Рекомендации по развертыванию паролей и других конфиденциальных данных в ASP.NET и службу приложений Azure

Рик Андерсон

Предупреждение

• Никогда не сохраняйте пароли или другие конфиденциальные данные в исходном коде, включая файлы конфигурации.
• Никогда не используйте секреты рабочей среды в разработке и тестировании.

Рекомендуется использовать самый безопасный вариант проверки подлинности. Для служб Azure наиболее безопасная проверка подлинности — это управляемые удостоверения. Для многих приложений наиболее безопасным вариантом является использование Azure Key Vault.

Избегайте предоставления учетных данных владельца ресурса, так как он:

• Предоставляет клиенту пароль пользователя.
• Значительный риск безопасности.
• Следует использовать только в том случае, если другие потоки проверки подлинности недоступны.

Управляемые удостоверения — это безопасный способ проверки подлинности в службах без необходимости хранить учетные данные в коде, переменных среды или файлах конфигурации. Управляемые удостоверения доступны для служб Azure и могут использоваться с SQL Azure, служба хранилища Azure и другими службами Azure:

• Управляемые удостоверения в Microsoft Entra для SQL Azure
• Управляемые удостоверения для Служба приложений и Функции Azure
• Безопасные потоки проверки подлинности

При развертывании приложения на тестовом сервере переменная среды может использоваться для установки строка подключения на тестовый сервер базы данных. Дополнительные сведения см. в статье Конфигурация. Переменная среды никогда не должна использоваться для хранения рабочей строка подключения.

Дополнительные сведения см. в разделе:

• Рекомендации по управляемых удостоверениях
• Подключение приложения к ресурсам без обработки учетных данных в коде
• Службы Azure, которые могут использовать управляемые удостоверения для доступа к другим службам
• Рекомендации по обеспечению безопасности IETF OAuth 2.0