Aanbevolen procedures voor het beveiligen van PaaS-web- en mobiele toepassingen met behulp van Azure-app Service
In dit artikel bespreken we een verzameling aanbevolen procedures voor Azure-app Service-beveiliging voor het beveiligen van uw PaaS-web- en mobiele toepassingen. Deze best practices zijn afgeleid van onze ervaring met Azure en de ervaringen van klanten zoals uzelf.
Azure-app Service is een PaaS-aanbieding (Platform-as-a-Service) waarmee u web- en mobiele apps kunt maken voor elk platform of apparaat en overal verbinding kunt maken met gegevens, in de cloud of on-premises. App Service bevat de web- en mobiele mogelijkheden die eerder afzonderlijk werden geleverd als Azure Websites en Azure Mobile Services. Deze service bevat ook nieuwe mogelijkheden voor het automatiseren van bedrijfsprocessen en het hosten van cloud-API's. Als één geïntegreerde service biedt App Service een uitgebreide set mogelijkheden voor web-, mobiele en integratiescenario's.
Verifiëren via Microsoft Entra-id
App Service biedt een OAuth 2.0-service voor uw id-provider. OAuth 2.0 richt zich op de eenvoud van clientontwikkelaars en biedt specifieke autorisatiestromen voor webtoepassingen, desktoptoepassingen en mobiele telefoons. Microsoft Entra ID maakt gebruik van OAuth 2.0 om u toegang te geven tot mobiele en webtoepassingen. Zie Verificatie en autorisatie in Azure App Service voor meer informatie.
Toegang beperken op basis van rol
Het beperken van de toegang is essentieel voor organisaties die beveiligingsbeleid willen afdwingen voor gegevenstoegang. U kunt op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om machtigingen toe te wijzen aan gebruikers, groepen en toepassingen binnen een bepaald bereik, zoals de noodzaak om beveiligingsprincipes voor minimale bevoegdheden te kennen en te beperken. Zie Wat is op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) voor meer informatie over het verlenen van toegang tot toepassingen.
Uw sleutels beveiligen
Het maakt niet uit hoe goed uw beveiliging is als u uw abonnementssleutels kwijtraakt. Azure Key Vault helpt bij het beveiligen van cryptografische sleutels en geheimen die worden gebruikt door cloudtoepassingen en -services. Met Key Vault kunt u sleutels en geheimen versleutelen (zoals verificatiesleutels, opslagaccountsleutels, gegevensversleutelingssleutels, . PFX-bestanden en wachtwoorden) met behulp van sleutels die worden beveiligd door HSM's (Hardware Security Modules). Voor extra zekerheid kunt u de sleutels importeren of genereren in HSM's. U kunt Key Vault ook gebruiken om uw TLS-certificaten te beheren met automatische verlenging. Zie Wat is Azure Key Vault voor meer informatie.
Binnenkomende BRON-IP-adressen beperken
App Service Environments heeft een functie voor integratie van virtuele netwerken waarmee u binnenkomende bron-IP-adressen kunt beperken via netwerkbeveiligingsgroepen (NSG's). Als u niet bekend bent met Azure Virtual Networks (VNET's), is dit een mogelijkheid waarmee u veel van uw Azure-resources in een niet-internet, routeerbaar netwerk kunt plaatsen waartoe u de toegang beheert. Zie Uw app integreren met een virtueel Azure-netwerk voor meer informatie.
Voor App Service in Windows kunt u ip-adressen ook dynamisch beperken door de web.config te configureren. Zie Dynamische IP-beveiliging voor meer informatie.
Volgende stappen
In dit artikel hebt u kennisgemaakt met een verzameling aanbevolen procedures voor App Service-beveiliging voor het beveiligen van uw PaaS-web- en mobiele toepassingen. Zie voor meer informatie over het beveiligen van uw PaaS-implementaties: