App Service ランディング ゾーン アクセラレータのセキュリティに関する考慮事項
この記事では、Azure App Service ランディング ゾーン アクセラレータを使用するときに適用できるセキュリティに関する設計上の考慮事項と推奨事項について説明します。 アプリケーション シークレット、ネットワークの分離、脆弱性スキャンのセキュリティが、この記事で取り上げる考慮事項に含まれます。
詳細については、セキュリティの設計領域を参照してください。
設計上の考慮事項
App Service のデプロイを準備するときは、次の考慮事項を検討してください。
要件: セキュリティ要件を確認して、Web アプリケーションを共有ネットワーク インフラストラクチャで実行できるか、App Service 環境で使用できるネットワーク/仮想マシンの完全な分離が必要かを判断します。
認証と承認: 承認されたユーザーのみがアプリとそのリソースにアクセスできるように、App Service ソリューションの認証と承認を適切に構成する必要があります。 これは、Microsoft Entra ID を使って行うことができます。これにより、ユーザー ID とアプリへのアクセスを管理するためのセキュリティが強化されたスケーラブルなソリューションが提供されます。
ネットワーク セキュリティ: App Service には、アプリとそのリソースをネットワークベースの攻撃から保護するのに役立ついくつかの組み込み機能が含まれています。 これらの機能には、SSL/TLS、IP ファイアウォール規則、分散型サービス拒否 (DDoS) 保護のサポートが含まれます。 アプリが外部の脅威から保護されるように、これらの機能を適切に構成する必要があります。
アプリケーションのセキュリティ: アプリ自体がセキュリティで保護されていること、および機密データを保護し、SQL インジェクションやクロスサイト スクリプティング (XSS) などの一般的な脆弱性を防ぐためのベスト プラクティスが組み込まれていることを確認する必要があります。 セキュリティで保護されたコーディング プラクティス、定期的なセキュリティ テスト、潜在的な脅威を監視するための Azure Security Center などのツールの使用を組み合わせることで、この目標を達成できます。
データ セキュリティ: アプリによって格納および処理されるデータを適切に保護する必要もあります。 Azure Key Vault などの Azure サービスを使用すると、一定レベルのデータ保護がもたらされます。これにより、暗号化キーやパスワードなどのセキュリティが強化された機密データ用ストレージが提供されます。 転送中および保存中のデータを暗号化し、定期的にバックアップしてデータ復旧プロセスをテストする必要もあります。
認証と承認、ネットワーク セキュリティ、アプリケーション セキュリティ、データ セキュリティに関するベスト プラクティスに従うと、アプリとそのリソースを潜在的な脅威から確実に保護するのに役立ちます。
設計の推奨事項
App Service デプロイの準備をするときは、次の推奨事項を検討してください。
- Key Vault にアプリケーション シークレット (データベース資格情報、API トークン、秘密キー) を保存し、それらにマネージド ID 経由でアクセスするように App Service アプリを構成します。 どのようなときに Key Vault を使用し、どのようなときに Azure App Configuration を使用するかを判断するには、「一元化されたアプリ構成とセキュリティ」を参照してください。
- App Services で、または独自の CORS ユーティリティを使用して、クロスオリジン リソース共有 (CORS) を有効にします。 CORS は、ユーザー ブラウザーがリソースの読み込みを許可する必要がある発信元を指定します。
- コンテナー化された Web アプリケーションを App Services にデプロイするときは、Azure Defender for container registries を有効にして、イメージの脆弱性を自動的にスキャンします。
- Azure Defender for App Service を有効にして、Web アプリケーションのセキュリティを評価し、脅威を検出し、潜在的な脅威が検出されたときにアラートを取得して、リソースを保護するためのアクションを実行できるようにします。
- プライベート エンドポイントを使用して、仮想ネットワーク経由で Azure サービスに非公開でアクセスします。
- 機密データを操作する場合は、アプリとそのクライアントの間でデータが安全に転送されるようにします。 App Service では、転送中のデータを暗号化し、第三者による傍受を防ぐのに役立つ安全な HTTPS 接続がサポートされています。
- App Service には、信頼された SSL 証明書を使用する便利な方法であるマネージド SSL 証明書が用意されています。 SSL 証明書を使用すると、アプリが HTTPS を使用して転送中のデータを暗号化して、データが安全に転送されるようにするのに役立ちます。
- Azure Front Door や Azure Application Gateway などの Web アプリケーション ファイアウォール (WAF) を使用して、SQL インジェクションや XSS 攻撃などの一般的な Web 脆弱性から Web アプリを保護するのに役立てます。
App Service を使用するときは、セキュリティが重要な考慮事項です。 アクセスを慎重に管理し、ネットワーク セキュリティ制御を実装し、データを保護し、アプリをセキュリティで保護することで、App Service リソースが潜在的な脅威からセキュリティで保護されるようにできます。