Udostępnij za pośrednictwem

Zagadnienia dotyczące zabezpieczeń akceleratora strefy docelowej usługi App Service

  • Artykuł

Ten artykuł zawiera zagadnienia dotyczące projektowania i zalecenia dotyczące zabezpieczeń, które można zastosować podczas korzystania z akceleratora strefy docelowej usługi aplikacja systemu Azure Service. Zabezpieczenia wpisów tajnych aplikacji, izolacji sieci i skanowania luk w zabezpieczeniach to niektóre zagadnienia omówione w tym artykule.

Dowiedz się więcej o obszarze projektowania zabezpieczeń .

Uwagi dotyczące projektowania

Podczas przygotowywania do wdrożenia usługi App Service należy wziąć pod uwagę następujące kwestie:

  • Wymagania: Przejrzyj wymagania dotyczące zabezpieczeń, aby określić, czy zezwalają one na uruchamianie aplikacji internetowych w udostępnionej infrastrukturze sieci lub jeśli wymagają pełnej izolacji sieci/maszyny wirtualnej dostępnej w środowisku App Service Environment.

  • Uwierzytelnianie i autoryzacja: należy prawidłowo skonfigurować uwierzytelnianie i autoryzację dla rozwiązania usługi App Service, aby upewnić się, że tylko autoryzowani użytkownicy mają dostęp do aplikacji i jej zasobów. Można to zrobić przy użyciu identyfikatora Entra firmy Microsoft, który zapewnia ulepszone, skalowalne rozwiązanie do zarządzania tożsamościami użytkowników i dostępu do aplikacji.

  • Zabezpieczenia sieciowe: usługa App Service zawiera kilka wbudowanych funkcji, które ułatwiają ochronę aplikacji i jej zasobów przed atakami opartymi na sieci. Te funkcje obejmują obsługę protokołu SSL/TLS, reguł zapory IP i ochrony przed rozproszoną odmową usługi (DDoS). Należy prawidłowo skonfigurować te funkcje, aby upewnić się, że aplikacja jest chroniona przed zagrożeniami zewnętrznymi.

  • Zabezpieczenia aplikacji: musisz upewnić się, że sama aplikacja jest bezpieczna i zawiera najlepsze rozwiązania dotyczące ochrony poufnych danych i zapobiegania typowym lukom w zabezpieczeniach, takim jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami (XSS). Ten cel można osiągnąć za pomocą kombinacji bezpiecznych praktyk kodowania, regularnego testowania zabezpieczeń i używania narzędzi takich jak Azure Security Center do monitorowania potencjalnych zagrożeń.

  • Bezpieczeństwo danych: należy również prawidłowo chronić dane przechowywane i przetwarzane przez aplikację. Poziom ochrony danych można uzyskać przy użyciu usług platformy Azure, takich jak Azure Key Vault, co zapewnia rozszerzony magazyn zabezpieczeń dla poufnych danych, takich jak klucze kryptograficzne i hasła. Należy również szyfrować dane podczas przesyłania i magazynowania oraz regularnie tworzyć kopie zapasowe i testować procesy odzyskiwania danych.

Poniższe najlepsze rozwiązania dotyczące uwierzytelniania i autoryzacji, zabezpieczeń sieci, zabezpieczeń aplikacji i zabezpieczeń danych mogą pomóc w zapewnieniu ochrony aplikacji i jej zasobów przed potencjalnymi zagrożeniami.

Zalecenia dotyczące projektowania

Podczas przygotowywania do wdrożenia usługi App Service weź pod uwagę następujące zalecenia:

  • Przechowywanie wpisów tajnych aplikacji (poświadczeń bazy danych, tokenów interfejsu API i kluczy prywatnych) w usłudze Key Vault oraz konfigurowanie aplikacji usługi App Service w celu uzyskania do nich dostępu za pośrednictwem tożsamości zarządzanej. Aby określić, kiedy należy używać usługi Key Vault i kiedy używać konfiguracji aplikacja systemu Azure, zobacz Scentralizowana konfiguracja i zabezpieczenia aplikacji.
  • Włącz współużytkowanie zasobów między źródłami (CORS) w usłudze App Services lub przy użyciu własnych narzędzi CORS. MECHANIZM CORS określa źródła, z których przeglądarki użytkowników powinny zezwalać na ładowanie zasobów.
  • Podczas wdrażania konteneryzowanych aplikacji internetowych w usłudze App Services włącz usługę Azure Defender dla rejestrów kontenerów, aby automatycznie skanować obrazy pod kątem luk w zabezpieczeniach.
  • Włącz usługę Azure Defender for App Service , aby ocenić zabezpieczenia aplikacji internetowych, wykrywać zagrożenia i otrzymywać alerty po wykryciu potencjalnych zagrożeń, aby umożliwić podjęcie działań w celu ochrony zasobów.
  • Prywatne punkty końcowe umożliwiają prywatny dostęp do usług platformy Azure za pośrednictwem sieci wirtualnej.
  • Jeśli pracujesz z danymi poufnymi, upewnij się, że dane są bezpiecznie przesyłane między aplikacją a jej klientami. Usługa App Service obsługuje bezpieczne połączenia HTTPS, które szyfrują dane podczas przesyłania i ułatwiają przechwytywanie ich przez inne firmy.
  • Usługa App Service oferuje zarządzane certyfikaty SSL, wygodny sposób korzystania z zaufanych certyfikatów SSL. Certyfikaty SSL umożliwiają aplikacji szyfrowanie danych przesyłanych przy użyciu protokołu HTTPS i zapewnienie bezpiecznego przesyłania danych.
  • Użyj zapory aplikacji internetowej, takiej jak usługa Azure Front Door lub aplikacja systemu Azure Gateway, aby chronić aplikacje internetowe przed typowymi lukami w zabezpieczeniach sieci Web, takimi jak wstrzyknięcie kodu SQL i ataki XSS.

W przypadku korzystania z usługi App Service bezpieczeństwo jest ważne. Starannie zarządzając dostępem, implementując mechanizmy zabezpieczeń sieci, chroniąc dane i zabezpieczając aplikacje, możesz zapewnić bezpieczeństwo i ochronę zasobów usługi App Service przed potencjalnymi zagrożeniami.