Рекомендации по управлению удостоверениями и доступом для акселератора целевой зоны Служба приложений

В этой статье содержатся рекомендации по проектированию и управлению удостоверениями и доступом, которые можно применять при использовании акселератора целевой зоны службы приложение Azure. Проверка подлинности и конфигурация приложений являются частью рекомендаций, которые рассматриваются в этой статье.

Дополнительные сведения о области проектирования управления удостоверениями и доступом .

Рекомендации по проектированию

При использовании акселератора целевой зоны для развертывания решения Служба приложений существуют некоторые ключевые рекомендации по управлению удостоверениями ключей и доступом:

• Определите уровень безопасности и изоляции, необходимые для приложения и его данных. Общедоступный доступ позволяет любому пользователю с URL-адресом приложения получить доступ к приложению, а частный доступ ограничивает доступ только авторизованным пользователям и сетям.
• Определите тип проверки подлинности и авторизации, необходимые для решения Служба приложений: анонимных, внутренних корпоративных пользователей, социальных учетных записей, других поставщиков удостоверений или сочетания этих типов.
• Определите, следует ли использовать управляемые удостоверения, назначенные системой или назначаемые пользователем, когда решение Служба приложений подключается к внутренним ресурсам, защищенным идентификатором Microsoft Entra.
• Рассмотрите возможность создания пользовательских ролей, следуя принципу наименьших привилегий, если для ролей вне поля требуются изменения существующих разрешений.
• Выберите хранилище расширенной безопасности для ключей, секретов, сертификатов и конфигурации приложений.
  • Используйте конфигурацию приложения для совместного использования общих значений конфигурации, которые не являются паролями, секретами или ключами между приложениями, микрослужбами и бессерверными приложениями.
  • Используйте Azure Key Vault. Он предоставляет расширенное хранилище паролей, строка подключения, ключей, секретов и сертификатов. С помощью Key Vault можно хранить секреты, а затем получать доступ к ним из приложения Служба приложений с помощью управляемого удостоверения Служба приложений. Таким образом, вы можете защитить секреты, предоставив им доступ к ним из приложения по мере необходимости.

Рекомендации по проектированию

В развертываниях Служба приложений следует включить следующие рекомендации.

• Если для решения Служба приложений требуется проверка подлинности:
  • Если доступ ко всему решению Служба приложений необходимо ограничить для пользователей, прошедших проверку подлинности, отключите анонимный доступ.
  • Используйте встроенные возможности проверки подлинности и авторизации Служба приложений вместо написания собственного кода проверки подлинности и авторизации.
  • Используйте отдельные регистрации приложений для отдельных слотов или сред.
  • Если решение Служба приложений предназначено только для внутренних пользователей, используйте проверку подлинности сертификата клиента для повышения безопасности.
  • Если решение Служба приложений предназначено для внешних пользователей, используйте Azure AD B2C для проверки подлинности в социальных учетных записях и учетных записях Microsoft Entra.
• По возможности используйте встроенные роли Azure. Эти роли предназначены для предоставления набора разрешений, которые обычно необходимы для определенных сценариев, таких как роль читателя для пользователей, которым требуется доступ только для чтения, и роль участника для пользователей, которым требуется возможность создавать ресурсы и управлять ими.
  • Если встроенные роли не соответствуют вашим потребностям, можно создать пользовательские роли, объединив разрешения из одной или нескольких встроенных ролей. Таким образом, вы можете предоставить точный набор разрешений, необходимых пользователям, по-прежнему следуя принципу наименьших привилегий.
  • Регулярно отслеживайте Служба приложений ресурсы, чтобы убедиться, что они используются в соответствии с политиками безопасности. Это может помочь определить любые несанкционированные или изменения и принять соответствующие меры.
• Используйте принцип наименьшей привилегии при назначении разрешений пользователям, группам и службам. Этот принцип указывает, что необходимо предоставить только минимальные разрешения, необходимые для выполнения конкретной задачи, и больше нет. Следуя этим рекомендациям, вы можете снизить риск случайных или вредоносных изменений в ресурсах.
• Используйте управляемые удостоверения, назначаемые системой, для доступа с повышенными защищенными внутренними ресурсами, защищенными идентификатором Microsoft Entra. Это позволяет управлять ресурсами, к которым у решения Служба приложений есть доступ и какие разрешения он имеет для этих ресурсов.
• Для автоматического развертывания настройте субъект-службу с минимальными необходимыми разрешениями для развертывания из конвейера CI/CD.
• Включите журналы доступа appServiceHTTPLogs для диагностики для Служба приложений. Эти подробные журналы можно использовать для диагностики проблем с приложением и мониторинга запросов на доступ. Включение этих журналов также предоставляет журнал действий Azure Monitor, который дает представление о событиях уровня подписки.
• Следуйте рекомендациям, описанным в разделах управления удостоверениями и привилегированного доступа базовых показателей безопасности Azure для Служба приложений.

Цель управления удостоверениями и доступом для акселератора целевой зоны заключается в том, чтобы обеспечить безопасность развернутого приложения и связанных с ним ресурсов и доступ к ним осуществляется только авторизованными пользователями. Это поможет защитить конфиденциальные данные и предотвратить неправильное использование приложения и его ресурсов.