Dela via

Säkerhetsöverväganden för Acceleratorn för App Service-landningszonen

  • Artikel

Den här artikeln innehåller designöverväganden och rekommendationer för säkerhet som du kan använda när du använder Acceleratorn för Azure App Service-landningszoner. Säkerhet för programhemligheter, nätverksisolering och sårbarhetsgenomsökning är några av de överväganden som beskrivs i den här artikeln.

Läs mer om säkerhetsdesignområdet .

Tips för utformning

När du förbereder dig för en distribution av App Service bör du ta hänsyn till följande:

  • Krav: Granska dina säkerhetskrav för att avgöra om de tillåter att dina webbprogram körs på en delad nätverksinfrastruktur eller om de kräver fullständig isolering av nätverket/den virtuella datorn som är tillgänglig i en App Service-miljön.

  • Autentisering och auktorisering: Du måste konfigurera autentisering och auktorisering för din App Service-lösning korrekt för att säkerställa att endast behöriga användare har åtkomst till appen och dess resurser. Du kan göra detta med hjälp av Microsoft Entra-ID, som ger en förbättrad säkerhet, skalbar lösning för hantering av användaridentiteter och åtkomst till din app.

  • Nätverkssäkerhet: App Service innehåller flera inbyggda funktioner för att skydda din app och dess resurser från nätverksbaserade attacker. Dessa funktioner omfattar stöd för SSL/TLS, IP-brandväggsregler och DDoS-skydd (Distributed Denial of Service). Du måste konfigurera dessa funktioner korrekt för att säkerställa att din app skyddas från externa hot.

  • Programsäkerhet: Du måste se till att själva appen är säker och att den innehåller metodtips för att skydda känsliga data och förhindra vanliga sårbarheter som SQL-inmatning och XSS (cross-site scripting). Du kan uppnå det här målet genom en kombination av säkra kodningsmetoder, regelbunden säkerhetstestning och användning av verktyg som Azure Security Center för att övervaka potentiella hot.

  • Datasäkerhet: Du måste också skydda de data som lagras och bearbetas av din app korrekt. Du kan få en skyddsnivå för dina data med hjälp av Azure-tjänster som Azure Key Vault, som ger förbättrad säkerhetslagring för känsliga data som kryptografiska nycklar och lösenord. Du måste också kryptera data under överföring och i vila och regelbundet säkerhetskopiera och testa dina dataåterställningsprocesser.

Genom att följa metodtipsen för autentisering och auktorisering kan nätverkssäkerhet, programsäkerhet och datasäkerhet hjälpa dig att se till att din app och dess resurser skyddas mot potentiella hot.

Designrekommendationer

När du förbereder dig för din App Service-distribution tar du hänsyn till följande rekommendationer:

  • Lagra programhemligheter (databasautentiseringsuppgifter, API-token och privata nycklar) i Key Vault och konfigurera App Service-appen så att den får åtkomst till dem via en hanterad identitet. Information om när du ska använda Key Vault och när du ska använda Azure App Configuration finns i Centraliserad appkonfiguration och säkerhet.
  • Aktivera resursdelning mellan ursprung (CORS) i App Services eller med dina egna CORS-verktyg. CORS anger ursprung från vilka användarwebbläsare ska tillåta inläsning av resurser.
  • När du distribuerar containerbaserade webbprogram till App Services aktiverar du Azure Defender för containerregister för att automatiskt genomsöka avbildningar efter säkerhetsrisker.
  • Aktivera Azure Defender för App Service för att utvärdera säkerheten för dina webbprogram, identifiera hot och få aviseringar när potentiella hot identifieras så att du kan vidta åtgärder för att skydda dina resurser.
  • Använd privata slutpunkter för privat åtkomst till Azure-tjänster via ditt virtuella nätverk.
  • Om du arbetar med känsliga data kontrollerar du att data överförs på ett säkert sätt mellan appen och dess klienter. App Service stöder säkra HTTPS-anslutningar som krypterar data under överföring och hjälper till att förhindra att tredje part fångar upp dem.
  • App Service erbjuder hanterade SSL-certifikat, ett bekvämt sätt att använda betrodda SSL-certifikat. Med SSL-certifikat kan en app använda HTTPS för att kryptera data under överföring och säkerställa att data överförs på ett säkert sätt.
  • Använd en brandvägg för webbprogram (WAF) som Azure Front Door eller Azure Application Gateway för att skydda dina webbappar mot vanliga webbsårbarheter som SQL-inmatning och XSS-attacker.

När du använder App Service är säkerhet en viktig faktor. Genom att noggrant hantera åtkomst, implementera nätverkssäkerhetskontroller, skydda dina data och skydda dina appar kan du se till att dina App Service-resurser skyddas mot potentiella hot.