Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur Azure App Service hjälper till att skydda din webbapp, mobilappens serverdel, API-app eller funktionsapp. Artikeln beskriver också hur du kan skydda din app ytterligare med hjälp av inbyggda App Service-funktioner.
Azure App Service skyddar och förstärker aktivt sina plattformskomponenter, inklusive virtuella Azure-datorer, lagring, nätverksanslutningar, webbramverk och funktioner för hantering och integrering. App Service genomgår kontinuerliga, rigorösa efterlevnadskontroller för att säkerställa att:
- Varje app är åtskild från andra Azure-appar och resurser.
- Regelbundna uppdateringar av virtuella datorer och körningsprogram hanterar nyligen identifierade sårbarheter.
- Kommunikation av hemligheter och anslutningssträngar mellan appar och andra Azure-resurser som Azure SQL Database sker endast i Azure, utan att några nätverksgränser korsas. Lagrade hemligheter krypteras alltid.
- All kommunikation via App Service-anslutningsfunktioner som hybridanslutning krypteras.
- Alla anslutningar via fjärrhanteringsverktyg som Azure PowerShell, Azure CLI, Azure SDK:er och REST-API:er krypteras.
- Kontinuerlig hothantering skyddar infrastrukturen och plattformen mot skadlig kod, distribuerad denial-of-service (DDoS) och man-in-the-middle-attacker och andra hot.
Mer information om infrastruktur- och plattformssäkerhet i Azure finns i Azure Trust Center.
I följande avsnitt beskrivs fler sätt att skydda din App Service-app mot hot.
HTTPS och certifikat
Du kan använda App Service för att skydda dina appar via HTTPS. När din app skapas är dess standarddomännamn <app_name>.azurewebsites.net redan tillgängligt via HTTPS. Om du konfigurerar en anpassad domän för din app kan du skydda den med ett TLS/SSL-certifikat så att klientwebbläsare kan göra säkra HTTPS-anslutningar till din anpassade domän.
App Service stöder följande typer av certifikat:
- Kostnadsfritt App Service-hanterat certifikat
- App Service-certifikat
- Certifikat från tredje part
- Certifikat som importerats från Azure Key Vault
Mer information finns i Lägga till och hantera TLS/SSL-certifikat i Azure App Service.
Oskyddade protokoll (HTTP, TLS 1.0, FTP)
Som standard tvingar App Service en omdirigering från HTTP-begäranden till HTTPS. Oskyddade begäranden omdirigeras innan de når din programkod. Information om hur du ändrar det här beteendet finns i Konfigurera allmänna inställningar.
Azure App Service stöder följande TLS-versioner (Transport Layer Security) för inkommande begäranden till din webbapp:
- TLS 1.3: Den senaste och säkraste versionen.
- TLS 1.2: Standardvärdet för lägsta TLS-version för nya webbappar.
- TLS 1.1 och TLS 1.0: Versioner som stöds för bakåtkompatibilitet, men som inte anses säkra enligt branschstandarder som PcI DSS (Payment Card Industry Data Security Standard).
Du kan konfigurera den lägsta TLS-versionen för inkommande begäranden till webbappen och dess SCM-webbplats (Source Control Manager). Som standard är minimivärdet TLS 1.2. Information om hur du tillåter olika TLS-versioner finns i Konfigurera allmänna inställningar.
App Service stöder både FTP och FTPS för distribution av appfiler. Nya appar är inställda på att endast acceptera FTPS som standard. Om du vill öka säkerheten använder du FTPS i stället för FTP om möjligt. Om du inte använder FTP/S bör du inaktivera det. Mer information finns i Distribuera din app till Azure App Service med FTP/S.
Statiska IP-begränsningar
Som standard accepterar App Service-appen begäranden från alla IP-adresser på Internet, men du kan begränsa åtkomsten till en delmängd AV IP-adresser. Du kan använda App Service i Windows för att definiera en lista över IP-adresser som får åtkomst till din app. Listan över tillåtna kan innehålla enskilda IP-adresser eller ett intervall med IP-adresser som definierats av en nätmask. Mer information finns i Konfigurera åtkomstbegränsningar för Azure App Service.
För App Service i Windows kan du också begränsa IP-adresser dynamiskt genom att konfigurera web.config-filen . Mer information finns i Dynamisk IP-säkerhet <dynamicIpSecurity>.
Klientautentisering och auktorisering
App Service tillhandahåller inbyggd autentisering och auktorisering av användare eller klientappar. Du kan implementera din egen autentiserings- och auktoriseringslösning eller låta App Service hantera den åt dig.
När den är aktiverad kan inbyggd autentisering och auktorisering logga in användare och klientappar med lite eller ingen programkod. Modulen för autentisering och auktorisering hanterar webbbegäranden innan de skickas till programkoden och nekar obehöriga begäranden.
App Service-autentisering och auktorisering stöder flera autentiseringsprovidrar, inklusive Microsoft Entra-ID, Microsoft-konton, Facebook, Google och X. Mer information finns i Autentisering och auktorisering i Azure App Service.
Tjänst-till-tjänst-autentisering
När du autentiserar mot en serverdelstjänst tillhandahåller App Service två mekanismer beroende på dina behov:
Tjänstidentitet loggar in på fjärrresursen med hjälp av själva appens identitet. I App Service kan du skapa en hanterad identitet som andra tjänster, till exempel Azure SQL Database eller Azure Key Vault, kan använda för att autentisera. En självstudiekurs från slutpunkt till slutpunkt finns i Använda hanterad identitet för att ansluta en Azure-webbapp till en Azure SQL-databas utan hemligheter.
Å OBO-autentiseringens vägnar delegeras åtkomst till fjärrresurser för användarens räkning. Med Microsoft Entra-ID som autentiseringsprovider kan din App Service-app utföra delegerad inloggning till en fjärrtjänst, till exempel Microsoft Graph eller till en fjärransluten App Service API-app. För en fullständig självstudie, se Autentisera och auktorisera användare i Azure App Service.
Anslutning till fjärrresurser
Din app kan behöva komma åt Azure-resurser, lokala resurser eller resurser i ett virtuellt Azure-nätverk. App Service tillhandahåller en säker anslutningsmetod för vart och ett av dessa scenarier. Du bör också följa rekommenderade säkerhetsmetoder, till exempel att alltid använda krypterade anslutningar även om serverdelsresursen tillåter okrypterade anslutningar.
Se också till att serverdelens Azure-tjänst tillåter minsta möjliga uppsättning IP-adresser. Information om hur du hittar utgående IP-adresser för din app finns i Hitta utgående IP-adresser.
Azure-resurser
När din app ansluter till Azure-resurser som Azure SQL Database och Azure Storage finns anslutningen kvar i Azure och går inte över några nätverksgränser. Anslutningen använder delade nätverk i Azure, så se till att den är krypterad.
Om din app finns i en App Service-miljö bör du ansluta till Azure-tjänster som stöds med hjälp av tjänstslutpunkter för virtuella nätverk.
Resurser i ett virtuellt Azure-nätverk
Din app kan komma åt resurser i ett virtuellt Azure-nätverk via integrering av virtuella nätverk med punkt-till-plats-VPN. Appen kan sedan komma åt resurserna i det virtuella nätverket med hjälp av sina privata IP-adresser. Punkt-till-plats-anslutningen passerar fortfarande de delade nätverken i Azure.
Om du vill isolera resursanslutningen helt från de delade nätverken i Azure skapar du din app i en App Service-miljö. Eftersom en App Service-miljö alltid distribueras till ett dedikerat virtuellt nätverk är anslutningen mellan din app och andra resurser i det virtuella nätverket helt isolerad. Mer information om nätverkssäkerhet i en App Service-miljö finns i Nätverksisolering.
Lokala resurser
Du kan komma åt lokala resurser på ett säkert sätt, till exempel databaser på följande sätt:
En hybridanslutning upprättar en punkt-till-punkt-anslutning till fjärrresursen via en TCP-tunnel (Transmission Control Protocol) som använder TLS 1.2 med signaturnycklar för delad åtkomst.
Integrering av virtuellt nätverk med en plats-till-plats-VPN eller App Service-miljö med en plats-till-plats-VPN. Dessa metoder ansluter appens virtuella nätverk till det lokala nätverket enligt beskrivningen i Resurser i ett virtuellt Azure-nätverk, men det virtuella nätverket ansluter till det lokala nätverket via ett plats-till-plats-VPN. I dessa nätverkstopologier kan din app ansluta till lokala resurser på samma sätt som den ansluter till andra resurser i det virtuella nätverket.
Programhemligheter
Lagra inte programhemligheter som databasautentiseringsuppgifter, API-token och privata nycklar i kod- eller konfigurationsfiler. Få åtkomst till dem som miljövariabler med hjälp av standardmönstret för ditt kodspråk. I App Service definierar du miljövariabler via appinställningar och, särskilt för .NET-program, via anslutningssträngar.
Appinställningar och anslutningssträngar lagras krypterade i Azure och dekrypteras precis innan de matas in i appens processminne när appen startas. Krypteringsnycklarna roteras regelbundet.
Du kan också integrera din App Service-app med Azure Key Vault för avancerad hantering av hemligheter. Din App Service-app kan på ett säkert sätt komma åt nyckelvalvet med hjälp av en hanterad identitet för att hämta de hemligheter du behöver.
Nätverksisolering
Alla App Service-prisnivåer kör dina appar i den delade Nätverksinfrastrukturen i Azure, förutom prisnivån Isolerad. Till exempel delas de offentliga IP-adresserna och klientdelens lastbalanserare med andra klienter.
Den isolerade nivån ger fullständig nätverksisolering genom att köra dina appar i en dedikerad App Service-miljö i din egen instans av Azure Virtual Network. Genom att använda nätverksisolering kan du:
- Hantera dina appar via en dedikerad offentlig slutpunkt med dedikerade klientdelar.
- Hantera interna appar med hjälp av en intern lastbalanserare (ILB) som endast tillåter åtkomst inifrån ditt virtuella Azure-nätverk. ILB har en IP-adress från ditt privata undernät, vilket ger total isolering av dina appar från Internet.
- Använd en ILB bakom en brandvägg för webbprogram (WAF). WAF erbjuder URI-filtrering på företagsnivå, skydd mot DDoS-attacker (distribuerad denial-of-service) och SQL-inmatningsskydd för dina offentliga program.
DDoS-skydd
För webbarbetsbelastningar använder du ett WAF - och Azure DDoS-skydd för att skydda mot nya DDoS-attacker. Ett annat alternativ är att distribuera Azure Front Door med en WAF för skydd på plattformsnivå mot DDoS-attacker på nätverksnivå.