다음을 통해 공유

Azure App Service 랜딩 존 가속기에 대한 보안 고려 사항

  • 아티클

이 문서에서는 Azure App Service 랜딩 존 가속기 사용 시 적용할 수 있는 보안에 대한 디자인 고려 사항과 권장 사항을 제공합니다. 애플리케이션 비밀, 네트워크 격리 및 취약성 검사에 대한 보안은 이 문서에서 다루는 몇 가지 고려 사항입니다.

보안 디자인 영역에 대해 자세히 알아봅니다.

디자인 고려 사항

App Service 배포를 준비할 때 다음 사항을 고려합니다.

  • 요구 사항: 보안 요구 사항을 검토하여 웹 애플리케이션이 공유 네트워크 인프라에서 실행되도록 허용하는지 또는 App Service Environment에서 사용할 수 있는 완전한 네트워크/가상 머신 격리가 필요한지 결정합니다.

  • 인증 및 권한 부여: 권한 있는 사용자만 앱과 해당 리소스에 액세스할 수 있도록 하려면 App Service 솔루션에 대한 인증 및 권한 부여를 올바르게 구성해야 합니다. 사용자 ID 및 앱에 대한 액세스를 관리하기 위한 향상된 보안, 확장 가능한 솔루션을 제공하는 Microsoft Entra ID를 사용하여 이 작업을 수행할 수 있습니다.

  • 네트워크 보안: App Service에는 네트워크 기반 공격으로부터 앱과 해당 리소스를 보호하는 데 도움이 되는 여러 가지 기본 제공 기능이 포함됩니다. 이러한 기능에는 SSL/TLS 지원, IP 방화벽 규칙 및 DDoS(분산 서비스 거부) 보호가 포함됩니다. 앱이 외부 위협으로부터 보호되도록 하려면 이러한 기능을 올바르게 구성해야 합니다.

  • 애플리케이션 보안: 앱 자체가 안전한지 확인하고, 중요한 데이터를 보호하고 SQL 삽입 및 XSS(교차 사이트 스크립팅)와 같은 일반적인 취약성을 방지하기 위한 모범 사례를 통합하는지 확인해야 합니다. 잠재적인 위협을 모니터링하기 위해 보안 코딩 사례, 정기적인 보안 테스트 및 Azure Security Center 등 도구 사용의 조합을 통해 이 목표를 달성할 수 있습니다.

  • 데이터 보안: 또한 앱에서 저장하고 처리하는 데이터를 제대로 보호해야 합니다. 암호화 키, 암호 등의 중요한 데이터에 대한 향상된 보안 스토리지를 제공하는 Azure Key Vault 같은 Azure 서비스를 사용하여 데이터를 일정 수준으로 보호할 수 있습니다. 또한 전송 중 및 미사용 데이터를 암호화하고 데이터 복구 프로세스를 정기적으로 백업 및 테스트해야 합니다.

인증 및 권한 부여, 네트워크 보안, 애플리케이션 보안, 데이터 보안에 대한 모범 사례를 따르면 앱과 해당 리소스가 잠재적 위협으로부터 보호되도록 할 수 있습니다.

디자인 권장 사항

App Service 배포를 준비할 때 다음 권장 사항을 고려합니다.

  • Key Vault에서 애플리케이션 비밀(데이터베이스 자격 증명, API 토큰, 프라이빗 키)을 저장하고 관리 ID를 통해 액세스하도록 App Service 앱을 구성합니다. Key Vault를 사용하는 시기와 Azure App Configuration을 사용하는 시기를 결정하려면 중앙 집중식 앱 구성 및 보안을 참조하세요.
  • App Services에서 또는 자체 CORS 유틸리티를 사용하여 CORS(원본 간 리소스 공유)를 사용하도록 설정합니다. CORS는 사용자 브라우저가 리소스 로드를 허용해야 하는 원본을 지정합니다.
  • App Services에 컨테이너화된 웹 애플리케이션을 배포할 때 컨테이너 레지스트리용 Azure Defender를 사용하도록 설정하여 이미지에서 취약성을 자동으로 검색합니다.
  • Azure Defender for App Service를 사용하도록 설정하여 웹 애플리케이션의 보안을 평가하고, 위협을 탐지하고, 잠재적 위협이 탐지될 때 경고를 가져와 리소스를 보호하기 위한 조치를 취할 수 있습니다.
  • 프라이빗 엔드포인트를 사용하여 가상 네트워크를 통해 Azure 서비스에 비공개로 액세스합니다.
  • 중요한 데이터로 작업하는 경우 앱과 해당 클라이언트 간에 데이터가 안전하게 전송되는지 확인합니다. App Service는 전송 중인 데이터를 암호화하고 제3자가 데이터를 가로채지 못하도록 하는 보안 HTTPS 연결을 지원합니다.
  • App Service는 신뢰할 수 있는 SSL 인증서를 사용하는 편리한 방법인 관리형 SSL 인증서를 제공합니다. SSL 인증서를 사용하면 앱이 HTTPS를 사용하여 전송 중인 데이터를 암호화할 수 있으며 데이터가 안전하게 전송되도록 할 수 있습니다.
  • Azure Front Door 또는 Azure Application Gateway 같은 WAF(웹 애플리케이션 방화벽)를 사용하여 SQL 삽입, XSS 공격 등의 일반적인 웹 취약성으로부터 웹앱을 보호할 수 있습니다.

App Service를 사용하는 경우 보안은 중요한 고려 사항입니다. 액세스를 신중하게 관리하고, 네트워크 보안 제어를 구현하고, 데이터를 보호하고, 앱을 보호하면 App Service 리소스가 안전하고 잠재적인 위협으로부터 보호되도록 할 수 있습니다.