Поделиться через

Вопросы безопасности для акселератора целевой зоны Служба приложений

  • Статья

В этой статье приведены рекомендации по обеспечению безопасности, которые можно применять при использовании акселератора целевой зоны службы приложение Azure. Безопасность секретов приложений, сетевой изоляции и сканирования уязвимостей являются некоторыми из рекомендаций, описанных в этой статье.

Дополнительные сведения о области проектирования безопасности .

Рекомендации по проектированию

При подготовке к развертыванию Служба приложений следует учитывать следующие аспекты:

  • Требования. Проверьте требования безопасности, чтобы определить, разрешено ли выполнение веб-приложений в общей сетевой инфраструктуре или если они требуют полной сетевой или виртуальной машины изоляции, доступной в Среда службы приложений.

  • Проверка подлинности и авторизация. Необходимо правильно настроить проверку подлинности и авторизацию для решения Служба приложений, чтобы обеспечить доступ только авторизованных пользователей к приложению и его ресурсам. Это можно сделать с помощью идентификатора Microsoft Entra, который обеспечивает расширенную безопасность, масштабируемое решение для управления удостоверениями пользователей и доступом к приложению.

  • Безопасность сети: Служба приложений включает в себя несколько встроенных функций для защиты приложения и его ресурсов от сетевых атак. Эти функции включают поддержку ssl/TLS, правил брандмауэра IP и защиты от атак DDoS. Необходимо правильно настроить эти функции, чтобы обеспечить защиту приложения от внешних угроз.

  • Безопасность приложений. Необходимо убедиться, что само приложение безопасно, и что оно включает рекомендации по защите конфиденциальных данных и предотвращению распространенных уязвимостей, таких как внедрение SQL и межсайтовые скрипты (XSS). Вы можете достичь этой цели с помощью сочетания безопасных методов программирования, регулярного тестирования безопасности и использования таких средств, как Центр безопасности Azure для мониторинга потенциальных угроз.

  • Безопасность данных. Кроме того, необходимо правильно защитить данные, которые хранятся и обрабатываются приложением. Вы можете получить уровень защиты данных с помощью таких служб Azure, как Azure Key Vault, который обеспечивает расширенное хранилище безопасности для конфиденциальных данных, таких как криптографические ключи и пароли. Кроме того, необходимо шифровать данные при передаче и хранении, а также регулярно создавать резервные копии и тестировать процессы восстановления данных.

Следуя рекомендациям по проверке подлинности и авторизации, сетевой безопасности, безопасности приложений и безопасности данных, вы можете обеспечить защиту приложения и его ресурсов от потенциальных угроз.

Рекомендации по проектированию

При подготовке к развертыванию Служба приложений учитывайте следующие рекомендации:

  • Храните секреты приложений (учетные данные базы данных, маркеры API и закрытые ключи) в Key Vault и настройте приложение Служба приложений для доступа к ним с помощью управляемого удостоверения. Чтобы определить, когда следует использовать Key Vault и когда использовать Конфигурация приложений Azure, ознакомьтесь с централизованной конфигурацией и безопасностью приложений.
  • Включите общий доступ к ресурсам между источниками (CORS) в Служба приложений или с помощью собственных служебных программ CORS. CORS указывает источники, из которых браузеры пользователей должны разрешать загрузку ресурсов.
  • При развертывании контейнерных веб-приложений в Служба приложений включите Azure Defender для реестров контейнеров для автоматического сканирования образов уязвимостей.
  • Включите Azure Defender для Служба приложений для оценки безопасности веб-приложений, обнаружения угроз и получения оповещений при обнаружении потенциальных угроз, чтобы обеспечить защиту ресурсов.
  • Используйте частные конечные точки для частного доступа к службам Azure через виртуальную сеть.
  • Если вы работаете с конфиденциальными данными, убедитесь, что данные передаются безопасно между приложением и его клиентами. Служба приложений поддерживает безопасные подключения HTTPS, которые шифруют данные при передаче и помогают предотвратить перехват третьим лицам.
  • Служба приложений предлагает управляемые SSL-сертификаты, удобный способ использования доверенных SSL-сертификатов. SSL-сертификаты позволяют приложению использовать ПРОТОКОЛ HTTPS для шифрования данных при передаче и обеспечения безопасной передачи данных.
  • Используйте брандмауэр веб-приложения (WAF), например Azure Front Door или Шлюз приложений Azure для защиты веб-приложений от распространенных веб-уязвимостей, таких как внедрение SQL и атаки XSS.

При использовании Служба приложений безопасность является важным фактором. Тщательно управляя доступом, реализуя средства управления безопасностью сети, защищая данные и защищая приложения, вы можете обеспечить безопасность и защиту ресурсов Служба приложений от потенциальных угроз.