Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Azure App Service, web uygulamaları, mobil uygulama arka uçları, RESTful API'leri ve işlev uygulamaları oluşturmanızı, dağıtmanızı ve ölçeklendirmenizi sağlayan bir hizmet olarak platform (PaaS) ortamı sağlar. Bu hizmeti dağıtırken uygulamalarınızı, verilerinizi ve altyapınızı korumak için en iyi güvenlik yöntemlerini izlemeniz önemlidir.
Bu makalede, Azure App Service dağıtımınızın güvenliğini en iyi şekilde sağlamaya yönelik yönergeler sağlanır.
Azure App Service, Azure sanal makineleri (VM' ler), depolama, ağ bağlantıları, web çerçeveleri ve yönetim ve tümleştirme özellikleri dahil olmak üzere platform bileşenlerinin güvenliğini etkin bir şekilde sağlar ve sağlamlaştırmaktadır. App Service, aşağıdakileri sağlamak için sürekli, sıkı uyumluluk denetimlerinden geçer:
- Her uygulama diğer Azure uygulamalarından ve kaynaklarından ayrılmıştır.
- VM'lerin ve çalışma zamanı yazılımının düzenli güncelleştirmeleri yeni bulunan güvenlik açıklarını giderir.
- Uygulamalar ve Azure SQL Veritabanı gibi diğer Azure kaynakları arasında gizli dizilerin ve bağlantı dizelerinin iletişimi, ağ sınırlarını aşmadan yalnızca Azure'da gerçekleşir. Depolanan gizli veriler her zaman şifrelenir.
- Karma Bağlantı gibi App Service bağlantı özellikleri üzerinden yapılan tüm iletişimler şifrelenir.
- Azure PowerShell, Azure CLI, Azure SDK'ları ve REST API'leri gibi uzaktan yönetim araçları aracılığıyla yapılan tüm bağlantılar şifrelenir.
- Sürekli tehdit yönetimi, altyapıyı ve platformu kötü amaçlı yazılımlara, dağıtılmış hizmet reddine (DDoS) ve ortadaki adam saldırılarına ve diğer tehditlere karşı korur.
Azure'da altyapı ve platform güvenliği hakkında daha fazla bilgi için bkz. Azure Güven Merkezi.
Ağ güvenliği
App Service, uygulamalarınızı kilitlemek ve yetkisiz erişimi önlemek için birçok ağ güvenlik özelliğini destekler.
Özel uç noktaları yapılandırma: Azure Özel Bağlantı'yı kullanarak trafiği sanal ağınız üzerinden App Service'inize yönlendirerek genel İnternet'e maruz kalma durumunu ortadan kaldırın ve özel ağlarınızdaki istemciler için güvenli bağlantı sağlayın. Bkz . Azure App Service için özel uç noktaları kullanma.
Azure Sanal Ağ Tümleştirmesini Uygulama: Uygulamanızın Azure sanal ağı içindeki veya Azure sanal ağı üzerinden kaynaklara erişmesini sağlarken genel internetten yalıtımını koruyarak çıkış trafiğinizi güvenceye alın. Bkz. Uygulamanızı Azure sanal ağıyla tümleştirme.
IP erişim kısıtlamalarını yapılandırma: Uygulamanıza erişebilecek IP adreslerinin ve alt ağların izin verdiği bir liste tanımlayarak uygulamanıza erişimi kısıtlayın ve diğer tüm trafiği engelleyin. Alt ağ maskeleri tarafından tanımlanan tek tek IP adreslerini veya aralıkları tanımlayabilir ve Windows uygulamalarındaki web.config dosyaları aracılığıyla dinamik IP kısıtlamaları yapılandırabilirsiniz. Bkz. Azure App Service erişim kısıtlamalarını ayarlama.
Hizmet uç noktası kısıtlamalarını ayarlama: Ağ düzeyinde filtreleme sağlamak için IP erişim kısıtlamalarıyla birlikte çalışan hizmet uç noktalarını kullanarak sanal ağlarınızdaki belirli alt ağlardan uygulamanıza gelen erişimi kilitleyin. Bkz. Azure App Service erişim kısıtlamaları.
Web Uygulaması Güvenlik Duvarı'nı kullanma: App Service'inizin önünde Web Uygulaması Güvenlik Duvarı özellikleriyle Azure Front Door veya Application Gateway uygulayarak yaygın web güvenlik açıklarına ve saldırılarına karşı korumayı geliştirin. Bkz. Azure Application Gateway'de Azure Web Uygulaması Güvenlik Duvarı.
Kimlik ve erişim yönetimi
Kimlikleri ve erişim denetimlerini düzgün bir şekilde yönetmek, Azure App Service dağıtımlarınızın yetkisiz kullanıma ve olası kimlik bilgisi hırsızlığına karşı güvenliğini sağlamak için gereklidir.
Giden istekler için yönetilen kimlikleri etkinleştirme: Yönetilen kimlikleri kullanarak kodunuzda veya yapılandırmanızda kimlik bilgilerini depolamadan uygulamanızdan Azure hizmetlerinde güvenli bir şekilde kimlik doğrulaması yaparak hizmet sorumlularını ve bağlantı dizelerini yönetme gereksinimini ortadan kaldırır. Yönetilen kimlikler, uygulamanızın Azure SQL Veritabanı, Azure Key Vault ve Azure Depolama gibi diğer Azure hizmetlerine giden istekler yaparken kullanması için Microsoft Entra Id'de otomatik olarak yönetilen bir kimlik sağlar. App Service hem sistem tarafından atanan hem de kullanıcı tarafından atanan yönetilen kimlikleri destekler. Bkz . App Service ve Azure İşlevleri için yönetilen kimlikleri kullanma.
Kimlik doğrulama ve yetkilendirmeyi yapılandırma: Uygulamanızın güvenliğini Microsoft Entra Id veya diğer kimlik sağlayıcılarıyla sağlamak için App Service Kimlik Doğrulaması/Yetkilendirmesi uygulayın ve özel kimlik doğrulama kodu yazmadan yetkisiz erişimi engelleyin. Yerleşik kimlik doğrulama modülü, web isteklerini uygulama kodunuzla geçirmeden önce işler ve Microsoft Entra ID, Microsoft hesapları, Facebook, Google ve X gibi birden çok sağlayıcıyı destekler. Bkz. Azure App Service'te kimlik doğrulaması ve yetkilendirme.
Yönetim işlemleri için rol tabanlı erişim denetimi uygulama: En düşük ayrıcalık ilkesini izleyerek kullanıcılara ve hizmet sorumlularına gerekli en düşük Azure RBAC izinlerini atayarak App Service kaynaklarınızı (yönetim düzlemi) kimlerin yönetebileceğini ve yapılandırabileceğini denetleyin. Bu, uygulama oluşturma, yapılandırma ayarlarını değiştirme ve dağıtımları yönetme gibi işlemlere uygulama düzeyinde kimlik doğrulaması (Kolay Kimlik Doğrulama) veya uygulamadan kaynağa kimlik doğrulamasından (yönetilen kimlikler) ayrı olarak yönetim erişimini denetler. Bkz. Azure yerleşik rolleri.
Adına kimlik doğrulaması uygulama: Kimlik doğrulama sağlayıcısı olarak Microsoft Entra Id kullanarak uzak kaynaklara kullanıcılar adına erişim yetkisi verin. App Service uygulamanız, Microsoft Graph veya uzak App Service API uygulamaları gibi hizmetlerde temsilcili oturum açma gerçekleştirebilir. Uçtan uca bir öğretici için bkz. Azure App Service'te kullanıcıların uçtan uca kimlik doğrulama ve yetkilendirme işlemleri.
Karşılıklı TLS kimlik doğrulamasını etkinleştirme: Uygulamanızın özellikle B2B senaryoları veya iç uygulamalar için istemci kimliğini doğrulaması gerektiğinde ek güvenlik için istemci sertifikaları gerektir. Bkz . Azure App Service için TLS karşılıklı kimlik doğrulamasını yapılandırma.
Veri koruma
Aktarımdaki ve bekleyen verileri korumak, uygulamalarınızın ve verilerinizin gizliliğini ve bütünlüğünü korumak için çok önemlidir.
HTTPS'yi zorunlu kılma: İstemciler ile uygulamanız arasındaki tüm iletişimin şifrelendiğinden emin olarak yalnızca HTTPS modunu etkinleştirerek tüm HTTP trafiğini HTTPS'ye yönlendirin. Varsayılan olarak, App Service, HTTP isteklerini HTTPS'ye yönlendirmeye zorlar ve uygulamanızın varsayılan etki alanı adı
<app_name>.azurewebsites.netüzerinden HTTPS ile zaten erişilebilir durumdadır. Bkz . Genel ayarları yapılandırma.TLS sürümünü yapılandırma: En düşük TLS sürümünü 1.2 veya üzeri bir sürüme yapılandırarak modern TLS protokollerini kullanın ve olası güvenlik açıklarını önlemek için eski, güvenli olmayan protokolleri devre dışı bırakın. App Service TLS 1.3 (en son), TLS 1.2 (varsayılan minimum) ve TLS 1.1/1.0'ı destekler (yalnızca geriye dönük uyumluluk için). Hem web uygulamanız hem de SCM siteniz için en düşük TLS sürümünü yapılandırın. Bkz . Genel ayarları yapılandırma.
TLS/SSL sertifikalarını yönetme: Güvenilir bağlantılar kurmak için düzgün yapılandırılmış TLS/SSL sertifikaları kullanarak özel etki alanlarının güvenliğini sağlayın. App Service birden çok sertifika türünü destekler: ücretsiz App Service tarafından yönetilen sertifikalar, App Service sertifikaları, üçüncü taraf sertifikaları ve Azure Key Vault'tan içeri aktarılan sertifikalar. Özel bir etki alanı yapılandırıyorsanız, tarayıcıların güvenli HTTPS bağlantıları yapabilmesi için bunu bir TLS/SSL sertifikasıyla güvenli hale getirin. Bkz. Azure App Service'te TLS/SSL sertifikaları ekleme ve yönetme.
Gizli dizileri Key Vault'ta depolama: Veritabanı kimlik bilgileri, API belirteçleri ve özel anahtarlar gibi hassas yapılandırma değerlerini, bunları uygulama ayarlarında veya kodda depolamak yerine Azure Key Vault'ta depolayarak ve yönetilen kimlikleri kullanarak erişerek koruyun. App Service uygulamanız, yönetilen kimlik kimlik doğrulaması kullanarak Key Vault'a güvenli bir şekilde erişebilir. Bkz. App Service ve Azure İşlevleri için Key Vault başvurularını kullanma.
Uygulama ayarlarını şifrele: Gizli dizileri kod veya yapılandırma dosyalarında depolamak yerine şifrelenmiş uygulama ayarlarını ve bağlantı dizelerini kullanın. App Service bu değerleri Azure'da depolar ve uygulama başlatıldığında uygulamanızın işlem belleğine eklemeden hemen önce şifrelerini çözer ve şifreleme anahtarları düzenli olarak döndürülür. Programlama diliniz için standart desenleri kullanarak bu değerlere ortam değişkenleri olarak erişin. Bkz . Uygulama ayarlarını yapılandırma.
Güvenli uzak bağlantılar: Arka uç kaynağı şifrelenmemiş bağlantılara izin veriyor olsa bile uzak kaynaklara erişirken her zaman şifreli bağlantılar kullanın. Azure SQL Veritabanı ve Azure Depolama gibi Azure kaynakları için bağlantılar Azure içinde kalır ve ağ sınırlarını aşmaz. Sanal ağ kaynakları için noktadan siteye VPN ile sanal ağ tümleştirmesini kullanın. Şirket içi kaynaklar için TLS 1.2 ile karma bağlantıları veya siteden siteye VPN ile sanal ağ tümleştirmesini kullanın. Uygulamanızdan yalnızca en az sayıda IP adresine izin vermesi için arka uç Azure hizmetlerini yapılandırın. Bkz . Giden IP'leri bulma.
Kayıt ve izleme
Kapsamlı günlük kaydı ve izleme uygulamak, olası güvenlik tehditlerini algılamak ve Azure App Service dağıtımınızla ilgili sorunları gidermek için gereklidir.
Tanılama günlüğünü etkinleştirme: Güvenlik sorunlarını belirlemek ve sorunları gidermek için Uygulama hatalarını, web sunucusu günlüklerini, başarısız istek izlemelerini ve ayrıntılı hata iletilerini izlemek için Azure App Service tanılama günlüklerini yapılandırın. Bkz . Azure App Service'te uygulamalar için tanılama günlüğünü etkinleştirme.
Azure İzleyici ile tümleştirme: Güvenlik olayları ve performans sorunları için kapsamlı izleme ve uyarı sağlayarak App Service'inizden günlükleri ve ölçümleri toplamak ve analiz etmek için Azure İzleyici'yi ayarlayın. Bkz. Azure App Service'te uygulamaları izleme.
Application Insights'ı yapılandırma: Gerçek zamanlı izleme ve analiz özellikleriyle uygulama performansı, kullanım desenleri ve olası güvenlik sorunları hakkında ayrıntılı içgörüler elde etmek için Application Insights'ı uygulayın. Bkz. Azure App Service performansını izleme.
Güvenlik uyarıları ayarlama: App Service kaynaklarınızı etkileyen anormal kullanım düzenleri, olası güvenlik ihlalleri veya hizmet kesintileri hakkında sizi bilgilendirmek için özel uyarılar oluşturun. Bkz. Azure İzleyici'yi kullanarak ölçüm uyarıları oluşturma, görüntüleme ve yönetme.
Sistem durumu denetimlerini etkinleştirme: Uygulamanızın çalışma durumunu izlemek ve mümkün olduğunda sorunları otomatik olarak düzeltmek için sistem durumu denetimlerini yapılandırın. Bkz. Sistem Durumu denetimini kullanarak App Service örneklerini izleme.
Uyumluluk ve idare
Azure App Service uygulamalarının güvenli çalışması için uygun idarenin oluşturulması ve ilgili standartlara uyumluluğun sağlanması çok önemlidir.
Azure İlkesi uygulama: Uyumluluk gereksinimlerini denetleyerek ve uygulayan Azure İlkesi tanımları oluşturup atayarak App Service dağıtımlarınız için kuruluş genelinde güvenlik standartlarını zorunlu kılın. Bkz. Azure App Service için Azure İlkesi Mevzuat Uyumluluğu denetimleri.
Güvenlik önerilerini gözden geçirin: Güvenlik açıklarını ve yanlış yapılandırmaları belirlemek ve düzeltmek için Bulut için Microsoft Defender'ı kullanarak App Service güvenlik duruşunuzu düzenli olarak değerlendirin. Bkz. Azure App Service web uygulamalarınızı ve API'lerinizi koruma.
Güvenlik değerlendirmeleri gerçekleştirme: Olası güvenlik açıklarını ve güvenlik açıklarını belirlemek için App Service uygulamalarınızda düzenli güvenlik değerlendirmeleri ve sızma testi gerçekleştirin. Bkz. Microsoft bulut güvenliği karşılaştırması.
Mevzuat uyumluluğunu koruma: App Service dağıtımlarınızı, özellikle veri koruma ve gizlilikle ilgili olarak sektörünüz ve bölgeniz için geçerli mevzuat gereksinimlerine uygun olarak yapılandırın. Bkz. Azure uyumluluk belgeleri.
Güvenli DevOps uygulamaları uygulama: Uygulamaları App Service'e dağıtmak için kod tarama, bağımlılık denetimleri ve otomatik güvenlik testi gibi güvenli CI/CD işlem hatları oluşturun. Bkz. Azure'da DevSecOps.
Yedekleme ve kurtarma
Azure App Service dağıtımlarınızda iş sürekliliğini ve veri korumasını sağlamak için sağlam yedekleme ve kurtarma mekanizmaları uygulamak çok önemlidir.
Otomatik yedeklemeleri etkinleştirme: Yanlışlıkla silme, bozulma veya diğer hatalarda uygulamalarınızı ve verilerinizi kurtarabileceğinizden emin olmak için App Service uygulamalarınız için zamanlanmış yedeklemeleri yapılandırın. Bkz. Azure App Service'te uygulamanızı yedekleme ve geri yükleme.
Yedekleme saklamayı yapılandırma: İş gereksinimlerinize ve uyumluluk gereksinimlerinize göre yedeklemeleriniz için uygun saklama sürelerini ayarlayarak kritik verilerin gerekli süre boyunca korunmasını sağlayın. Bkz. Azure App Service'te uygulamanızı yedekleme ve geri yükleme.
Çok bölgeli dağıtımları uygulama: Bölgesel kesintiler durumunda yüksek kullanılabilirlik ve olağanüstü durum kurtarma özellikleri sağlamak için kritik uygulamalarınızı birden çok bölgeye dağıtın. Bakınız Eğitim: App Service'te yüksek erişilebilirliğe sahip çok bölgeli bir uygulama oluşturma.
Yedekleme geri yüklemesini test etme: Yedeklemelerin geçerli olduğundan ve gerektiğinde başarıyla geri yüklendiğinden emin olmak için yedekleme geri yükleme işleminizi düzenli olarak test edin ve hem uygulama işlevselliğini hem de veri bütünlüğünü doğrulayın. Bkz. Bir uygulamayı yedekten geri yükleme.
Belge kurtarma yordamları: Hizmet kesintileri veya olağanüstü durumlar sırasında hızlı ve etkili yanıt sağlamak amacıyla kurtarma yordamları için kapsamlı belgeler oluşturun ve bunları koruyun.
Hizmete özgü güvenlik
Azure App Service'in, web uygulamalarınızın genel güvenliğini sağlamak için dikkat edilmesi gereken benzersiz güvenlik konuları vardır.
Temel kimlik doğrulamasını devre dışı bırakma: Gelişmiş güvenlikle OAuth 2.0 belirteç tabanlı kimlik doğrulaması sağlayan Microsoft Entra ID tabanlı kimlik doğrulamasının yerine FTP ve SCM uç noktaları için temel kullanıcı adı ve parola kimlik doğrulamasını devre dışı bırakın. Bkz. Azure App Service dağıtımlarında temel kimlik doğrulamayı devre dışı bırakma.
Güvenli FTP/FTPS dağıtımları: Kimlik bilgilerinin ve içeriğin düz metin olarak aktarılmasını önlemek için dağıtımlar için FTP kullanırken FTP erişimini devre dışı bırakın veya yalnızca FTPS modunu zorunlu kılın. Yeni uygulamalar varsayılan olarak yalnızca FTPS'yi kabul etmek üzere ayarlanır. Bkz . FTP/S kullanarak uygulamanızı Azure App Service'e dağıtma.
Tam ağ yalıtımı elde edin: Uygulamalarınızı kendi Azure Sanal Ağ örneğinizde ayrılmış bir App Service Ortamı içinde çalıştırmak için App Service Ortamı'nı kullanın. Bu, ayrılmış genel uç noktalara sahip paylaşılan altyapıdan tam ağ yalıtımı, yalnızca iç erişim için iç yük dengeleyici (ILB) seçenekleri ve kurumsal düzeyde koruma için web uygulaması güvenlik duvarı arkasında ILB kullanma olanağı sağlar. Bkz. Azure App Service Ortamlarına Giriş.
DDoS koruması uygulama: Yeni ortaya çıkan DDoS saldırılarına karşı koruma sağlamak için Web Uygulaması Güvenlik Duvarı (WAF) ve Azure DDoS koruması kullanın. Ağ düzeyinde DDoS saldırılarına karşı platform düzeyinde koruma için WAF ile Azure Front Door dağıtın. Bkz. Azure DDoS Koruması ve WAF ile Azure Front Door.