Ajánlott eljárások a PaaS-web- és mobilalkalmazások Azure-alkalmazás service használatával történő biztonságossá tételéhez
Ebben a cikkben a PaaS-web- és mobilalkalmazások biztonságossá tételéhez ajánlott Azure-alkalmazás szolgáltatásbiztonsági ajánlott eljárásokat tárgyaljuk. Ezek az ajánlott eljárások az Azure-ral kapcsolatos tapasztalatainkból és az olyan ügyfelek tapasztalataiból származnak, mint ön.
Azure-alkalmazás szolgáltatás egy szolgáltatásként nyújtott platform (PaaS), amely lehetővé teszi, hogy webes és mobilalkalmazásokat hozzon létre bármilyen platformhoz vagy eszközhöz, és bárhol, a felhőben vagy a helyszínen csatlakozzon az adatokhoz. Az App Service tartalmazza azokat a webes és mobil képességeket, amelyeket korábban külön szállítottak azure-webhelyekként és Azure Mobile Servicesként. Ezenkívül új lehetőségek is elérhetők az üzleti folyamatok automatizálásához és felhőalapú API-k üzemeltetéséhez. Egyetlen integrált szolgáltatásként az App Service számos funkciót kínál a webes, mobil és integrációs forgatókönyvekhez.
Hitelesítés a Microsoft Entra-azonosítón keresztül
Az App Service egy OAuth 2.0 szolgáltatást biztosít az identitásszolgáltató számára. Az OAuth 2.0 az ügyfélfejlesztők egyszerűségére összpontosít, miközben konkrét engedélyezési folyamatokat biztosít webalkalmazásokhoz, asztali alkalmazásokhoz és mobiltelefonokhoz. A Microsoft Entra ID az OAuth 2.0-s verziójával engedélyezi a mobil- és webalkalmazásokhoz való hozzáférést. További információ: Hitelesítés és engedélyezés Azure-alkalmazás szolgáltatásban.
Hozzáférés korlátozása szerepkör alapján
A hozzáférés korlátozása elengedhetetlen azon szervezetek számára, amelyek biztonsági szabályzatokat szeretnének kikényszeríteni az adathozzáféréshez. Az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával engedélyeket rendelhet hozzá a felhasználókhoz, csoportokhoz és alkalmazásokhoz egy bizonyos hatókörben, például a szükséges ismereteket és a legkevésbé jogosultsági biztonsági alapelveket. A felhasználók alkalmazásokhoz való hozzáférésének biztosításáról további információt az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) című témakörben talál.
Kulcsok védelme
Nem számít, milyen jó a biztonság, ha elveszíti az előfizetési kulcsait. Az Azure Key Vault segít a felhőalapú alkalmazások és szolgáltatások által használt titkosítási kulcsok és titkos kulcsok védelmében. A Key Vault segítségével titkos kulcsokat és titkos kulcsokat (például hitelesítési kulcsokat, tárfiókkulcsokat, adattitkosítási kulcsokat) titkosíthat. PFX-fájlok és jelszavak) hardveres biztonsági modulok (HSM-ek) által védett kulcsokkal. A még nagyobb biztonság érdekében lehetőség van arra is, hogy kulcsokat importáljon és generáljon a hardveres biztonsági modulokban. A Key Vault használatával automatikus megújítással is kezelheti a TLS-tanúsítványokat. További információt az Azure Key Vaultról talál.
Bejövő forrás IP-címeinek korlátozása
Az App Service-környezetek virtuális hálózati integrációs funkcióval rendelkeznek, amely segít a bejövő forrás IP-címek hálózati biztonsági csoportokon (NSG-k) keresztüli korlátozásában. Ha nem ismeri az Azure-beli virtuális hálózatokat (VNET-ket), ez a képesség lehetővé teszi, hogy az Azure-erőforrások nagy részét egy nem internetes, szabályozható hálózatba helyezze, amelyhez ön szabályozhatja a hozzáférést. További információ: Alkalmazás integrálása azure-beli virtuális hálózattal.
Windows App Service esetén az IP-címeket dinamikusan is korlátozhatja a web.config konfigurálásával. További információ: Dinamikus IP-biztonság.
Következő lépések
Ez a cikk bemutatja az App Service biztonsági ajánlott eljárásainak gyűjteményét a PaaS-web- és mobilalkalmazások biztonságossá tételéhez. A PaaS-üzemelő példányok biztonságossá tételével kapcsolatos további információkért lásd: