Aspekty zabezpečení akcelerátoru cílových zón Azure Integration Services
Dobré zabezpečení je základním kamenem každé aplikace Azure. Integrační služby Azure čelí určité výzvě, protože existuje mnoho prostředků, které tvoří aplikaci, a každý z těchto prostředků má své vlastní aspekty zabezpečení. Abyste měli jistotu, že rozumíte konkrétním aspektům jednotlivých služeb, projděte si následující standardní hodnoty zabezpečení:
Aspekty návrhu
Při navrhování modelu zabezpečení existují dvě různé oblasti návrhu: zabezpečení v době návrhu a zabezpečení za běhu.
Zabezpečení v době návrhu zahrnuje přístup ke správě a vytváření prostředků Azure prostřednictvím webu Azure Portal nebo rozhraní API pro správu. V Azure k tomu používáme ID Microsoft Entra a řízení přístupu na základě role (RBAC).
Zabezpečení za běhu zahrnuje přístup ke koncovým bodům a prostředkům během toku aplikace – například ověřování a autorizace uživatele, který volá aplikaci logiky nebo operaci rozhraní API ve službě API Management.
Rozhodněte se brzy, pokud potřebujete:
Privátní cloud – všechny vaše prostředky se nacházejí ve virtuální síti a používají pouze privátní adresování, bez přístupu k veřejnému internetu nebo z veřejného internetu, potenciálně dostupné pro vaše místní prostředky prostřednictvím sítě VPN nebo ExpressRoute.
Veřejný cloud – všechny vaše veřejně přístupné prostředky mají přístup k veřejnému internetu, i když je uzamčený, aby se omezil přístup z veřejného internetu.
Hybridní – některé prostředky jsou soukromé a některé jsou veřejné.
Volba, kterou provedete, bude mít vliv na náklady na vaše prostředky spolu s tím, kolik zabezpečení můžete implementovat pro své aplikace.
Mezi obecné aspekty zabezpečení patří:
Použití služeb Azure k ochraně příchozího a výchozího provozu
Použití Microsoft Entra ID a OAuth 2.0 ke správě ověřování.
Vynucování zásad správného řízení pomocí Služby Azure Policy
Uzamčení přístupu k prostředkům (řízení přístupu)
Šifrování přenášených i neaktivních uložených dat
Protokolování všech pokusů o přístup k prostředkům
Auditování přístupu k prostředkům
Doporučení k návrhu
Doporučení k návrhu sítě
Podívejte se na použití služby Application Gateway (Aplikace Azure Gateway nebo Azure Front Door) s firewallem webových aplikací (WAF) před dostupnými koncovými body. Pomůže vám to s automatickým šifrováním dat a umožní vám snadněji monitorovat a konfigurovat koncové body.
Front Door je síť pro doručování aplikací, která poskytuje globální službu vyrovnávání zatížení a akcelerace webu pro webové aplikace. Front Door nabízí funkce vrstvy 7, jako je přesměrování zpracování SSL, směrování založené na cestě, rychlé převzetí služeb při selhání a ukládání do mezipaměti, aby se zlepšil výkon a dostupnost vašich aplikací.
Traffic Manager je nástroj pro vyrovnávání zatížení provozu založený na DNS, který umožňuje optimálně distribuovat provoz do služeb napříč globálními oblastmi Azure a zároveň poskytuje vysokou dostupnost a rychlost odezvy. Vzhledem k tomu, že Traffic Manager je služba vyrovnávání zatížení založená na DNS, vyrovnává zatížení pouze na úrovni domény. Z tohoto důvodu nemůže převzít služby při selhání tak rychle jako Služba Front Door kvůli běžným problémům souvisejícím s ukládáním do mezipaměti DNS a systémy, které nedotknou hodnoty TTL DNS.
Application Gateway poskytuje kontroler doručování spravovaných aplikací s různými možnostmi vyrovnávání zatížení vrstvy 7. Službu Application Gateway můžete použít k optimalizaci produktivity webové farmy tím, že na bránu přesměrujete ukončení protokolu SSL náročného na procesor.
Azure Load Balancer je vysoce výkonná, ultra-nízká latence vrstvy 4 příchozí a odchozí služby vyrovnávání zatížení pro všechny protokoly UDP a TCP. Load Balancer zpracovává miliony požadavků za sekundu. Load Balancer je zónově redundantní a zajišťuje vysokou dostupnost napříč Zóny dostupnosti.
Implementujte izolaci sítě pro prostředky integračních služeb pomocí integrace virtuální sítě, která je umístí do izolované podsítě v kombinaci s využitím privátního propojení Azure a privátních koncových bodů. Projděte si článek Topologie sítě a možnosti připojení v této sérii, kde najdete pokyny k návrhu.
Ochrana výchozího provozu pomocí služby Azure Firewall
Filtrování IP adres použijte k uzamčení koncových bodů, aby k nim měly přístup jenom známé síťové adresy (to platí pro aplikace logiky, které nejsou integrované do virtuálních sítí).
Pokud máte veřejně dostupné prostředky, pomocí obfuskace DNS odstrašte všechny útočníky; Obfuskace znamená buď vlastní názvy domén, nebo konkrétní názvy prostředků Azure, které nezobrazují účel ani vlastníka prostředku.
Doporučení k návrhu šifrování
Při ukládání dat (například ve službě Azure Storage nebo Azure SQL Serveru) vždy povolte šifrování neaktivních uložených dat. Zamkněte přístup k datům, ideálně jenom ke službám a omezenému počtu správců. Mějte na paměti, že to platí i pro data protokolů. Další informace najdete v tématu Šifrování neaktivních uložených dat Azure a přehled šifrování Azure.
Při přenosu dat mezi prostředky vždy používejte šifrování při přenosu (například přenos TLS), nikdy neodesílejte data přes nešifrovaný kanál.
Při použití protokolů TLS vždy používejte protokol TLS 1.2 nebo vyšší.
Uchovávejte tajné kódy ve službě Azure Key Vault a pak je propojte s Nastavení aplikací (Functions, Logic Apps), pojmenovanými hodnotami (API Management) nebo položkami konfigurace (Konfigurace aplikace).
Implementujte zásady obměna klíčů, abyste zajistili, že se všechny klíče používané ve vašem prostředí pravidelně obměňují, aby se zabránilo útokům, které využívají ohrožené klíče.
V případě aplikace logiky použijte obfuskaci k zabezpečení dat v historii spuštění.
Doporučení k návrhu ověřování a přístupu
Při přiřazování přístupu vždy dodržujte princip nejnižší úrovně oprávnění: Dejte identitě minimální oprávnění, která potřebuje. Někdy to bude zahrnovat vytvoření vlastní role Microsoft Entra. Pokud neexistuje předdefinovaná role s minimálními potřebnými oprávněními, zvažte vytvoření vlastní role pouze s těmito oprávněními.
Kdykoli je to možné, vždy používejte spravované identity , když prostředek potřebuje přístup ke službě. Pokud například pracovní postup aplikace logiky potřebuje přístup ke službě Key Vault pro načtení tajného kódu, použijte k tomu spravovanou identitu vaší aplikace logiky. Spravované identity poskytují bezpečnější a jednodušší správu mechanismu pro přístup k prostředkům, protože Azure spravuje identitu vaším jménem.
Jako ověřovací mechanismus mezi koncovými body prostředků použijte OAuth 2.0 :
V Logic Apps nebo Functions povolte Easy Auth, který vyžaduje, aby všichni externí volající používali identitu OAuth (obvykle Microsoft Entra ID, ale může to být jakýkoli zprostředkovatel identity).
Ve službě API Management použijte element zásad jwt-validation k vyžadování toku OAuth pro připojení ke koncovým bodům.
V Azure Storage a Key Vaultu nastavte zásady přístupu, které omezují přístup ke konkrétním identitám.
Doporučení k návrhu zásad správného řízení
Aktivně využijte Azure Policy k vyhledání problémů se zabezpečením nebo chyb. Například koncové body bez filtrování IP adres.
Tam, kde je k dispozici, použijte Microsoft Defender for Cloud ke kontrole vašich prostředků a identifikaci potenciálních slabých míst.
Pravidelně kontrolujte protokoly auditu (ideálně pomocí automatizovaného nástroje), abyste identifikovali jak útoky na zabezpečení, tak jakýkoli neoprávněný přístup k vašim prostředkům.
Zvažte použití penetračního testování k identifikaci jakýchkoli slabých stránek v návrhu zabezpečení.
Ke konfiguraci zabezpečení použijte automatizované procesy nasazení. Pokud je to možné, použijte kanál CI/CD, jako je Azure DevOps s Terraformem, a nasaďte nejen prostředky, ale také ke konfiguraci zabezpečení. Tím zajistíte, že vaše prostředky budou automaticky chráněny při každém nasazení.
Další krok
Projděte si důležité oblasti návrhu a projděte si kompletní aspekty a doporučení pro vaši architekturu.