szintjén hatályosak. A közreműködői szerepkör szükséges a legtöbb függvényalkalmazás-szintű feladat végrehajtásához. A közreműködői szerepkörre és a Figyelési olvasó engedélyre is szüksége van ahhoz, hogy megtekinthesse a naplóadatokat az Application Insightsban. Csak a Tulajdonos szerepkör törölhet függvényalkalmazásokat.

Függvények rendszerezése jogosultságok szerint

A kapcsolati sztringek és az alkalmazásbeállításokban tárolt egyéb hitelesítő adatok a függvényalkalmazás összes függvényének ugyanazt az engedélykészletet biztosítják a társított erőforrásban. A hitelesítő adatokat nem használó függvények külön függvényalkalmazásba való áthelyezésével minimalizálhatja az adott hitelesítő adatokhoz való hozzáféréssel rendelkező függvények számát. A különböző függvényalkalmazásokban lévő függvények közötti adatátadáshoz mindig használhat olyan technikákat, mint a függvényláncolás .

Felügyelt identitások

A Microsoft Entra-azonosítóból származó felügyelt identitás lehetővé teszi, hogy az alkalmazás egyszerűen hozzáférjen más, Microsoft Entra által védett erőforrásokhoz, például az Azure Key Vaulthoz. Az Azure-platform kezeli az identitást, így nem kell titkos kulcsokat kiépítenie vagy elforgatnia. A Microsoft Entra ID-ban található felügyelt identitásokról további információt az Azure-erőforrások felügyelt identitásai című témakörben talál.

Kétféle identitást adhat az alkalmazásnak:

  • A rendszer által hozzárendelt identitás az alkalmazáshoz van kötve, és az alkalmazás törlésekor törlődik. Egy alkalmazás csak egy rendszer által hozzárendelt identitással rendelkezhet.
  • A felhasználó által hozzárendelt identitás különálló Azure-erőforrás, amely hozzárendelhető az alkalmazáshoz. Egy alkalmazás több felhasználó által hozzárendelt identitással is rendelkezhet. Egy felhasználó által hozzárendelt identitás több Azure-erőforráshoz, például két App Service-alkalmazáshoz is hozzárendelhető.

A felügyelt identitások titkos kulcsok helyett használhatók egyes triggerekből és kötésekből származó kapcsolatokhoz. Lásd: Identitásalapú kapcsolatok.

További információ: Felügyelt identitások használata az App Service-ben és az Azure Functionsben.

CORS-hozzáférés korlátozása

A forrásközi erőforrás-megosztás (CORS) lehetővé teszi, hogy egy másik tartományban futó webalkalmazások kéréseket intézhessenek a HTTP-eseményindító végpontjaihoz. Az App Service beépített támogatást nyújt a szükséges CORS-fejlécek HTTP-kérelmekben való átadásához. A CORS-szabályok függvényalkalmazás szintjén vannak definiálva.

Csábító helyettesítő karaktert használni, amely minden webhely számára lehetővé teszi a végpont elérését. Ez a megközelítés legyőzi a CORS célját, amely segít megelőzni a helyek közötti szkriptelési támadásokat. Ehelyett adjon hozzá egy külön CORS-bejegyzést az egyes webalkalmazások tartományához, amelyeknek hozzá kell férniük a végponthoz.

Titkos kódok kezelése

A kód futtatásához szükséges különböző szolgáltatásokhoz és erőforrásokhoz való csatlakozáshoz a függvényalkalmazásoknak hozzá kell férni a titkos kódokhoz, például kapcsolati sztring és szolgáltatáskulcsokhoz. Ez a szakasz bemutatja, hogyan tárolhatja a függvényekhez szükséges titkos kulcsokat.

Soha ne tároljon titkos kódokat a függvénykódban.

Alkalmazásbeállítások

Alapértelmezés szerint a függvényalkalmazás által használt kapcsolati sztring és titkos kulcsokat, valamint a kötéseket alkalmazásbeállításokként tárolja. Ez a módszer a függvénykód és a függvény által használt különböző kötések számára is elérhetővé teszi ezeket a hitelesítő adatokat. Az alkalmazásbeállítás (kulcs) neve a tényleges érték lekérésére szolgál, ami a titkos kód.

Például minden függvényalkalmazáshoz szükség van egy társított tárfiókra, amelyet a futtatókörnyezet használ. Alapértelmezés szerint a tárfiókhoz való kapcsolat egy nevesített AzureWebJobsStoragealkalmazásbeállításban van tárolva.

Az alkalmazásbeállításokat és kapcsolati sztring titkosítva tárolja a rendszer az Azure-ban. A visszafejtésük csak az alkalmazás folyamatmemóriájába való injektálás előtt történik, amikor az alkalmazás elindul. A titkosítási kulcsok rendszeres elforgatása. Ha inkább a titkos kulcsok biztonságos tárolását szeretné kezelni, az alkalmazásbeállításoknak inkább az Azure Key Vault titkos kulcsokra kell hivatkoznia.

A beállításokat alapértelmezés szerint titkosíthatja is a fájlban, local.settings.json amikor függvényeket fejleszt a helyi számítógépen. További információ: A helyi beállítások fájljának titkosítása.

Key Vault-hivatkozások

Bár az alkalmazásbeállítások a legtöbb függvényhez elegendőek, előfordulhat, hogy ugyanazokat a titkos kulcsokat több szolgáltatásban is meg szeretné osztani. Ebben az esetben a titkos kódok redundáns tárolása több potenciális biztonsági rést eredményez. Biztonságosabb módszer egy központi titkos társzolgáltatás használata, és a titkos kódok helyett erre a szolgáltatásra mutató hivatkozások használata.

Az Azure Key Vault egy központosított titkos kulcskezelést biztosító szolgáltatás, amely teljes körűen szabályozza a hozzáférési szabályzatokat és a naplózási előzményeket. Key Vault-referenciát használhat egy kapcsolati sztring vagy kulcs helyén az alkalmazásbeállításokban. További információ: Key Vault-hivatkozások használata az App Service-hez és az Azure Functionshez.

Identitásalapú kapcsolatok

Az identitások titkos kódok helyett használhatók egyes erőforrásokhoz való csatlakozáshoz. A megközelítés előnye, hogy nem igényel titkos kulcsok kezelését, és részletesebb hozzáférés-vezérlést és naplózást biztosít.

Amikor olyan kódot ír, amely létrehozza a Kapcsolatot a Microsoft Entra-hitelesítést támogató Azure-szolgáltatásokhoz, titkos kód vagy kapcsolati sztring helyett használhat identitást. Mindkét kapcsolati módszer részleteit az egyes szolgáltatások dokumentációja tartalmazza.

Egyes Azure Functions-kötésbővítmények konfigurálhatók úgy, hogy identitásalapú kapcsolatokkal férhessenek hozzá a szolgáltatásokhoz. További információ: Identitásalapú kapcsolat konfigurálása.

Használati kvóták beállítása

Fontolja meg a használati kvóta beállítását a Fogyasztási tervben futó függvényekhez. Ha napi GB-s korlátot állít be a függvényalkalmazásban a függvények teljes végrehajtására vonatkozóan, a végrehajtás leáll a korlát elérésekor. Ez a megközelítés segíthet a függvényeket végrehajtó rosszindulatú kódok elleni védekezésben. A függvények fogyasztásának becsléséről a Fogyasztási terv költségeinek becslése című témakörben olvashat.

Adatellenőrzés

A függvények által használt triggerek és kötések nem biztosítanak további adatérvényesítést. A kódnak ellenőriznie kell az eseményindítótól vagy bemeneti kötéstől kapott adatokat. Ha egy feljebb lévő szolgáltatás sérül, nem szeretné, hogy nem érvényesített bemenetek áramoljanak át a függvényein. Ha például a függvény egy Azure Storage-üzenetsorból tárol adatokat egy relációs adatbázisban, ellenőriznie kell az adatokat, és paramétereznie kell a parancsokat az SQL-injektálási támadások elkerülése érdekében.

Ne feltételezze, hogy a függvénybe érkező adatokat már ellenőrizték vagy megtisztították. Azt is érdemes ellenőrizni, hogy a kimeneti kötésekre írt adatok érvényesek-e.

Hibakezelés

Bár alapszintűnek tűnik, fontos, hogy a függvényekben jó hibakezelést írjunk. A kezeletlen hibák felemelkednek a hoszthoz, és a futtatókörnyezet kezeli ezeket a hibákat. A különböző kötések másképp kezelik a hibák feldolgozását. További információ: Azure Functions hibakezelés.

Távoli hibakeresés letiltása

Győződjön meg arról, hogy a távoli hibakeresés le van tiltva, kivéve, ha aktívan hibakeresést végez a függvényeken. A távoli hibakeresést letilthatja a függvényalkalmazás konfigurációjának Általános beállítások lapján a portálon.

CORS-hozzáférés korlátozása

Az Azure Functions támogatja a forrásközi erőforrás-megosztást (CORS). A CORS a portálon és az Azure CLI-ben van konfigurálva. A CORS által engedélyezett forráslista a függvényalkalmazás szintjén érvényes. Ha a CORS engedélyezve van, a válaszok tartalmazzák a fejlécet Access-Control-Allow-Origin . További információ: Eltérő eredetű erőforrás-megosztás

Ne használjon helyettesítő karaktereket az engedélyezett forráslistában. Ehelyett sorolja fel azokat a tartományokat, amelyektől a kérések lekérésére számít.

Titkosított adatok tárolása

Az Azure Storage titkosítja egy inaktív tárfiók összes adatát. További információért lásd: Azure Storage titkosítás a nyugalmi adatokhoz.

Alapértelmezés szerint az adatok a Microsoft által felügyelt kulcsokkal lesznek titkosítva. A titkosítási kulcsok további szabályozásához megadhatja az ügyfél által felügyelt kulcsokat, amelyek a blobok és a fájladatok titkosításához használhatók. Ezeknek a kulcsoknak jelen kell lenniük az Azure Key Vault for Functionsben ahhoz, hogy hozzáférhessenek a tárfiókhoz. További információ: Alkalmazásadatok titkosítása inaktív állapotban, ügyfél által felügyelt kulcsok használatával.

A függvényalkalmazások gyakran más erőforrásoktól függnek, ezért az alkalmazás biztonságának része ezeknek a külső erőforrásoknak a védelme. A legtöbb függvényalkalmazás legalább az Application Insightstól és az Azure Storage-tól függ. Az erőforrások biztonságossá tételével kapcsolatos útmutatásért tekintse meg az Azure Monitor azure-beli biztonsági alapkonfigurációját és a Storage Azure biztonsági alapkonfigurációját.

Fontos

A tárfiók fontos alkalmazásadatok tárolására szolgál, néha magában az alkalmazáskódban is. Korlátoznia kell a hozzáférést más alkalmazásoktól és felhasználóktól a tárfiókhoz.

Az alkalmazáslogika által használt erőforrástípusokra vonatkozó útmutatást is érdemes elolvasnia, mind eseményindítókként, mind kötésekként, valamint a függvénykódból.

Biztonságos üzembe helyezés

Az Azure Functions eszközintegrációja megkönnyíti a helyi függvényprojekt kódjának közzétételét az Azure-ban. Fontos megérteni, hogyan működik az üzembe helyezés az Azure Functions-topológia biztonságának figyelembe vételekor.

Üzembehelyezési hitelesítő adatok

Az App Service üzembe helyezéseihez üzembehelyezési hitelesítő adatokra van szükség. Ezek az üzembehelyezési hitelesítő adatok a függvényalkalmazás üzembe helyezésének védelmére szolgálnak. Az App Service platform kezeli az üzembehelyezési hitelesítő adatokat. A hitelesítő adatok inaktív állapotban vannak titkosítva.

Kétféle üzembehelyezési hitelesítő adat létezik:

  • A felhasználói hatókörű vagy felhasználói szintű hitelesítő adatok egyetlen telepítési hitelesítő adatot biztosítanak a felhasználó teljes Azure-fiókjához. Azok a felhasználók, akik szerepköralapú hozzáférés-vezérléssel (RBAC) vagy társminisztrátori engedélyekkel rendelkeznek, használhatják felhasználói szintű hitelesítő adataikat, amennyiben rendelkeznek ezekkel az engedélyekkel.

    Felhasználói hatókörű hitelesítő adataival bármilyen alkalmazást üzembe helyezhet az App Service-ben a helyi Git vagy FTP/S használatával bármely olyan előfizetésben, amelyhez az Azure-fiókja rendelkezik hozzáféréssel. Ezeket a hitelesítő adatokat nem osztja meg más Azure-felhasználókkal. A felhasználói hatókörű hitelesítő adatokat bármikor visszaállíthatja.

  • Az alkalmazás hatóköre vagy az alkalmazásszintű hitelesítő adatok alkalmazásonként egy hitelesítő adatkészletet jelentenek, amelyek csak az adott alkalmazás üzembe helyezésére használhatók. Ezek a hitelesítő adatok automatikusan jönnek létre minden alkalmazáshoz a létrehozáskor, és nem konfigurálhatók manuálisan, de a jelszó bármikor alaphelyzetbe állítható.

    A felhasználónak legalább közreműködői szintű engedélyekkel kell rendelkeznie egy alkalmazáshoz, beleértve a beépített webhely-közreműködői szerepkört is, hogy hozzáférést kapjon az alkalmazásszintű hitelesítő adatokhoz az RBAC-n keresztül. Az olvasói szerepkör nem tud közzétenni, és nem fér hozzá ezekhez a hitelesítő adatokhoz.

A Key Vault jelenleg nem támogatott az üzembehelyezési hitelesítő adatok esetében. Az üzembehelyezési hitelesítő adatok kezelésével kapcsolatos további információkért lásd: Üzembehelyezési hitelesítő adatok konfigurálása Azure-alkalmazás Szolgáltatáshoz.

FTP letiltása

Alapértelmezés szerint minden függvényalkalmazásban engedélyezve van egy FTP-végpont. Az FTP-végpont üzembehelyezési hitelesítő adatokkal érhető el.

Az FTP nem ajánlott a függvénykód üzembe helyezéséhez. Az FTP-telepítések manuálisak, és az eseményindítók szinkronizálását igénylik. További információ: FTP-telepítés.

Ha nem ftp-t szeretne használni, tiltsa le a portálon. Ha az FTP használata mellett dönt, az FTPS-t kell kikényszerítenie.

A scm végpont védelme

Minden függvényalkalmazás rendelkezik egy megfelelő scm szolgáltatásvégponttal, amelyet a Speciális eszközök (Kudu) szolgáltatás használ a telepítésekhez és más App Service webhelybővítményekhez. A scm függvényalkalmazás végpontja mindig egy URL-cím az alakban https://<FUNCTION_APP_NAME>.scm.azurewebsites.net. Ha hálózatelkülönítést használ a függvények védelméhez, ezt a végpontot is figyelembe kell vennie.

Külön scm végponttal szabályozhatja az elkülönített vagy virtuális hálózaton futó függvényalkalmazások üzembe helyezését és egyéb Speciális eszközök funkcióit. A scm végpont támogatja az alapszintű hitelesítést (üzembehelyezési hitelesítő adatok használatával) és az egyszeri bejelentkezést az Azure Portal hitelesítő adataival. További információ: A Kudu szolgáltatás elérése.

Folyamatos biztonsági ellenőrzés

Mivel a fejlesztési folyamat minden lépésénél figyelembe kell venni a biztonságot, érdemes biztonsági érvényesítéseket is implementálni egy folyamatos üzembe helyezési környezetben. Ezt a megközelítést néha DevSecOps-nak is nevezik. Az Azure DevOps üzembehelyezési folyamathoz való használatával integrálhatja az érvényesítést az üzembe helyezési folyamatba. További információt az Azure Pipelines biztonságossá tételéről talál.

Hálózati biztonság

A függvényalkalmazás hálózati hozzáférésének korlátozásával szabályozhatja, hogy ki férhet hozzá a függvényvégpontokhoz. A Functions az App Service-infrastruktúrával teszi lehetővé, hogy a függvények internetes cím nélkül férhessenek hozzá az erőforrásokhoz, vagy korlátozzák az internet-hozzáférést egy függvényvégponthoz. Ezekről a hálózati lehetőségekről az Azure Functions hálózatkezelési lehetőségei című témakörben olvashat bővebben.

Hozzáférési korlátozások beállítása

A hozzáférési korlátozások lehetővé teszik az alkalmazás forgalmának szabályozására vonatkozó engedélyezési/megtagadási szabályok listáját. A szabályok kiértékelése prioritási sorrendben történik. Ha nincs meghatározva szabály, az alkalmazás bármilyen címről fogad forgalmat. További információ: Azure-alkalmazás szolgáltatáshozzáférés korlátozásai.

A tárfiók védelme

Függvényalkalmazás létrehozásakor létre kell hoznia vagy csatolnia kell egy általános célú Azure Storage-fiókot, amely támogatja a Blob, a Queue és a Table tárolást. Ezt a tárfiókot lecserélheti olyanra, amelyet egy virtuális hálózat biztosít a szolgáltatásvégpontok vagy privát végpontok által engedélyezett hozzáféréssel. További információért lásd: Tárfiók korlátozása virtuális hálózatra.

A függvényalkalmazás üzembe helyezése virtuális hálózaton

Az Azure privát végpont egy hálózati adapter, amely privát és biztonságos módon csatlakoztatja Önt egy Azure privát kapcsolat által működtetett szolgáltatáshoz. A privát végpont a virtuális hálózat egyik magánhálózati IP-címét használja, így hatékonyan bekapcsolja a szolgáltatást a virtuális hálózatba.

A Privát végpontot használhatja a Rugalmas használat, Rugalmas prémium és Dedikált (App Service) csomagokban üzemeltetett függvényekhez.

Ha privát végpontokra szeretne hívásokat kezdeményezni, győződjön meg arról, hogy a DNS-keresések a privát végpontra mutassanak. Ezt a viselkedést az alábbi módok egyikével kényszerítheti ki:

  • Integrálható az Azure DNS privát zónáival. Ha a virtuális hálózat nem rendelkezik egyéni DNS-kiszolgálóval, ez automatikusan megtörténik.
  • Az alkalmazás által használt DNS-kiszolgáló privát végpontjának kezelése. A privát végpont kezeléséhez ismernie kell a végpont címét, és egy A rekord használatával hivatkoznia kell az elérni kívánt végpontra.
  • Konfigurálja saját DNS-kiszolgálóját az Azure DNS privát zónáiba való továbbításhoz.

További információ: Privát végpontok használata a Web Appshez.

A függvényalkalmazás üzembe helyezése izoláltan

Az Azure App Service Environment dedikált üzemeltetési környezetet biztosít a függvények futtatásához. Ezek a környezetek lehetővé teszik egyetlen előtér-átjáró konfigurálását, amellyel minden bejövő kérést hitelesíthet. További információ: ILB App Service-környezet integrálása az Azure Application Gatewayrel.

Átjárószolgáltatás használata

Az átjárószolgáltatások, például az Azure-alkalmazás Gateway és az Azure Front Door lehetővé teszik webalkalmazási tűzfal (WAF) beállítását. A WAF-szabályok az észlelt támadások monitorozására vagy blokkolására szolgálnak, ezáltal további védelmi réteget biztosítanak a függvények számára. WAF beállításához a függvényalkalmazásnak ASE-ben vagy privát végpontok (előzetes verzió) használatával kell futnia. További információ: Privát végpontok használata.

Következő lépések

  • Last updated on