Práticas recomendadas para proteger aplicativos Web e móveis PaaS usando o Serviço de Aplicativo do Azure
Neste artigo, discutimos uma coleção de práticas recomendadas de segurança do Serviço de Aplicativo do Azure para proteger seus aplicativos Web e móveis PaaS. Essas práticas recomendadas são derivadas de nossa experiência com o Azure e das experiências de clientes como você.
O Serviço de Aplicativo do Azure é uma oferta de plataforma como serviço (PaaS) que permite criar aplicativos Web e móveis para qualquer plataforma ou dispositivo e conectar-se a dados em qualquer lugar, na nuvem ou no local. O Serviço de Aplicativo inclui os recursos Web e móveis que anteriormente eram fornecidos separadamente como Sites do Azure e Serviços Móveis do Azure. Também inclui novas capacidades para automatizar processos de negócio e o alojar APIs da nuvem. Como um único serviço integrado, o Serviço de Aplicativo traz um rico conjunto de recursos para cenários Web, móveis e de integração.
Autenticar através do Microsoft Entra ID
O Serviço de Aplicativo fornece um serviço OAuth 2.0 para seu provedor de identidade. O OAuth 2.0 se concentra na simplicidade do desenvolvedor cliente enquanto fornece fluxos de autorização específicos para aplicativos Web, aplicativos de desktop e telefones celulares. O Microsoft Entra ID usa o OAuth 2.0 para permitir que você autorize o acesso a aplicativos móveis e da Web. Para saber mais, consulte Autenticação e autorização no Serviço de Aplicativo do Azure.
Restringir o acesso com base na função
Restringir o acesso é imperativo para organizações que desejam aplicar políticas de segurança para acesso a dados. Você pode usar o controle de acesso baseado em função do Azure (Azure RBAC) para atribuir permissões a usuários, grupos e aplicativos em um determinado escopo, como a necessidade de conhecer e privilégios mínimos dos princípios de segurança. Para saber mais sobre como conceder aos usuários acesso a aplicativos, consulte O que é o controle de acesso baseado em função do Azure (Azure RBAC).
Proteja as suas chaves
Não importa quão boa seja a sua segurança se perder as suas chaves de subscrição. O Azure Key Vault ajuda a salvaguardar chaves criptográficas e segredos utilizados por aplicações cloud e serviços. Com o Cofre de Chaves, você pode criptografar chaves e segredos (como chaves de autenticação, chaves de conta de armazenamento, chaves de criptografia de dados, . PFX e senhas) usando chaves protegidas por módulos de segurança de hardware (HSMs). Para maior segurança, pode importar ou gerar chaves nos HSMs. Você também pode usar o Cofre da Chave para gerenciar seus certificados TLS com renovação automática. Consulte O que é o Azure Key Vault para saber mais.
Restringir endereços IP de origem de entrada
Os Ambientes do Serviço de Aplicativo têm um recurso de integração de rede virtual que ajuda a restringir os endereços IP de origem de entrada por meio de NSGs (grupos de segurança de rede). Se não estiver familiarizado com as Redes Virtuais do Azure (VNETs), esta é uma funcionalidade que lhe permite colocar muitos dos seus recursos do Azure numa rede roteável que não seja da Internet à qual controla o acesso. Para saber mais, consulte Integrar seu aplicativo a uma Rede Virtual do Azure.
Para o Serviço de Aplicativo no Windows, você também pode restringir endereços IP dinamicamente configurando o web.config. Para obter mais informações, consulte Segurança IP dinâmica.
Próximos passos
Este artigo apresentou uma coleção de práticas recomendadas de segurança do Serviço de Aplicativo para proteger seus aplicativos Web e móveis de PaaS. Para saber mais sobre como proteger suas implantações de PaaS, consulte: