Metodtips för att skydda PaaS-webb- och mobilprogram med Hjälp av Azure App Service
I den här artikeln diskuterar vi en samling metodtips för Säkerhet i Azure App Service för att skydda dina PaaS-webb- och mobilprogram. Dessa metodtips härleds från vår erfarenhet av Azure och upplevelserna hos kunder som dig själv.
Azure App Service är ett PaaS-erbjudande (plattform som en tjänst) som gör att du kan skapa webb- och mobilappar för valfri plattform eller enhet och ansluta till data var som helst, i molnet eller lokalt. App Service innehåller webb- och mobilfunktioner som tidigare levererades separat som Azure Websites och Azure Mobile Services. Det finns nya funktioner för att automatisera affärsprocesser och hantera moln-API:er. Som en enda integrerad tjänst ger App Service en omfattande uppsättning funktioner till webb-, mobil- och integrationsscenarier.
Autentisera via Microsoft Entra-ID
App Service tillhandahåller en OAuth 2.0-tjänst för din identitetsprovider. OAuth 2.0 fokuserar på enkelhet för klientutvecklare och ger specifika auktoriseringsflöden för webbprogram, skrivbordsprogram och mobiltelefoner. Microsoft Entra ID använder OAuth 2.0 för att ge dig behörighet till mobil- och webbprogram. Mer information finns i Autentisering och auktorisering i Azure App Service.
Begränsa åtkomst baserat på roll
Det är absolut nödvändigt att begränsa åtkomsten för organisationer som vill tillämpa säkerhetsprinciper för dataåtkomst. Du kan använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att tilldela behörigheter till användare, grupper och program i ett visst omfång, till exempel behovet av att känna till och minsta möjliga behörighetssäkerhetsprinciper. Mer information om hur du ger användare åtkomst till program finns i Vad är rollbaserad åtkomstkontroll i Azure (Azure RBAC).
Skydda dina nycklar
Det spelar ingen roll hur bra din säkerhet är om du förlorar dina prenumerationsnycklar. Azure Key Vault hjälper till att bevara kryptografiska nycklar och hemligheter som används av molnprogram och molntjänster. Med Key Vault kan du kryptera nycklar och hemligheter (till exempel autentiseringsnycklar, lagringskontonycklar, datakrypteringsnycklar, . PFX-filer och lösenord) med hjälp av nycklar som skyddas av maskinvarusäkerhetsmoduler (HSM). För ytterligare säkerhet kan du importera eller generera nycklar i HSM-moduler. Du kan också använda Key Vault för att hantera dina TLS-certifikat med automatisk förnyelse. Mer information finns i Vad är Azure Key Vault ?
Begränsa inkommande käll-IP-adresser
App Service-miljön har en funktion för integrering av virtuella nätverk som hjälper dig att begränsa inkommande käll-IP-adresser via nätverkssäkerhetsgrupper (NSG:er). Om du inte känner till virtuella Azure-nätverk (VNET) är det här en funktion som gör att du kan placera många av dina Azure-resurser i ett icke-internetbaserat, dirigerbart nätverk som du styr åtkomsten till. Mer information finns i Integrera din app med ett virtuellt Azure-nätverk.
För App Service i Windows kan du också begränsa IP-adresser dynamiskt genom att konfigurera web.config. Mer information finns i Dynamisk IP-säkerhet.
Nästa steg
I den här artikeln beskrivs en samling metodtips för Säkerhet i App Service för att skydda dina PaaS-webb- och mobilprogram. Mer information om hur du skyddar dina PaaS-distributioner finns i: