Najlepsze rozwiązania dotyczące zabezpieczania aplikacji internetowych i mobilnych PaaS przy użyciu usługi aplikacja systemu Azure Service
W tym artykule omówiono kolekcję najlepszych rozwiązań dotyczących zabezpieczeń usługi aplikacja systemu Azure Service dotyczących zabezpieczania aplikacji internetowych i mobilnych PaaS. Te najlepsze rozwiązania są oparte na naszym doświadczeniu z platformą Azure i doświadczeniach klientów, takich jak ty.
aplikacja systemu Azure Service to oferta typu "platforma jako usługa" (PaaS), która umożliwia tworzenie aplikacji internetowych i mobilnych dla dowolnej platformy lub urządzenia oraz łączenie się z danymi w dowolnym miejscu, w chmurze lub lokalnie. Usługa App Service obejmuje funkcje internetowe i mobilne, które zostały wcześniej dostarczone oddzielnie jako usługi Azure Websites i Azure Mobile Services. Obejmuje ona także nowe funkcje automatyzacji procesów biznesowych i hostowania interfejsów API w chmurze. Jako pojedyncza zintegrowana usługa App Service oferuje bogaty zestaw możliwości dla scenariuszy internetowych, mobilnych i integracji.
Uwierzytelnianie za pomocą identyfikatora entra firmy Microsoft
Usługa App Service udostępnia usługę OAuth 2.0 dostawcy tożsamości. Protokół OAuth 2.0 koncentruje się na prostoty deweloperów klientów, zapewniając jednocześnie określone przepływy autoryzacji dla aplikacji internetowych, aplikacji klasycznych i telefonów komórkowych. Identyfikator Entra firmy Microsoft używa protokołu OAuth 2.0, aby umożliwić autoryzowanie dostępu do aplikacji mobilnych i internetowych. Aby dowiedzieć się więcej, zobacz Uwierzytelnianie i autoryzacja w usłudze aplikacja systemu Azure.
Ograniczanie dostępu na podstawie roli
Ograniczanie dostępu jest konieczne dla organizacji, które chcą wymusić zasady zabezpieczeń na potrzeby dostępu do danych. Możesz użyć kontroli dostępu opartej na rolach (RBAC) platformy Azure, aby przypisać uprawnienia do użytkowników, grup i aplikacji w określonym zakresie, takich jak konieczność znajomości i zasad zabezpieczeń najniższych uprawnień. Aby dowiedzieć się więcej na temat udzielania użytkownikom dostępu do aplikacji, zobacz Co to jest kontrola dostępu oparta na rolach (RBAC) platformy Azure.
Ochrona kluczy
Nie ma znaczenia, jak dobre jest bezpieczeństwo, jeśli utracisz klucze subskrypcji. Azure Key Vault pomaga chronić klucze kryptograficzne i informacje tajne używane przez aplikacje i usługi w chmurze. Usługa Key Vault umożliwia szyfrowanie kluczy i wpisów tajnych (takich jak klucze uwierzytelniania, klucze konta magazynu, klucze szyfrowania danych, . Pliki PFX i hasła) przy użyciu kluczy chronionych przez sprzętowe moduły zabezpieczeń (HSM). W celu zapewnienia dodatkowego bezpieczeństwa możesz zaimportować lub wygenerować klucze w modułach HSM. Za pomocą usługi Key Vault można również zarządzać certyfikatami TLS przy użyciu automatycznego odnawiania. Aby dowiedzieć się więcej, zobacz Co to jest usługa Azure Key Vault .
Ograniczanie przychodzących źródłowych adresów IP
Środowiska App Service Environment mają funkcję integracji sieci wirtualnej, która ułatwia ograniczanie przychodzących źródłowych adresów IP za pośrednictwem sieciowych grup zabezpieczeń. Jeśli nie znasz sieci wirtualnych platformy Azure, jest to możliwość umożliwiająca umieszczenie wielu zasobów platformy Azure w sieci nieinternetowej, do której można kontrolować dostęp. Aby dowiedzieć się więcej, zobacz Integrowanie aplikacji z usługą Azure Virtual Network.
W przypadku usługi App Service w systemie Windows można również dynamicznie ograniczać adresy IP, konfigurując plik web.config. Aby uzyskać więcej informacji, zobacz Zabezpieczenia dynamicznego adresu IP.
Następne kroki
W tym artykule przedstawiono kolekcję najlepszych rozwiązań dotyczących zabezpieczeń usługi App Service dotyczących zabezpieczania aplikacji internetowych i mobilnych PaaS. Aby dowiedzieć się więcej na temat zabezpieczania wdrożeń paaS, zobacz: