你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

App 服务登陆区域加速器的安全注意事项

本文提供了在使用Azure App 服务登陆区域加速器时可以应用的安全性的设计注意事项和建议。应用程序机密、网络隔离和漏洞扫描的安全性是本文中介绍的一些注意事项。

详细了解安全性设计区域。

设计注意事项

准备部署App 服务时，请考虑到以下注意事项：

要求：查看安全要求，以确定它们是否允许 Web 应用程序在共享网络基础结构上运行，或者它们是否需要在App 服务环境中可用的完整网络/虚拟机隔离。
身份验证和授权：需要正确配置App 服务解决方案的身份验证和授权，以确保只有经过授权的用户才能访问应用及其资源。可以使用 Microsoft Entra ID 执行此操作，该 ID 提供增强的安全性、可缩放的解决方案，用于管理用户标识和访问应用。
网络安全：App 服务包括多个内置功能，可帮助保护应用及其资源免受基于网络的攻击。这些功能包括对 SSL/TLS、IP 防火墙规则和分布式拒绝服务（DDoS）保护的支持。你需要正确配置这些功能，以确保你的应用受到外部威胁的保护。
应用程序安全性： 需要确保应用本身是安全的，并且它包含保护敏感数据并防止 SQL 注入和跨站点脚本（XSS）等常见漏洞的最佳做法。可以通过结合使用安全编码做法、定期安全测试以及使用Azure 安全中心等工具来监视潜在威胁来实现此目标。
数据安全性： 还需要正确保护应用存储和处理的数据。可以使用 Azure 密钥库等 Azure 服务为敏感数据（例如加密密钥和密码）提供增强的安全性存储，从而为数据提供保护级别。还需要加密传输中的数据和静态数据，并定期备份和测试数据恢复过程。

遵循身份验证和授权、网络安全、应用程序安全性和数据安全性的最佳做法有助于确保应用及其资源免受潜在威胁的保护。

为App 服务部署做准备时，请考虑以下建议：

将应用程序机密（数据库凭据、API 令牌和私钥）存储在密钥库中，并将App 服务应用配置为通过托管标识访问它们。若要确定何时使用密钥库以及何时使用Azure 应用程序配置，请参阅集中式应用配置和安全性。
在App 服务或使用自己的 CORS 实用工具启用跨域资源共享（CORS）。 CORS 指定用户浏览器应允许加载资源的源。
将容器化 Web 应用程序部署到App 服务时，启用适用于容器注册表的 Azure Defender 以自动扫描映像是否存在漏洞。
启用 Azure Defender for App 服务，以评估 Web 应用程序的安全性、检测威胁，并在检测到潜在威胁时获取警报，以便可以采取措施来保护资源。
使用专用终结点通过虚拟网络私下访问 Azure 服务。
如果使用敏感数据，请确保数据在应用与其客户端之间安全传输。 App 服务支持安全的 HTTPS 连接，这些连接对传输中的数据进行加密，并帮助防止第三方截获数据。
App 服务提供了托管 SSL 证书，这是使用受信任的 SSL 证书的便捷方法。 SSL 证书允许应用使用 HTTPS 加密传输中的数据，并帮助确保数据安全传输。
使用 Azure Front Door 或 Azure 应用程序网关等 Web 应用程序防火墙（WAF）帮助保护 Web 应用免受 SQL 注入和 XSS 攻击等常见 Web 漏洞的攻击。

使用App 服务时，安全性是一个重要考虑因素。通过仔细管理访问权限、实施网络安全控制、保护数据和保护应用，可帮助确保App 服务资源受到保护并免受潜在威胁。