Praktik terbaik untuk mengamankan aplikasi web dan seluler PaaS menggunakan Azure App Service
Dalam artikel ini, kami membahas kumpulan praktik terbaik keamanan Azure App Service untuk mengamankan aplikasi web dan seluler PaaS Anda. Praktik terbaik ini berasal dari pengalaman kami dengan Azure dan pengalaman pelanggan seperti Anda.
Azure App Service adalah penawaran platform sebagai layanan (PaaS) yang memungkinkan Anda membuat aplikasi web dan seluler untuk platform atau perangkat dan terhubung ke data di mana saja, di cloud atau lokal. App Service mencakup kemampuan web dan seluler yang sebelumnya dikirimkan secara terpisah sebagai Situs Web Azure dan Layanan Seluler Azure. Ini juga termasuk kemampuan baru untuk mengotomatiskan proses bisnis dan menghosting API cloud. Sebagai satu layanan terintegrasi, App Service menghadirkan serangkaian kemampuan yang kaya untuk skenario web, seluler, dan integrasi.
Mengautentikasi melalui ID Microsoft Entra
Azure App Service menyediakan layanan OAuth 2.0 untuk penyedia identitas Anda. OAuth 2.0 berfokus pada kesederhanaan pengembang klien sambil menyediakan alur otorisasi khusus untuk aplikasi web, aplikasi desktop, dan ponsel. MICROSOFT Entra ID menggunakan OAuth 2.0 untuk memungkinkan Anda mengotorisasi akses ke aplikasi seluler dan web. Untuk mempelajari selengkapnya, lihatAutentikasi dan otorisasi di Azure App Service.
Membatasi akses berdasarkan peran
Membatasi akses sangat penting bagi organisasi yang ingin memberlakukan kebijakan keamanan untuk akses data. Anda dapat menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk menetapkan izin kepada pengguna, grup, dan aplikasi pada cakupan tertentu, seperti prinsip keamanan yang perlu diketahui dan paling tidak hak istimewa. Untuk mempelajari selengkapnya tentang memberi pengguna akses ke aplikasi, lihat Apa itu kontrol akses berbasis peran Azure (Azure RBAC).
Lindungi kunci Anda
Tidak peduli seberapa baik keamanan Anda jika Anda kehilangan kunci langganan Anda. Azure Key Vault membantu melindungi kunci kriptografi dan rahasia yang digunakan oleh aplikasi dan layanan cloud. Dengan Key Vault, Anda dapat mengenkripsi kunci dan rahasia (seperti kunci autentikasi, kunci akun penyimpanan, kunci enkripsi data, . File PFX, dan kata sandi) dengan menggunakan kunci yang dilindungi oleh modul keamanan perangkat keras (HSM). Untuk jaminan tambahan, Anda dapat mengimpor atau menghasilkan kunci dalam HSM. Anda juga dapat menggunakan Vault Kunci untuk mengelola sertifikat TLS dengan perpanjangan otomatis. Lihat Apa itu Azure Key Vault untuk mempelajari selengkapnya.
Membatasi alamat IP sumber masuk
App Service Environments memiliki fitur integrasi jaringan virtual yang membantu Anda membatasi alamat IP sumber masuk melalui kelompok keamanan jaringan (NSG). Jika Anda tidak terbiasa dengan Azure Virtual Networks (VNET), ini adalah kemampuan yang memungkinkan Anda menempatkan banyak sumber daya Azure Anda di jaringan bukan internet dan mudah diakses yang Anda kontrol aksesnya. Untuk mempelajari selengkapnya, lihat Mengintegrasikan aplikasi Anda dengan Microsoft Azure Virtual Network.
Untuk App Service di Windows, Anda juga dapat membatasi alamat IP secara dinamis dengan mengonfigurasi web.config. Untuk informasi selengkapnya, lihat Keamanan IP Dinamis.
Langkah berikutnya
Artikel ini memberi Anda pengantar tentang kumpulan praktik terbaik keamanan Azure App Service untuk mengamankan aplikasi web dan seluler PaaS. Untuk mempelajari selengkapnya tentang cara mengamankan penyebaran PaaS Anda, lihat: