Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье мы обсудим коллекцию рекомендаций по обеспечению безопасности Azure App Service для защиты веб-приложений PaaS и мобильных приложений. Эти рекомендации являются производными от нашего опыта работы с Azure и опыта таких клиентов, как вы.
Azure App Service — это платформа как услуга (PaaS), которая позволяет создавать веб-приложения и мобильные приложения для любой платформы или устройства и подключаться к данным в любом месте в облаке или локальной среде. Служба приложений включает веб-функционал и мобильные возможности, которые ранее предоставлялись отдельно как Azure Websites и Azure Mobile Services. Она также предусматривает новые возможности для автоматизации бизнес-процессов и размещения облачных API. Служба приложений — это отдельная интегрируемая служба, которая добавляет широкий спектр возможностей в сценарии с использованием Интернета, мобильных устройств и интеграции.
Проверка подлинности с помощью Microsoft Entra ID
Служба приложений предоставляет службу OAuth 2.0 для поставщика удостоверений. OAuth 2.0 стремится упростить разработку клиентов и предоставляет определенные процедуры авторизации для веб-приложений, настольных приложений и мобильных телефонов. Microsoft Entra ID использует OAuth 2.0 для авторизации доступа к мобильным и веб-приложениям. Дополнительные сведения см. в разделе Аутентификация и авторизация в Azure App Service.
Ограничение доступа на основе роли
Ограничение доступа крайне важно для организаций, которые планируют применять политики безопасности для доступа к данным. Вы можете использовать Azure управление доступом на основе ролей (Azure RBAC) для назначения разрешений пользователям, группам и приложениям в определенной области, таким как необходимость знать и принципы безопасности с минимальными привилегиями. Чтобы узнать больше о предоставлении пользователям доступа к приложениям, см. статью Что такое управление доступом на основе ролей в Azure (Azure RBAC).
Обеспечение защиты ключей
Неважно, насколько надежна ваша система безопасности, если ключи подписки будут утеряны. Azure Key Vault помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. С помощью Key Vault можно шифровать ключи и секреты (например, ключи проверки подлинности, ключи учетной записи хранения, ключи шифрования данных, . PFX-файлы и пароли с помощью ключей, защищенных аппаратными модулями безопасности (HSM). Для повышения безопасности можно импортировать или создавать ключи в HSM. Вы также можете использовать Key Vault для управления сертификатами TLS с автоматическим продлением. Дополнительные сведения см. в разделе Что такое Azure Key Vault.
Ограничение исходных IP-адресов входящего трафика
Среды службы приложений имеют функцию интеграции с виртуальной сетью, которая помогает ограничить входящие IP-адреса с помощью групп безопасности сети (NSG). Если вы не знакомы с виртуальными сетями Azure (VNET), это функция, которая позволяет помещать многие ресурсы Azure в закрытую сеть с маршрутизацией, к которой вы контролируете доступ. Дополнительные сведения см. в статье Интеграция вашего приложения с Azure Virtual Network.
Для службы приложений на Windows можно также динамически ограничить IP-адреса, настроив web.config. Дополнительные сведения см. в разделе Dynamic IP Security.
Следующие шаги
В этой статье был представлен набор рекомендаций по безопасности службы приложений, предназначенных для защиты веб-приложений и мобильных приложений PaaS. Дополнительные сведения о безопасности развернутых служб PaaS см. в следующих статьях: