Pertimbangan keamanan untuk akselerator zona pendaratan App Service

  • Artikel

Artikel ini menyediakan pertimbangan desain dan rekomendasi untuk keamanan yang dapat Anda terapkan saat Anda menggunakan akselerator zona pendaratan Azure App Service. Keamanan untuk rahasia aplikasi, isolasi jaringan, dan pemindaian kerentanan adalah beberapa pertimbangan yang tercakup dalam artikel ini.

Pelajari selengkapnya tentang area desain keamanan .

Pertimbangan Desain

Saat Anda mempersiapkan penyebaran App Service, pertimbangkan pertimbangan ini:

  • Persyaratan: Tinjau persyaratan keamanan Anda untuk menentukan apakah mereka memungkinkan aplikasi web Anda dijalankan pada infrastruktur jaringan bersama atau jika memerlukan isolasi jaringan /komputer virtual lengkap yang tersedia di Lingkungan App Service.

  • Autentikasi dan otorisasi: Anda perlu mengonfigurasi autentikasi dan otorisasi dengan benar untuk solusi App Service Anda untuk memastikan bahwa hanya pengguna yang berwenang yang memiliki akses ke aplikasi dan sumber dayanya. Anda dapat melakukan ini dengan menggunakan ID Microsoft Entra, yang menyediakan solusi keamanan yang ditingkatkan dan dapat diskalakan untuk mengelola identitas pengguna dan akses ke aplikasi Anda.

  • Keamanan jaringan: App Service menyertakan beberapa fitur bawaan untuk membantu melindungi aplikasi Anda dan sumber dayanya dari serangan berbasis jaringan. Fitur-fitur ini termasuk dukungan untuk SSL/TLS, aturan firewall IP, dan perlindungan penolakan layanan terdistribusi (DDoS). Anda perlu mengonfigurasi fitur-fitur ini dengan benar untuk memastikan bahwa aplikasi Anda dilindungi dari ancaman eksternal.

  • Keamanan aplikasi: Anda perlu memastikan bahwa aplikasi itu sendiri aman, dan menggabungkan praktik terbaik untuk melindungi data sensitif dan mencegah kerentanan umum seperti injeksi SQL dan scripting lintas situs (XSS). Anda dapat mencapai tujuan ini melalui kombinasi praktik pengodean yang aman, pengujian keamanan reguler, dan penggunaan alat seperti Azure Security Center untuk memantau potensi ancaman.

  • Keamanan data: Anda juga perlu melindungi data yang disimpan dan diproses dengan benar oleh aplikasi Anda. Anda bisa mendapatkan tingkat perlindungan untuk data Anda dengan menggunakan layanan Azure seperti Azure Key Vault, yang menyediakan penyimpanan keamanan yang ditingkatkan untuk data sensitif seperti kunci kriptografi dan kata sandi. Anda juga perlu mengenkripsi data saat transit dan tidak aktif, serta secara teratur mencadangkan dan menguji proses pemulihan data Anda.

Mengikuti praktik terbaik untuk autentikasi dan otorisasi, keamanan jaringan, keamanan aplikasi, dan keamanan data dapat membantu Anda memastikan bahwa aplikasi dan sumber dayanya dilindungi dari potensi ancaman.

Rekomendasi desain

Saat Anda mempersiapkan penyebaran App Service, pertimbangkan rekomendasi ini:

  • Simpan rahasia aplikasi (kredensial database, token API, dan kunci privat) di Key Vault, dan konfigurasikan aplikasi App Service Anda untuk mengaksesnya melalui identitas terkelola. Untuk menentukan kapan menggunakan Key Vault dan kapan menggunakan Azure App Configuration, lihat Konfigurasi dan keamanan aplikasi terpusat.
  • Aktifkan berbagi sumber daya lintas asal (CORS) di App Services atau dengan menggunakan utilitas CORS Anda sendiri. CORS menentukan asal dari browser pengguna mana yang harus mengizinkan pemuatan sumber daya.
  • Saat Anda menyebarkan aplikasi web kontainer ke App Services, aktifkan Azure Defender untuk registri kontainer untuk memindai gambar secara otomatis untuk kerentanan.
  • Aktifkan Azure Defender untuk App Service untuk menilai keamanan aplikasi web Anda, mendeteksi ancaman, dan mendapatkan pemberitahuan ketika potensi ancaman terdeteksi sehingga Anda dapat mengambil tindakan untuk melindungi sumber daya Anda.
  • Gunakan titik akhir privat untuk mengakses layanan Azure secara privat melalui jaringan virtual Anda.
  • Jika Anda bekerja dengan data sensitif, pastikan bahwa data ditransfer dengan aman antara aplikasi dan kliennya. App Service mendukung koneksi HTTPS aman, yang mengenkripsi data saat transit dan membantu mencegah pihak ketiga mencegatnya.
  • App Service menawarkan sertifikat SSL terkelola, cara mudah untuk menggunakan sertifikat SSL tepercaya. Sertifikat SSL memungkinkan aplikasi menggunakan HTTPS untuk mengenkripsi data saat transit dan membantu memastikan bahwa data ditransfer dengan aman.
  • Gunakan firewall aplikasi web (WAF) seperti Azure Front Door atau Azure Application Gateway untuk membantu melindungi aplikasi web Anda dari kerentanan web umum seperti injeksi SQL dan serangan XSS.

Saat Anda menggunakan App Service, keamanan adalah pertimbangan penting. Dengan mengelola akses dengan cermat, menerapkan kontrol keamanan jaringan, melindungi data Anda, dan mengamankan aplikasi, Anda dapat membantu memastikan bahwa sumber daya App Service Anda aman dan terlindungi dari potensi ancaman.