Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure App Service menyediakan infrastruktur hosting untuk aplikasi fungsi Anda. Artikel ini menyediakan strategi keamanan untuk menjalankan kode fungsi Anda, dan bagaimana App Service dapat membantu mengamankan fungsi Anda.
Azure App Service secara aktif mengamankan dan mengeraskan komponen platformnya, termasuk komputer virtual (VM) Azure, penyimpanan, koneksi jaringan, kerangka kerja web, dan fitur manajemen dan integrasi. App Service menjalani pemeriksaan kepatuhan yang berkelanjutan dan ketat untuk memastikan bahwa:
- Setiap aplikasi dipisahkan dari aplikasi dan sumber daya Azure lainnya.
- Pembaruan rutin VM dan perangkat lunak runtime mengatasi kerentanan yang baru ditemukan.
- Komunikasi rahasia dan string koneksi antara aplikasi dan sumber daya Azure lainnya seperti Azure SQL Database hanya terjadi dalam Azure, tanpa melewati batas jaringan apa pun. Rahasia tersimpan selalu dienkripsi.
- Semua komunikasi melalui fitur konektivitas App Service seperti Koneksi Hibrid dienkripsi.
- Semua koneksi melalui alat manajemen jarak jauh seperti Azure PowerShell, Azure CLI, Azure SDK, dan REST API dienkripsi.
- Manajemen ancaman berkelanjutan melindungi infrastruktur dan platform dari malware, penolakan layanan terdistribusi (DDoS) dan serangan man-in-the-middle, dan ancaman lainnya.
Untuk informasi selengkapnya tentang infrastruktur dan keamanan platform di Azure, lihat Azure Trust Center.
Untuk serangkaian rekomendasi keamanan yang mengikuti tolok ukur keamanan cloud Microsoft, lihat Garis Besar Keamanan Azure untuk Azure Functions.
Meskipun perencanaan untuk pengembangan, penyebaran, dan pengoperasian fungsi tanpa server yang aman jauh sama dengan untuk aplikasi berbasis web atau yang dihosting cloud, aplikasi tanpa server kemungkinan rentan terhadap variasi serangan tradisional. Untuk mempelajari selengkapnya tentang potensi serangan pada infrastruktur tanpa server, lihat OWASP Top 10: Interpretasi Tanpa Server.
Operasi yang Aman
Bagian ini memandu Anda mengonfigurasi dan menjalankan aplikasi fungsi seaman mungkin.
Defender untuk Cloud
Defender for Cloud terintegrasi dengan aplikasi fungsi Anda di portal. Ini memberikan penilaian cepat tentang potensi kerentanan keamanan terkait konfigurasi. Aplikasi fungsi yang berjalan dalam paket khusus juga dapat menggunakan fitur keamanan Defender untuk Cloud yang ditingkatkan dengan biaya tambahan. Untuk informasi selengkapnya, lihat Defender untuk App Service.
Mencatat dan memantau
Salah satu cara untuk mendeteksi serangan adalah melalui pemantauan aktivitas dan analitik pengelogan. Fungsi terintegrasi dengan Application Insights untuk mengumpulkan data log, performa, dan kesalahan untuk aplikasi fungsi Anda. Application Insights secara otomatis mendeteksi anomali performa dan menyertakan alat analitik yang kuat untuk membantu Anda mendiagnosis masalah dan memahami bagaimana fungsi Anda digunakan. Untuk informasi lebih lanjut, lihat Monitor Azure Functions.
Azure Functions juga terintegrasi dengan Azure Monitor Logs untuk memungkinkan Anda mengkonsolidasikan log aplikasi fungsi dengan peristiwa sistem agar analisis menjadi lebih mudah. Anda dapat menggunakan pengaturan diagnostik untuk mengonfigurasi ekspor streaming log platform dan metrik untuk fungsi Anda ke tujuan pilihan Anda, seperti ruang kerja Analitik Log. Untuk informasi lebih lanjut, lihat Memantau Azure Functions dengan Azure Monitor Logs.
Untuk deteksi ancaman tingkat perusahaan dan otomatisasi respons, alirkan log dan peristiwa Anda ke ruang kerja Analitik Logs. Anda kemudian dapat menghubungkan Microsoft Azure Sentinel ke ruang kerja ini. Untuk informasi selengkapnya, lihat Apa itu Microsoft Azure Sentinel.
Untuk rekomendasi pengamatan keamanan lainnya, lihat Garis besar keamanan Azure untuk Azure Functions.
Titik akhir HTTP aman
Titik akhir HTTP yang Anda ekspos secara publik menyediakan vektor serangan untuk aktor jahat. Saat mengamankan titik akhir HTTP Anda, gunakan pendekatan keamanan berlapis. Gunakan teknik ini untuk mengurangi kerentanan titik akhir HTTP yang diekspos secara publik, yang diurutkan dari yang paling mendasar hingga paling aman dan ketat:
- Memerlukan HTTPS
- Memerlukan kunci akses
- Mengaktifkan Autentikasi/Otorisasi App Service
- Menggunakan Azure API Management (APIM) untuk mengautentikasi permintaan
- Menyebarkan aplikasi fungsi Anda ke jaringan virtual
- Meluncurkan aplikasi fungsi Anda dalam isolasi
Memerlukan HTTPS
Secara default, klien dapat terhubung ke titik akhir fungsi dengan menggunakan HTTP atau HTTPS. Alihkan HTTP ke HTTPS karena HTTPS menggunakan protokol TLS untuk menyediakan koneksi aman, yang dienkripsi dan diautentikasi. Untuk mempelajari caranya, lihat Memberlakukan HTTPS.
Ketika Anda memerlukan HTTPS, juga memerlukan versi TLS terbaru. Untuk mempelajari caranya, lihat Menerapkan versi TLS.
Untuk informasi selengkapnya, lihat Mengamankan koneksi (TSL).
Kunci akses fungsi
Functions menggunakan kunci untuk membuat akses ke titik akhir fungsi Anda menjadi lebih sulit. Kecuali Anda mengatur tingkat akses HTTP pada fungsi yang dipicu HTTP ke anonymous, permintaan harus menyertakan kunci akses dalam permintaan. Untuk informasi selengkapnya, lihat Bekerja dengan kunci akses di Azure Functions.
Meskipun kunci akses dapat membantu mencegah akses yang tidak diinginkan, satu-satunya cara untuk benar-benar mengamankan titik akhir fungsi Anda adalah dengan menerapkan autentikasi positif klien yang mengakses fungsi Anda. Anda kemudian dapat membuat keputusan otorisasi berdasarkan identitas.
Untuk tingkat keamanan tertinggi, amankan seluruh arsitektur aplikasi di dalam jaringan virtual menggunakan titik akhir privat atau dengan menjalankan isolasi.
Menonaktifkan titik akhir administratif
Aplikasi fungsi dapat melayani titik akhir administratif di bawah jalur /admin. Anda dapat menggunakan titik akhir ini untuk operasi seperti mendapatkan informasi status host dan melakukan pemanggilan pengujian. Saat diekspos, permintaan terhadap titik akhir ini harus menyertakan kunci master aplikasi. Anda juga dapat mengakses operasi administratif melalui AZURE Resource Manager Microsoft.Web/sites API, yang menawarkan Azure RBAC. Untuk menonaktifkan /admin endpoint, tetapkan properti functionsRuntimeAdminIsolationEnabled situs di aplikasi Anda ke true. Untuk informasi selengkapnya, lihat referensi properti functionsRuntimeAdminIsolationEnabled .
Mengaktifkan Autentikasi/Otorisasi App Service
Platform App Service memungkinkan Anda menggunakan ID Microsoft Entra dan beberapa idP non-Microsoft untuk mengautentikasi klien. Gunakan strategi ini untuk menerapkan aturan otorisasi kustom untuk fungsi Anda. Anda dapat bekerja dengan informasi pengguna dari kode fungsi Anda. Untuk informasi selengkapnya, lihat Autentikasi dan otorisasi di Azure App Service dan Bekerja dengan identitas klien.
Menggunakan Azure API Management (APIM) untuk mengautentikasi permintaan
APIM menyediakan berbagai opsi keamanan API untuk permintaan masuk. Untuk informasi selengkapnya, lihat Kebijakan autentikasi API Management. Dengan menggunakan APIM, Anda dapat mengonfigurasi aplikasi fungsi untuk menerima permintaan hanya dari alamat IP instans APIM Anda. Untuk informasi selengkapnya, lihat Pembatasan alamat IP.
Hak akses
Seperti halnya aplikasi atau layanan apa pun, jalankan aplikasi fungsi Anda dengan izin serendah mungkin.
Izin pengelolaan pengguna
Functions mendukung kontrol akses berbasis peran Azure (Azure RBAC) bawaan. Peran Azure yang didukung oleh Functions adalah Kontributor, Pemilik, dan Pembaca.
Izin berlaku di tingkat aplikasi fungsi. Peran Kontributor diperlukan untuk melakukan sebagian besar tugas tingkat aplikasi fungsi. Anda juga memerlukan peran Kontributor bersama dengan izin Pembaca Pemantauan untuk melihat data log di Application Insights. Hanya peran Pemilik yang dapat menghapus aplikasi fungsi.
Menata fungsi menurut hak istimewa
String sambungan dan kredensial lain yang disimpan dalam pengaturan aplikasi memberikan sekumpulan izin yang sama kepada semua fungsi dalam aplikasi fungsi pada sumber daya yang terkait. Pertimbangkan untuk mengurangi jumlah fungsi dengan akses ke kredensial tertentu dengan memindahkan fungsi yang tidak menggunakan kredensial tersebut ke aplikasi fungsi terpisah. Anda selalu dapat menggunakan teknik seperti penautan fungsi untuk meneruskan data antar fungsi di berbagai aplikasi fungsi.
Identitas yang dikelola
Identitas terkelola dari MICROSOFT Entra ID memungkinkan aplikasi Anda mengakses sumber daya lain yang dilindungi Microsoft Entra dengan mudah, seperti Azure Key Vault. Platform Azure mengelola identitas, sehingga Anda tidak perlu menyediakan atau memutar rahasia apa pun. Untuk informasi selengkapnya tentang identitas terkelola di ID Microsoft Entra, lihat Identitas terkelola untuk sumber daya Azure.
Anda dapat memberikan dua jenis identitas ke aplikasi Anda:
- Identitas yang ditetapkan sistem terkait dengan aplikasi dan dihapus jika aplikasi dihapus. Aplikasi hanya dapat memiliki satu identitas yang ditetapkan sistem.
- Identitas yang ditetapkan pengguna adalah sumber daya Azure mandiri yang dapat ditetapkan ke aplikasi Anda. Aplikasi dapat memiliki beberapa identitas yang ditetapkan pengguna. Satu identitas yang ditetapkan pengguna dapat ditetapkan ke beberapa sumber daya Azure, seperti dua aplikasi App Service.
Gunakan identitas terkelola alih-alih rahasia untuk koneksi dari beberapa pemicu dan ikatan. Lihat Koneksi berbasis identitas.
Untuk informasi selengkapnya, lihat Menggunakan identitas terkelola untuk App Service dan Azure Functions.
Membatasi akses CORS
Berbagi sumber daya lintas asal (CORS) adalah cara untuk memungkinkan aplikasi web berjalan di domain lain untuk membuat permintaan ke titik akhir pemicu HTTP Anda. App Service menyediakan dukungan bawaan untuk menangani header CORS yang diperlukan dalam permintaan HTTP. Aturan CORS didefinisikan pada tingkat aplikasi fungsi.
Sangat menggoda untuk menggunakan wildcard yang memungkinkan semua situs mengakses endpoint Anda. Pendekatan ini mengalahkan tujuan CORS, yaitu untuk membantu mencegah serangan pembuatan skrip lintas situs. Sebagai gantinya, tambahkan entri CORS terpisah untuk domain setiap aplikasi web yang harus mengakses titik akhir Anda.
Mengelola rahasia
Untuk terhubung ke berbagai layanan dan sumber daya yang diperlukan untuk menjalankan kode Anda, aplikasi fungsi memerlukan akses ke rahasia, seperti string koneksi dan kunci layanan. Bagian ini menjelaskan cara menyimpan rahasia yang diperlukan oleh fungsi Anda.
Jangan pernah menyimpan rahasia dalam kode fungsi Anda.
Pengaturan aplikasi
Secara default, simpan string koneksi dan rahasia yang digunakan oleh aplikasi fungsi dan pengikatan Anda sebagai pengaturan aplikasi. Pendekatan ini membuat kredensial ini tersedia untuk kode fungsi Anda dan berbagai pengikatan yang digunakan oleh fungsi. Gunakan nama pengaturan aplikasi (kunci) untuk mengambil nilai aktual, yang merupakan rahasia.
Misalnya, setiap aplikasi berfungsi memerlukan akun penyimpanan terkait, yang digunakan oleh runtime. Secara default, Anda menyimpan koneksi ke akun penyimpanan ini dalam pengaturan aplikasi bernama AzureWebJobsStorage.
Azure mengenkripsi pengaturan aplikasi dan string koneksi. Pengaturan aplikasi dan string koneksi didekripsi hanya sebelum disuntikkan ke memori proses aplikasi Anda saat aplikasi dimulai. Kunci enkripsi diputar secara teratur. Jika Anda lebih suka mengelola penyimpanan aman rahasia Anda, buat referensi pengaturan aplikasi ke rahasia Azure Key Vault.
Saat mengembangkan fungsi di komputer lokal, Anda juga dapat mengenkripsi pengaturan secara default dalam local.settings.json file. Untuk informasi selengkapnya, lihat Mengenkripsi file pengaturan lokal.
Referensi dari Key Vault
Meskipun pengaturan aplikasi cukup untuk sebagian besar fungsi, Anda mungkin ingin berbagi rahasia yang sama di beberapa layanan. Dalam hal ini, penyimpanan rahasia yang berlebihan memperbesar potensi kerentanan. Pendekatan yang lebih aman adalah menggunakan layanan penyimpanan rahasia pusat dan menggunakan referensi ke layanan ini alih-alih rahasia itu sendiri.
Azure Key Vault adalah layanan yang menyediakan manajemen rahasia terpusat, dengan kontrol penuh atas kebijakan akses dan riwayat audit. Anda dapat menggunakan referensi Key Vault di tempat string atau kunci koneksi di pengaturan aplikasi Anda. Untuk mempelajari selengkapnya, lihat Menggunakan referensi Key Vault untuk App Service dan Azure Functions.
Koneksi berbasis identitas
Gunakan identitas sebagai ganti rahasia untuk menyambungkan ke beberapa sumber daya. Pendekatan ini memiliki keuntungan tidak memerlukan manajemen rahasia, dan memberikan kontrol dan audit akses yang lebih halus.
Saat Anda menulis kode yang membuat koneksi ke layanan Azure yang mendukung autentikasi Microsoft Entra, Anda dapat menggunakan identitas alih-alih string rahasia atau koneksi. Detail untuk kedua metode koneksi tercakup dalam dokumentasi untuk setiap layanan.
Anda dapat mengonfigurasi beberapa ekstensi pengikatan Azure Functions untuk mengakses layanan dengan menggunakan koneksi berbasis identitas. Untuk informasi selengkapnya, lihat Mengonfigurasi koneksi berbasis identitas.
Atur kuota penggunaan
Pertimbangkan untuk mengatur kuota penggunaan untuk fungsi yang berjalan dalam paket Konsumsi. Saat Anda menetapkan batas GB-detik harian pada total eksekusi fungsi di aplikasi fungsi Anda, eksekusi berhenti saat batas tercapai. Pendekatan ini berpotensi membantu melindungi dari kode berbahaya yang menjalankan fungsi Anda. Untuk mempelajari cara memperkirakan konsumsi untuk fungsi Anda, lihat Memperkirakan biaya rencana Konsumsi.
Validasi Data
Pemicu dan pengikatan yang digunakan oleh fungsi Anda tidak memberikan validasi data tambahan. Kode Anda harus memvalidasi data apa pun yang diterima dari pemicu atau pengikatan input. Jika layanan upstream disusupi, jangan biarkan input yang tak tervalidasi mengalir melalui fungsi Anda. Misalnya, jika fungsi Anda menyimpan data dari antrean Azure Storage dalam database hubungan, validasikan data dan buatlah parameter perintah untuk menghindari serangan injeksi SQL.
Jangan berasumsi bahwa data yang masuk ke fungsi Anda sudah divalidasi atau dibersihkan. Ada baiknya juga untuk memastikan validitas data yang ditulis ke pengikatan output.
Menangani kesalahan
Meskipun tampaknya sepele, penting untuk menulis penanganan kesalahan yang baik dalam fungsi Anda. Kesalahan yang tidak tertangani mengalir naik ke host, dan runtime menangani kesalahan ini. Pengikatan yang berbeda menangani pemrosesan kesalahan secara berbeda. Untuk informasi selengkapnya, lihat Penanganan kesalahan Azure Functions.
Menonaktifkan debugging jarak jauh
Pastikan pemantauan atau debugging jarak jauh dinonaktifkan, kecuali saat Anda secara aktif memantau atau melakukan debugging fungsi Anda. Anda dapat menonaktifkan pengaturan jarak jauh di tab Pengaturan Umum di Konfigurasi aplikasi fungsi Anda di portal.
Membatasi akses CORS
Azure Functions mendukung berbagi sumber daya lintas asal (CORS). CORS dikonfigurasi di portal dan melalui Azure CLI. Daftar asal yang diizinkan CORS berlaku di tingkat aplikasi fungsi. Dengan mengaktifkan CORS, respons menyertakan header Access-Control-Allow-Origin. Untuk mengetahui informasi selengkapnya, lihat Berbagi sumber daya lintas asal.
Jangan gunakan kartu bebas dalam daftar asal yang diizinkan. Sebagai gantinya, cantumkan domain tertentu yang Anda harapkan untuk mendapatkan permintaan.
Menyimpan data terenkripsi
Azure Storage mengenkripsi semua data di akun penyimpanan ketika tidak aktif. Untuk informasi lebih lanjut, lihat Enkripsi Azure Storage untuk data tidak aktif.
Secara default, data dienkripsi dengan kunci yang dikelola Microsoft. Untuk kontrol lebih besar atas kunci enkripsi, Anda dapat menyediakan kunci yang dikelola pelanggan untuk digunakan untuk enkripsi blob dan data file. Kunci ini harus ada di Azure Key Vault for Functions untuk dapat mengakses akun penyimpanan. Untuk mempelajari selengkapnya, lihat Mengenkripsi data aplikasi Anda saat tidak aktif menggunakan kunci yang dikelola pelanggan.
Mengamankan sumber daya terkait
Aplikasi fungsi sering bergantung pada sumber daya lain, jadi bagian dari mengamankan aplikasi mengamankan sumber daya eksternal ini. Minimal, sebagian besar aplikasi fungsi menyertakan dependensi pada Application Insights dan Azure Storage. Untuk panduan tentang mengamankan sumber daya ini, lihat garis besar keamanan Azure untuk Azure Monitor dan garis besar keamanan Azure untuk Penyimpanan.
Penting
Akun penyimpanan digunakan untuk menyimpan data aplikasi penting, terkadang termasuk kode aplikasi itu sendiri. Anda harus membatasi akses dari aplikasi dan pengguna lain ke akun penyimpanan.
Anda juga harus berkonsultasi dengan panduan untuk jenis sumber daya apa pun yang bergantung pada logika aplikasi Anda, baik sebagai pemicu dan pengikatan dan dari kode fungsi Anda.
Penyebaran yang Aman
Integrasi alat Azure Functions memudahkan penerbitan kode proyek fungsi lokal ke Azure. Penting untuk memahami cara kerja penyebaran saat mempertimbangkan keamanan untuk topologi Azure Functions.
Kredensial untuk Penyebaran
Penyebaran App Service memerlukan sekumpulan kredensial penyebaran. Anda menggunakan kredensial penyebaran ini untuk mengamankan penyebaran aplikasi fungsi Anda. Platform App Service mengelola kredensial penyebaran dan mengenkripsinya saat tidak aktif.
Ada dua jenis kredensial penyebaran:
Cakupan pengguna atau kredensial tingkat pengguna menyediakan satu set kredensial penyebaran untuk seluruh akun Azure pengguna. Pengguna yang diberikan akses aplikasi melalui kontrol akses berbasis peran (RBAC) atau izin koadministrator dapat menggunakan kredensial tingkat pengguna mereka selama mereka memiliki izin tersebut.
Anda dapat menggunakan kredensial cakupan pengguna untuk menyebarkan aplikasi apa pun ke App Service melalui Git atau FTP/S lokal dalam langganan apa pun yang memiliki izin untuk diakses akun Azure Anda. Anda tidak berbagi kredensial ini dengan pengguna Azure lainnya. Anda dapat mengatur ulang kredensial cakupan pengguna kapan saja.
Cakupan aplikasi atau kredensial tingkat aplikasi adalah satu set kredensial per aplikasi yang dapat digunakan untuk menyebarkan aplikasi tersebut saja. Kredensial ini dihasilkan secara otomatis untuk setiap aplikasi saat pembuatan dan tidak dapat dikonfigurasi secara manual, tetapi kata sandi dapat diatur ulang kapan saja.
Pengguna harus memiliki setidaknya izin tingkat Kontributor pada aplikasi, termasuk peran bawaan Kontributor Situs Web, agar dapat diberikan akses ke kredensial tingkat aplikasi melalui RBAC. Peran pembaca tidak dapat menerbitkan atau mengakses kredensial ini.
Saat ini, Key Vault tidak didukung untuk kredensial implementasi. Untuk mempelajari selengkapnya tentang mengelola kredensial penggunaan, lihat Mengonfigurasi kredensial penggunaan untuk Azure App Service.
Nonaktifkan FTP
Secara default, setiap aplikasi fungsi memiliki titik akhir FTP diaktifkan. Titik akhir FTP diakses menggunakan kredensial penyebaran.
FTP tidak disarankan untuk menyebarkan kode fungsi Anda. Penyebaran FTP bersifat manual dan mengharuskan Anda untuk menyinkronkan pemicu. Untuk informasi selengkapnya, lihat Penyebaran FTP.
Saat Anda tidak menggunakan FTP, nonaktifkan. Anda dapat mengubah pengaturan ini di portal. Jika Anda memilih untuk menggunakan FTP, terapkan FTPS.
Mengamankan scm titik akhir
Setiap aplikasi fungsi memiliki titik akhir layanan terkait scm yang digunakan layanan Advanced Tools (Kudu) untuk penyebaran dan ekstensi situs App Service lainnya. Endpoint scm untuk aplikasi fungsi selalu merupakan URL dalam bentuk https://<FUNCTION_APP_NAME>.scm.azurewebsites.net. Ketika Anda menggunakan isolasi jaringan untuk mengamankan fungsi Anda, perhitungkan pula titik akhir ini.
Dengan menggunakan titik akhir terpisah scm , Anda dapat mengontrol penyebaran dan fungsionalitas Alat Tingkat Lanjut lainnya untuk aplikasi fungsi yang terisolasi atau berjalan di jaringan virtual. Endpoint scm mendukung autentikasi dasar (dengan menggunakan kredensial penyebaran) dan single sign-on dengan kredensial portal Azure Anda. Untuk informasi selengkapnya, lihat Mengakses layanan Kudu.
Validasi keamanan berkelanjutan
Karena Anda perlu mempertimbangkan keamanan di setiap langkah dalam proses pengembangan, masuk akal untuk juga menerapkan validasi keamanan di lingkungan penyebaran berkelanjutan. Pendekatan ini terkadang disebut DevSecOps. Dengan menggunakan Azure DevOps untuk alur penyebaran, Anda dapat mengintegrasikan validasi ke dalam proses penyebaran. Untuk informasi selengkapnya, lihat Mengamankan Azure Pipelines Anda.
Keamanan jaringan
Dengan membatasi akses jaringan ke aplikasi fungsi, Anda dapat mengontrol siapa yang dapat mengakses titik akhir fungsi Anda. Functions menggunakan infrastruktur App Service untuk memungkinkan fungsi Anda mengakses sumber daya tanpa menggunakan alamat yang dapat dirutekan internet atau untuk membatasi akses internet ke titik akhir fungsi. Untuk mempelajari selengkapnya tentang opsi jaringan ini, lihat Opsi jaringan Azure Functions.
Mengatur pembatasan akses
Pembatasan akses memungkinkan Anda menentukan daftar aturan izinkan dan tolak untuk mengontrol lalu lintas ke aplikasi Anda. Aturan dievaluasi dalam urutan prioritas. Jika Anda tidak menentukan aturan apa pun, aplikasi Anda akan menerima lalu lintas dari alamat apa pun. Untuk informasi selengkapnya, lihat Pembatasan akses Azure App Service.
Mengamankan akun penyimpanan
Saat membuat aplikasi fungsi, Anda harus membuat atau menautkan ke akun tujuan umum Azure Storage yang mendukung penyimpanan Blob, Queue, dan Table. Anda dapat mengganti akun penyimpanan ini dengan akun yang diamankan oleh jaringan virtual dengan akses yang diaktifkan oleh titik akhir layanan atau titik akhir privat. Untuk informasi selengkapnya, lihat Membatasi akun penyimpanan Anda ke jaringan virtual.
Menyebarkan aplikasi fungsi Anda ke jaringan virtual
Azure Private Endpoint adalah antarmuka jaringan yang menghubungkan Anda secara privat dan aman ke layanan yang didukung oleh Azure Private Link. Titik Akhir Privat menggunakan alamat IP privat dari jaringan virtual Anda, membawa layanan ke dalam jaringan virtual Anda secara efektif.
Anda dapat menggunakan Titik Akhir Privat untuk fungsi yang dihosting dalam paket Flex Consumption, Elastic Premium, dan Dedicated (App Service).
Jika Anda ingin melakukan panggilan ke Titik Akhir Privat, Anda harus memastikan pencarian DNS Anda menentukan titik akhir privat. Anda dapat menerapkan perilaku ini di salah satu cara berikut:
- Integrasikan dengan zona privat Azure DNS. Ketika jaringan virtual Anda tidak memiliki server DNS kustom, integrasi dilakukan secara otomatis.
- Kelola titik akhir privat di server DNS yang digunakan oleh aplikasi Anda. Untuk mengelola titik akhir privat, Anda harus mengetahui alamat titik akhir dan menggunakan catatan A untuk mereferensikan titik akhir yang ingin Anda jangkau.
- Konfigurasikan server DNS Anda sendiri untuk diteruskan ke zona privat Azure DNS.
Untuk mempelajari selengkapnya, lihat menggunakan Titik Akhir Pribadi untuk Aplikasi Web.
Menyebarkan aplikasi fungsi Anda dalam isolasi
Lingkungan Azure App Service menyediakan lingkungan hosting khusus untuk menjalankan fungsi Anda. Lingkungan ini memungkinkan Anda mengonfigurasi gateway ujung depan tunggal yang dapat Anda gunakan untuk mengautentikasi semua permintaan masuk. Untuk informasi selengkapnya, lihat Mengintegrasikan ILB App Service Environment Anda dengan Azure Application Gateway.
Gunakan layanan gateway
Dengan menggunakan layanan gateway seperti Azure Application Gateway dan Azure Front Door, Anda dapat menyiapkan Web Application Firewall (WAF). Aturan WAF memantau atau memblokir serangan yang terdeteksi, yang memberikan lapisan perlindungan ekstra untuk fungsi Anda. Untuk menyiapkan WAF, aplikasi fungsi Anda perlu berjalan di ASE atau menggunakan Titik Akhir Privat (pratinjau). Untuk informasi selengkapnya, lihat Menggunakan titik akhir privat.