Overwegingen voor identiteits- en toegangsbeheer voor de App Service-landingszoneversneller

  • Artikel

Dit artikel bevat ontwerpoverwegingen en aanbevelingen voor identiteits- en toegangsbeheer die u kunt toepassen wanneer u de Azure-app Service-landingszoneversneller gebruikt. Verificatie en app-configuratie zijn enkele van de overwegingen die in dit artikel worden besproken.

Meer informatie over het ontwerpgebied voor identiteits- en toegangsbeheer .

Ontwerpoverwegingen

Wanneer u de landingszoneversneller gebruikt om een App Service-oplossing te implementeren, zijn er enkele belangrijke overwegingen voor sleutelidentiteit en toegangsbeheer:

  • Bepaal het beveiligings- en isolatieniveau dat is vereist voor de app en de bijbehorende gegevens. Met openbare toegang heeft iedereen met de app-URL toegang tot de app, terwijl privétoegang de toegang beperkt tot alleen geautoriseerde gebruikers en netwerken.
  • Bepaal het type verificatie en autorisatie dat nodig is voor uw App Service-oplossing: anonieme, interne zakelijke gebruikers, sociale accounts, andere id-provider of een combinatie van deze typen.
  • Bepaal of u door het systeem toegewezen of door de gebruiker toegewezen beheerde identiteiten wilt gebruiken wanneer uw App Service-oplossing verbinding maakt met back-endbronnen die worden beveiligd door Microsoft Entra-id.
  • Overweeg om aangepaste rollen te maken, volgens het principe van minimale bevoegdheden wanneer out-of-box-rollen wijzigingen in bestaande machtigingen vereisen.
  • Kies verbeterde beveiligingsopslag voor sleutels, geheimen, certificaten en toepassingsconfiguratie.
    • Gebruik app-configuratie om algemene configuratiewaarden te delen die geen wachtwoorden, geheimen of sleutels zijn tussen toepassingen, microservices en serverloze toepassingen.
    • Gebruik Azure Key Vault. Het biedt verbeterde beveiliging van wachtwoorden, verbindingsreeks s, sleutels, geheimen en certificaten. U kunt Key Vault gebruiken om uw geheimen op te slaan en deze vervolgens te openen vanuit uw App Service-toepassing via een door App Service beheerde identiteit. Door dit te doen, kunt u uw geheimen veilig houden terwijl u ze zo nodig nog steeds vanuit uw toepassing kunt openen.

Ontwerpaanaanvelingen

U moet de volgende aanbevolen procedures opnemen in uw App Service-implementaties:

  • Als voor de App Service-oplossing verificatie is vereist:
    • Als de toegang tot de hele App Service-oplossing moet worden beperkt tot geverifieerde gebruikers, schakelt u anonieme toegang uit.
    • Gebruik de ingebouwde verificatie- en autorisatiemogelijkheden van App Service in plaats van uw eigen verificatie- en autorisatiecode te schrijven.
    • Gebruik afzonderlijke toepassingsregistraties voor afzonderlijke sites of omgevingen.
    • Als de App Service-oplossing alleen is bedoeld voor interne gebruikers, gebruikt u verificatie van clientcertificaten voor betere beveiliging.
    • Als de App Service-oplossing is bedoeld voor externe gebruikers, gebruikt u Azure AD B2C voor verificatie bij sociale accounts en Microsoft Entra-accounts.
  • Gebruik waar mogelijk ingebouwde Azure-rollen . Deze rollen zijn ontworpen om een set machtigingen te bieden die vaak nodig zijn voor specifieke scenario's, zoals de rol Lezer voor gebruikers die alleen-lezentoegang nodig hebben en de rol Inzender voor gebruikers die resources moeten kunnen maken en beheren.
    • Als ingebouwde rollen niet aan uw behoeften voldoen, kunt u aangepaste rollen maken door de machtigingen van een of meer ingebouwde rollen te combineren. Als u dit doet, kunt u de exacte set machtigingen verlenen die uw gebruikers nodig hebben, terwijl u nog steeds het principe van minimale bevoegdheden volgt.
    • Bewaak uw App Service-resources regelmatig om ervoor te zorgen dat ze worden gebruikt in overeenstemming met uw beveiligingsbeleid. Dit kan u helpen bij het identificeren van onbevoegde toegang of wijzigingen en het uitvoeren van de juiste acties.
  • Gebruik het principe van minimale bevoegdheden wanneer u machtigingen toewijst aan gebruikers, groepen en services. Dit principe geeft aan dat u alleen de minimale machtigingen moet verlenen die vereist zijn om de specifieke taak uit te voeren en niet meer. Als u deze richtlijnen volgt, kunt u het risico op onbedoelde of schadelijke wijzigingen in uw resources verminderen.
  • Gebruik door het systeem toegewezen beheerde identiteiten voor toegang, met verbeterde beveiliging, back-endresources die worden beveiligd door Microsoft Entra ID. Hierdoor kunt u bepalen tot welke resources de App Service-oplossing toegang heeft en tot welke machtigingen deze resources beschikt.
  • Voor geautomatiseerde implementatie stelt u een service-principal in met de minimaal vereiste machtigingen voor implementatie vanuit de CI/CD-pijplijn.
  • Schakel diagnostische logboekregistratie van AppServiceHTTPLogs-toegangslogboeken in voor App Service. U kunt deze gedetailleerde logboeken gebruiken om problemen met uw app vast te stellen en toegangsaanvragen te controleren. Het inschakelen van deze logboeken biedt ook een Azure Monitor-activiteitenlogboek waarmee u inzicht krijgt in gebeurtenissen op abonnementsniveau.
  • Volg de aanbevelingen die worden beschreven in de secties Identiteitsbeheer en Privileged-toegang van de Azure-beveiligingsbasislijn voor App Service.

Het doel van identiteits- en toegangsbeheer voor de landingszoneversneller is ervoor te zorgen dat de geïmplementeerde app en de bijbehorende resources veilig zijn en alleen toegankelijk zijn voor geautoriseerde gebruikers. Als u dit doet, kunt u gevoelige gegevens beschermen en misbruik van de app en de bijbehorende resources voorkomen.