App Service 登陸區域加速器的安全性考慮

本文提供使用 Azure App 服務登陸區域加速器時，您可以套用的安全性設計考慮和建議。 應用程式秘密、網路隔離和弱點掃描的安全性是本文所涵蓋的一些考慮。

深入瞭解 安全性 設計區域。

設計考量

當您準備部署 App Service 時，請將下列考慮納入考慮：

• 需求： 檢閱您的安全性需求，以判斷它們是否允許您的 Web 應用程式在共用網路基礎結構上執行，或是否需要App Service 環境中 可用的完整網路/虛擬機器隔離。

• 驗證和授權： 您必須正確設定 App Service 解決方案的驗證和授權，以確保只有授權的使用者才能存取應用程式及其資源。 您可以使用 Microsoft Entra ID 來執行此動作，此識別碼提供增強的安全性、可調整的解決方案，以管理使用者身分識別和存取您的應用程式。

• 網路安全性： App Service 包含數個內建功能，可協助保護您的應用程式及其資源免于遭受網路型攻擊。 這些功能包括支援 SSL/TLS、IP 防火牆規則，以及分散式阻斷服務 （DDoS） 保護。 您必須正確設定這些功能，以確保您的應用程式受到外部威脅的保護。

• 應用程式安全性： 您必須確保應用程式本身安全，並納入保護敏感性資料的最佳做法，並防止 SQL 插入和跨網站腳本 （XSS） 等常見弱點。 您可以透過安全編碼做法、定期安全性測試，以及使用 Azure 資訊安全中心 之類的工具來監視潛在威脅，達成此目標。

• 資料安全性： 您也需要正確保護應用程式所儲存和處理的資料。 您可以使用 Azure 金鑰保存庫 之類的 Azure 服務，為敏感性資料提供增強的安全性儲存體，例如密碼編譯金鑰和密碼，以取得資料的保護層級。 您也需要加密傳輸中的資料和待用資料，以及定期備份及測試您的資料復原程式。

遵循驗證和授權、網路安全性、應用程式安全性和資料安全性的最佳做法，可協助您確保應用程式及其資源受到保護，免于潛在威脅。

設計建議

當您準備 App Service 部署時，請將這些建議納入考慮：

• 將應用程式秘密（資料庫認證、API 權杖和私密金鑰）儲存在金鑰保存庫中，並設定 App Service 應用程式透過受控識別加以存取。 若要判斷何時使用金鑰保存庫，以及何時使用Azure 應用程式組態，請參閱 集中式應用程式組態和安全性 。
• 在 App Services 中或使用您自己的 CORS 公用程式，啟用跨原始來源資源分享 （CORS ）。 CORS 指定使用者瀏覽器應該允許載入資源的來源。
• 當您將容器化 Web 應用程式部署至 App Services 時， 請啟用適用于容器登錄的 Azure Defender，以自動掃描映射是否有弱點。
• 啟用 適用于 App Service 的 Azure Defender 來評估 Web 應用程式的安全性、偵測威脅，並在偵測到潛在威脅時取得警示，以便您可以採取動作來保護資源。
• 使用 私人端點 透過虛擬網路私下存取 Azure 服務 。
• 如果您使用敏感性資料，請確定資料會在應用程式與其用戶端之間安全地傳輸。 App Service 支援安全的 HTTPS 連線，可加密傳輸中的資料，並協助防止協力廠商攔截資料。
• App Service 提供受控 SSL 憑證，這是使用受信任 SSL 憑證的便利方式。 SSL 憑證可讓應用程式使用 HTTPS 來加密傳輸中的資料，並協助確保資料安全地傳輸。
• 使用 Azure Front Door 或 Azure 應用程式閘道 之類的 Web 應用程式防火牆 （WAF），協助保護 Web 應用程式免于常見的 Web 弱點，例如 SQL 插入式攻擊和 XSS 攻擊。

當您使用 App Service 時，安全性是重要的考慮。 藉由仔細管理存取權、實作網路安全性控制、保護您的資料，以及保護您的應用程式，您可以協助確保 App Service 資源受到保護並免于潛在威脅。