Consideraciones de seguridad del acelerador de zonas de aterrizaje de Azure App Service
En este artículo se proporcionan consideraciones y recomendaciones de diseño para la seguridad que puede aplicar al usar el acelerador de zonas de aterrizaje de Azure App Service. La seguridad de los secretos de aplicación, el aislamiento de red y el examen de vulnerabilidades son algunas de las consideraciones que se tratan en este artículo.
Más información sobre el área de diseño de seguridad.
Consideraciones de diseño
Al prepararse para una implementación de App Service, tenga en cuenta estas consideraciones:
Requisitos: revise los requisitos de seguridad para determinar si permiten que las aplicaciones web se ejecuten en una infraestructura de red compartida o si es necesario el aislamiento total de red o máquina virtual disponible en una instancia de App Service Environment.
Autenticación y autorización: debe configurar correctamente la autenticación y autorización de la solución de App Service para asegurarse de que solo los usuarios autorizados tengan acceso a la aplicación y sus recursos. Puede hacerlo mediante Microsoft Entra ID, que proporciona una solución escalable y de seguridad mejorada para administrar identidades de usuario y acceso a la aplicación.
Seguridad de red: App Service incluye varias características integradas para ayudar a proteger la aplicación y sus recursos frente a ataques basados en red. Estas características incluyen compatibilidad con SSL/TLS, reglas de firewall de IP y protección contra denegación de servicio distribuido (DDoS). Debe configurar correctamente estas características para asegurarse de que la aplicación está protegida frente a amenazas externas.
Seguridad de la aplicación: debe asegurarse de que la propia aplicación es segura y que incorpora procedimientos recomendados para proteger los datos confidenciales y evitar vulnerabilidades comunes, como la inyección de código SQL y el scripting entre sitios (XSS). Puede lograr este objetivo mediante una combinación de procedimientos de codificación seguros, pruebas de seguridad periódicas y el uso de herramientas como Azure Security Center para supervisar posibles amenazas.
Seguridad de datos: también debe proteger correctamente los datos almacenados y procesados por la aplicación. Puede obtener un nivel de protección para los datos mediante servicios de Azure como Azure Key Vault, que proporciona almacenamiento de seguridad mejorada para datos confidenciales, como claves criptográficas y contraseñas. También debe cifrar los datos en tránsito y en reposo, y realizar copias de seguridad y probar periódicamente los procesos de recuperación de datos.
Los siguientes procedimientos recomendados para la autenticación y autorización y la seguridad de red, las aplicaciones y los datos pueden ayudarle a garantizar que la aplicación y sus recursos estén protegidos frente a posibles amenazas.
Recomendaciones de diseño
A medida que se prepare para la implementación de App Service, tenga en cuenta estas recomendaciones:
- Almacene los secretos de aplicación (credenciales de bases de datos, tokens de API y claves privadas) en Key Vault y configure la aplicación de App Service para acceder a ellos con una identidad administrada. Para determinar cuándo usar Key Vault y cuándo Azure App Configuration, vea Configuración y seguridad centralizadas de aplicaciones.
- Habilite el uso compartido de recursos entre orígenes (CORS) en App Services o mediante utilidades de CORS propias. CORS especifica los orígenes desde los que los exploradores de usuario deben permitir la carga de recursos.
- Al implementar una aplicación web contenedorizada en App Services, habilite Azure Defender para registros de contenedor a fin de buscar automáticamente vulnerabilidades en las imágenes.
- Habilite Azure Defender para App Service a fin de evaluar la seguridad de las aplicaciones web, detectar amenazas y recibir alertas cuando se detecten posibles amenazas para que pueda tomar medidas de protección de los recursos.
- Use puntos de conexión privados para acceder de forma privada a los servicios de Azure desde la red virtual.
- Si trabaja con datos confidenciales, asegúrese de que se transfieren de forma segura entre la aplicación y sus clientes. App Service admite conexiones HTTPS seguras, que cifran los datos en tránsito y ayudan a evitar que terceros los intercepten.
- App Service ofrece certificados SSL administrados, una manera cómoda de usar certificados SSL de confianza. Los certificados SSL permiten que una aplicación use HTTPS para cifrar los datos en tránsito y ayuda a garantizar que los datos se transfieran de forma segura.
- Use un firewall de aplicaciones web (WAF), como Azure Front Door o Azure Application Gateway, para ayudar a proteger las aplicaciones web frente a vulnerabilidades web comunes, como la inyección de código SQL y los ataques XSS.
Al usar App Service, la seguridad es una consideración importante. Mediante la administración cuidadosa del acceso, la implementación de controles de seguridad de red, la protección de los datos y de las aplicaciones, puede ayudar a garantizar que los recursos de App Service estén seguros y protegidos frente a posibles amenazas.