Udostępnij za pośrednictwem

Zagadnienia dotyczące zarządzania tożsamościami i dostępem dla akceleratora strefy docelowej usługi App Service

  • Artykuł

Ten artykuł zawiera zagadnienia i zalecenia dotyczące zarządzania tożsamościami i dostępem, które można zastosować podczas korzystania z akceleratora strefy docelowej usługi aplikacja systemu Azure Service. Uwierzytelnianie i konfiguracja aplikacji to niektóre zagadnienia omówione w tym artykule.

Dowiedz się więcej o obszarze projektowania zarządzania tożsamościami i dostępem .

Uwagi dotyczące projektowania

W przypadku wdrażania rozwiązania usługi App Service przy użyciu akceleratora strefy docelowej istnieją pewne kluczowe zagadnienia dotyczące zarządzania tożsamościami i dostępem:

  • Określ poziom zabezpieczeń i izolacji wymagany dla aplikacji i jej danych. Dostęp publiczny umożliwia wszystkim osobom z adresem URL aplikacji dostęp do aplikacji, natomiast dostęp prywatny ogranicza dostęp tylko do autoryzowanych użytkowników i sieci.
  • Określ typ uwierzytelniania i autoryzacji wymagane dla rozwiązania usługi App Service: anonimowy, wewnętrzny użytkownik firmowy, konta społecznościowe, inny dostawca tożsamości lub kombinacja tych typów.
  • Ustal, czy używać tożsamości zarządzanych przypisanych przez system lub przypisanych przez użytkownika, gdy rozwiązanie App Service łączy się z zasobami zaplecza chronionymi przez identyfikator entra firmy Microsoft.
  • Rozważ utworzenie ról niestandardowych, postępując zgodnie z zasadą najniższych uprawnień, gdy role gotowe do użycia wymagają modyfikacji istniejących uprawnień.
  • Wybierz magazyn z rozszerzonymi zabezpieczeniami dla kluczy, wpisów tajnych, certyfikatów i konfiguracji aplikacji.
    • Konfiguracja aplikacji umożliwia udostępnianie typowych wartości konfiguracji, które nie są hasłami, wpisami tajnymi ani kluczami między aplikacjami, mikrousługami i aplikacjami bezserwerowymi.
    • Użyj usługi Azure Key Vault. Zapewnia ona ulepszony magazyn haseł, parametry połączenia, kluczy, wpisów tajnych i certyfikatów. Za pomocą usługi Key Vault możesz przechowywać wpisy tajne, a następnie uzyskiwać do nich dostęp z poziomu aplikacji usługi App Service za pośrednictwem tożsamości zarządzanej usługi App Service. Dzięki temu możesz zapewnić bezpieczeństwo wpisów tajnych, jednocześnie zapewniając dostęp do nich z aplikacji zgodnie z potrzebami.

Zalecenia dotyczące projektowania

W ramach wdrożeń usługi App Service należy uwzględnić następujące najlepsze rozwiązania:

  • Jeśli rozwiązanie usługi App Service wymaga uwierzytelniania:
    • Jeśli dostęp do całego rozwiązania usługi App Service musi być ograniczony do uwierzytelnionych użytkowników, wyłącz dostęp anonimowy.
    • Użyj wbudowanych funkcji uwierzytelniania i autoryzacji usługi App Service zamiast pisania własnego kodu uwierzytelniania i autoryzacji.
    • Użyj oddzielnych rejestracji aplikacji dla oddzielnych miejsc lub środowisk.
    • Jeśli rozwiązanie usługi App Service jest przeznaczone tylko dla użytkowników wewnętrznych, użyj uwierzytelniania certyfikatu klienta w celu zwiększenia bezpieczeństwa.
    • Jeśli rozwiązanie usługi App Service jest przeznaczone dla użytkowników zewnętrznych, użyj usługi Azure AD B2C do uwierzytelniania na kontach społecznościowych i kontach Microsoft Entra.
  • Używaj wbudowanych ról platformy Azure, jeśli jest to możliwe. Te role są przeznaczone do zapewniania zestawu uprawnień, które są często wymagane w określonych scenariuszach, takich jak rola Czytelnik dla użytkowników, którzy potrzebują dostępu tylko do odczytu i roli Współautor dla użytkowników, którzy muszą mieć możliwość tworzenia zasobów i zarządzania nimi.
    • Jeśli wbudowane role nie spełniają Twoich potrzeb, możesz utworzyć role niestandardowe, łącząc uprawnienia z co najmniej jednej wbudowanej roli. Dzięki temu można udzielić dokładnego zestawu uprawnień, których potrzebują użytkownicy, a jednocześnie przestrzegać zasady najniższych uprawnień.
    • Regularnie monitoruj zasoby usługi App Service, aby upewnić się, że są one używane zgodnie z zasadami zabezpieczeń. Może to pomóc w zidentyfikowaniu nieautoryzowanego dostępu lub zmian i podjęciu odpowiednich działań.
  • Użyj zasady najniższych uprawnień podczas przypisywania uprawnień do użytkowników, grup i usług. Ta zasada stanowi, że należy udzielić tylko minimalnych uprawnień wymaganych do wykonania określonego zadania i nie więcej. Poniższe wskazówki mogą pomóc zmniejszyć ryzyko przypadkowych lub złośliwych zmian w zasobach.
  • Użyj tożsamości zarządzanych przypisanych przez system, aby uzyskać dostęp z rozszerzonymi zabezpieczeniami, zasobami zaplecza chronionymi przez identyfikator Entra firmy Microsoft. Dzięki temu możesz kontrolować zasoby, do których ma dostęp rozwiązanie App Service i jakie uprawnienia ma dla tych zasobów.
  • W przypadku wdrażania automatycznego skonfiguruj jednostkę usługi z minimalnymi wymaganymi uprawnieniami do wdrożenia z potoku ciągłej integracji/ciągłego wdrażania.
  • Włącz dzienniki dostępu do rejestrowania diagnostycznego AppServiceHTTPLogs dla usługi App Service. Te szczegółowe dzienniki umożliwiają diagnozowanie problemów z aplikacją i monitorowanie żądań dostępu. Włączenie tych dzienników zapewnia również dziennik aktywności usługi Azure Monitor, który zapewnia wgląd w zdarzenia na poziomie subskrypcji.
  • Postępuj zgodnie z zaleceniami opisanymi w sekcjach Zarządzanie tożsamościami i Dostęp uprzywilejowany punktu odniesienia zabezpieczeń platformy Azure dla usługi App Service.

Celem zarządzania tożsamościami i dostępem dla akceleratora strefy docelowej jest zapewnienie, że wdrożona aplikacja i skojarzone z nią zasoby są bezpieczne i mogą być dostępne tylko przez autoryzowanych użytkowników. Dzięki temu można chronić poufne dane i zapobiegać niewłaściwemu używaniu aplikacji i jej zasobów.