Aracılığıyla paylaş

Azure Spring Apps giriş bölgesi hızlandırıcısı için kimlik ve erişim yönetimi

  • Makale

Bu makalede, Azure Spring Apps'te kullanıcıların kimliğini doğrulamak ve kullanıcılara iş yükü kaynaklarına gerekli erişim düzeyini vermek için tasarımla ilgili önemli noktalar ve öneriler açıklanmaktadır.

Merkezi platform ekibi ve uygulama ekiplerinin aşağıdakiler hakkında iyi bir anlayışa sahip olması gerekir:

  • Hangi ekiplerin uygulama giriş bölgesine dağıtılan Azure Spring uygulama iş yüküne erişmesi gerekir.
  • Kullanıcıların ve erişime ihtiyacı olan kişilerin rolleri ve sorumluluğu.
  • Bu sorumlulukları yerine getirmek için gereken en düşük ayrıcalık düzeyi.

Platform tasarımı hakkında bilgi için bkz . Azure kimlik ve erişim yönetimi tasarım alanı.

İş yükü sahibi olarak, uygulama kaynaklarının kurumsal güvenlik veya idare sınırlarını ihlal etmediğinden emin olmak için bu en iyi yöntemleri izleyin. Amaç, dağıtılan Azure Spring uygulamasının ve iş yükünün ilgili kaynaklarının güvenli ve yalnızca yetkili kullanıcılar tarafından erişilebilir olmasını sağlamaktır. Bu uygulamaları izlediğinizde hassas verileri korur ve uygulamanın ve kaynaklarının kötüye kullanılmasını önlersiniz.

Tasarımla ilgili dikkat edilecek noktalar

  • Uygulamadan diğer hizmetlere erişim. Uygulama, iş yükünün parçası olan arka uç hizmetlerine bağlandığında kimliğini doğrulamalıdır. Bu kimlik doğrulaması, hizmetleri yetkisiz erişime karşı korur. Kimlik bilgilerini depolama ve yönetme ek yükünü önlemek için Microsoft Entra ID özelliklerini kullanmayı göz önünde bulundurun.

  • Uygulamaya erişim. Kullanıcılar genel İnternet üzerinden uygulamaya istek gönderebilir. Veya istekler özel ağlardan veya şirket içi ağlardan gelebilir. Her iki durumda da, erişimin kimliğinin istemci sertifikalarına göre veya Microsoft Entra Kimliği aracılığıyla doğrulanması gerekir.

    Uygulamalar arasında çağrıları çağıran hizmet bulma mekanizmasının teknoloji seçeneklerini göz önünde bulundurun. Seçenekler Azure Spring Apps katmanına göre değişir.

  • Kaynaklara işleç erişimi. Farklı sorumluluklara sahip ekip üyeleri iş yükünüze erişebilir. Örneğin, aşağıdakilere erişim vermeniz gerekebilir:

    • operasyonel erişime ihtiyacı olan platform ekibi üyeleri.
    • Uygulama geliştiren uygulama ekibi üyeleri.
    • İş yükünü dağıtmak ve kod olarak altyapı (IaC) kullanarak yapılandırmak için işlem hatları derleyen ve yayınlayan DevOps mühendisleri.
    • Sorunları gidermek için site güvenilirliği mühendisleri.

    Erişim amacına bağlı olarak, kullanıcıya sağlamak istediğiniz denetim düzeyine karar verin. En az ayrıcalık ilkesiyle başlayın. RBAC rol atamaları, kullanıcıların sorumlulukları için doğru ayrıcalık kümesine sahip olmasını ve sınırları korumasını sağlayabilir. Özel roller oluşturmadan önce yerleşik RBAC rollerini göz önünde bulundurun.

  • Yapılandırma verileri erişimi. Azure Spring Apps (Temel/Standart veya Kurumsal) için seçtiğiniz katmana bağlı olarak yapılandırma sunucusu seçeneklerine karar vermeniz gerekir.

    Temel için sunucu ve istemci tarafı desteğini göz önünde bulundurun. Yapılandırma sunucusu dosyalarınızı depolamak için Azure DevOps, GitHub, GitLab veya Bitbucket gibi dağıtılmış bir sistemde harici bir yapılandırma seçin.

    Genel veya özel depoları kullanabilir ve bunların kimlik doğrulama mekanizmasını seçebilirsiniz. Azure Spring Apps, temel parola veya belirteç tabanlı kimlik doğrulamasını ve SSH'yi destekler.

    Enterprise için, bir veya daha fazla Git deposunda tanımlanan özelliklerden doldurulan Kubernetes-native ConfigMap kaynaklarının yönetimini sağlayan VMware Tanzu için Uygulama Yapılandırma Hizmeti'ni kullanmayı göz önünde bulundurun.

Tasarım önerileri

Yönetilen kimlikler

Uygulama için yönetilen kimlikleri kullanarak Microsoft Entra Id aracılığıyla kimlik doğrulaması yapın. Tüm hizmetler Microsoft Entra ID'nin bu özelliğini desteklemez. Daha fazla bilgi için bkz . Microsoft Entra kimlik doğrulamasını destekleyen Azure hizmetleri.

Hangi yönetilen kimlik türünün kullanım örneğine uygun olduğuna karar verin. Dengeleri yönetim kolaylığıyla göz önünde bulundurun. Örneğin, uygulamanın birden çok kaynağa erişmesi gerekiyorsa, kullanıcı tarafından atanan yönetilen kimlikler önerilir. Ancak uygulama yaşam döngüsüne bağlı izinler istiyorsanız sistem tarafından yönetilen kimlikler daha uygun olabilir.

Daha fazla bilgi için bkz . Sistem veya kullanıcı tarafından atanan yönetilen kimlikleri seçme.

Yönetilen kimlik için gerekli izinlerin yönetimini basitleştirmek için yerleşik Azure RBAC rollerini kullanın.

  • Azure Spring Apps için kendi yönetilen kimliğinizi kullanın.
  • Sistem tarafından atanan ve kullanıcı tarafından atanan yönetilen kimlikleri ayrı ayrı kullanın. Daha fazla bilgi için bkz . Yönetilen kimlikleri kullanırken en iyi yöntemler.
  • Microsoft Entra Id'de Privileged Identity Management kullanın.

Güvenli internet iletişimi

  • Sertifika yetkilisi tarafından verilen sertifikaları, genişletilmiş doğrulama sertifikalarını veya joker sertifikaları kullanın.
  • Otomatik olarak imzalanan sertifikayı yalnızca üretim öncesi ortamlar için kullanın.
  • Azure Key Vault'tan sertifikaları güvenli bir şekilde yükleyin.

Rol tabanlı erişim denetimi (RBAC)

  • Özel roller oluşturmayı göz önünde bulundurun. İlk çalıştırma rolleri mevcut izinlerde değişiklik gerektirdiğinde en az ayrıcalık ilkesini izleyin.
  • Anahtarlar, gizli diziler, sertifikalar ve uygulama yapılandırması için gelişmiş güvenlik depolama alanı seçin.
  • Otomatik dağıtım için CI/CD işlem hattından dağıtmak için gereken en düşük izinlere sahip bir hizmet sorumlusu ayarlayın.
  • Uygulama konsolu, sistem günlükleri, giriş günlükleri, derleme günlükleri ve kapsayıcı olay günlükleri için tanılama günlüğünü etkinleştirin. Uygulamanızla ilgili sorunları tanılamak ve erişim isteklerini izlemek için bu ayrıntılı günlükleri kullanabilirsiniz. Bu günlükleri etkinleştirdiğinizde, Azure İzleyici etkinlik günlüğü abonelik düzeyindeki olaylar hakkında içgörü sağlar.

Sonraki adımlar

Ağ topolojisi ve bağlantı