Aracılığıyla paylaş

App Service giriş bölgesi hızlandırıcısı için kimlik ve erişim yönetimiyle ilgili dikkat edilmesi gerekenler

  • Makale

Bu makalede, Azure Uygulaması Hizmeti giriş bölgesi hızlandırıcısını kullanırken uygulayabileceğiniz kimlik ve erişim yönetimine yönelik tasarım konuları ve öneriler sağlanmaktadır. Kimlik doğrulaması ve uygulama yapılandırması, bu makalede ele alınacak önemli noktalardan bazılarıdır.

Kimlik ve erişim yönetimi tasarım alanı hakkında daha fazla bilgi edinin.

Tasarımla ilgili dikkat edilecek noktalar

App Service çözümünü dağıtmak için giriş bölgesi hızlandırıcısını kullandığınızda, önemli kimlik ve erişim yönetimiyle ilgili bazı önemli noktalar vardır:

  • Uygulama ve verileri için gereken güvenlik ve yalıtım düzeyini belirleyin. Genel erişim, uygulama URL'sine sahip herkesin uygulamaya erişmesine izin verirken, özel erişim erişimi yalnızca yetkili kullanıcılar ve ağlarla kısıtlar.
  • App Service çözümünüz için gereken kimlik doğrulama ve yetkilendirme türünü belirleyin: anonim, şirket içi kullanıcılar, sosyal hesaplar, diğer kimlik sağlayıcısı veya bu türlerin bir bileşimi.
  • App Service çözümünüz Microsoft Entra Id ile korunan arka uç kaynaklarına bağlandığında sistem tarafından atanan veya kullanıcı tarafından atanan yönetilen kimliklerin kullanılıp kullanılmayacağını belirleyin.
  • İlk çalıştırma rolleri mevcut izinlerde değişiklik gerektirdiğinde en az ayrıcalık ilkesini izleyerek özel roller oluşturmayı göz önünde bulundurun.
  • Anahtarlar, gizli diziler, sertifikalar ve uygulama yapılandırması için gelişmiş güvenlik depolama alanı seçin.
    • Uygulamalar, mikro hizmetler ve sunucusuz uygulamalar arasında parola, gizli dizi veya anahtar olmayan yaygın yapılandırma değerlerini paylaşmak için uygulama yapılandırmasını kullanın.
    • Azure Key Vault'a bakın. Parolaların, bağlantı dizesi, anahtarların, gizli dizilerin ve sertifikaların gelişmiş güvenlik depolaması sağlar. Gizli dizilerinizi depolamak ve ardından App Service yönetilen kimliği aracılığıyla App Service uygulamanızdan bunlara erişmek için Key Vault'ı kullanabilirsiniz. Bunu yaparak, gerektiğinde uygulamanızdan erişim sağlamaya devam ederken gizli dizilerinizi güvende tutmaya yardımcı olabilirsiniz.

Tasarım önerileri

App Service dağıtımlarınıza aşağıdaki en iyi yöntemleri eklemelisiniz:

  • App Service çözümü kimlik doğrulaması gerektiriyorsa:
    • App Service çözümünün tamamına erişimin kimliği doğrulanmış kullanıcılarla sınırlandırılması gerekiyorsa anonim erişimi devre dışı bırakın.
    • Kendi kimlik doğrulama ve yetkilendirme kodunuzu yazmak yerine App Service'in yerleşik kimlik doğrulama ve yetkilendirme özelliklerini kullanın.
    • Ayrı yuvalar veya ortamlar için ayrı uygulama kayıtları kullanın.
    • App Service çözümü yalnızca iç kullanıcılara yönelikse, daha fazla güvenlik için istemci sertifikası kimlik doğrulamasını kullanın.
    • App Service çözümü dış kullanıcılara yönelikse, sosyal hesaplarda ve Microsoft Entra hesaplarında kimlik doğrulaması yapmak için Azure AD B2C kullanın.
  • Mümkün olduğunda Azure yerleşik rollerini kullanın. Bu roller, salt okunur erişime ihtiyaç duyan kullanıcılar için Okuyucu rolü ve kaynakları oluşturup yönetebilmesi gereken kullanıcılar için Katkıda Bulunan rolü gibi belirli senaryolar için yaygın olarak gereken bir dizi izin sağlamak üzere tasarlanmıştır.
    • Yerleşik roller gereksinimlerinizi karşılamıyorsa, bir veya daha fazla yerleşik roldeki izinleri birleştirerek özel roller oluşturabilirsiniz. Bunu yaparak, en az ayrıcalık ilkesine uyarken kullanıcılarınızın ihtiyaç duyduğu tam izin kümesini verilmektedir.
    • App Service kaynaklarınızın güvenlik ilkelerinize uygun olarak kullanıldığından emin olmak için düzenli olarak izleyin. Bunu yapmak, yetkisiz erişimi veya değişiklikleri belirlemenize ve uygun eylemleri gerçekleştirmenize yardımcı olabilir.
  • Kullanıcılara, gruplara ve hizmetlere izin atarken en az ayrıcalık ilkesini kullanın. Bu ilke, yalnızca belirli bir görevi gerçekleştirmek için gereken en düşük izinleri vermenizi ve artık vermeyebileceğinizi belirtir. Bu kılavuzu takip etmek, kaynaklarınızda yanlışlıkla veya kötü amaçlı değişiklik riskini azaltmanıza yardımcı olabilir.
  • Microsoft Entra Id ile korunan gelişmiş güvenlik ve arka uç kaynaklarıyla erişmek için sistem tarafından atanan yönetilen kimlikleri kullanın. Bunu yaptığınızda App Service çözümünün hangi kaynaklara erişimi olduğunu ve bu kaynaklar için hangi izinlere sahip olduğunu denetleyebilirsiniz.
  • Otomatik dağıtım için CI/CD işlem hattından dağıtmak için gereken en düşük izinlere sahip bir hizmet sorumlusu ayarlayın.
  • App Service için tanılama günlüğü AppServiceHTTPLogs erişim günlüklerini etkinleştirin. Uygulamanızla ilgili sorunları tanılamak ve erişim isteklerini izlemek için bu ayrıntılı günlükleri kullanabilirsiniz. Bu günlüklerin etkinleştirilmesi, abonelik düzeyindeki olaylar hakkında içgörü sağlayan bir Azure İzleyici etkinlik günlüğü de sağlar.
  • App Service için Azure güvenlik temelinin Kimlik yönetimi ve Ayrıcalıklı erişim bölümlerinde açıklanan önerileri izleyin.

Giriş bölgesi hızlandırıcısı için kimlik ve erişim yönetiminin amacı, dağıtılan uygulamanın ve ilişkili kaynaklarının güvenli olduğundan ve yalnızca yetkili kullanıcılar tarafından erişilebildiğinden emin olmanıza yardımcı olmaktır. Bunu yapmak, hassas verileri korumanıza ve uygulamanın ve kaynaklarının kötüye kullanılmasını önlemenize yardımcı olabilir.