أفضل الممارسات لتأمين تطبيقات PaaS على الويب والأجهزة المحمولة باستخدام خدمة تطبيقات Azure
في هذه المقالة، نناقش مجموعة من أفضل ممارسات أمان خدمة تطبيقات Azure لتأمين تطبيقات الويب والأجهزة المحمولة الخاصة ب PaaS. تستمد أفضل الممارسات هذه من تجربتنا مع Azure وتجارب العملاء مثلك.
Azure App Service عبارة عن نظام أساسي كخدمة (PaaS) يتيح لك إنشاء تطبيقات الويب والأجهزة المحمولة لأي نظام أساسي أو جهاز والاتصال بالبيانات في أي مكان، في السحابة أو محليا. تتضمن خدمة التطبيقات إمكانات الويب والجوال التي تم تسليمها مسبقا بشكل منفصل كمواقع Azure على الويب وخدمات Azure للأجهزة المحمولة. كما يتضمن قدرات جديدة لأتمتة العمليات التجارية واستضافة واجهات برمجة التطبيقات السحابية. كخدمة واحدة متكاملة ، توفر App Service مجموعة غنية من الإمكانات لسيناريوهات الويب والجوال والتكامل.
المصادقة من خلال Azure Active Directory (AD)
توفر خدمة التطبيق خدمة OAuth 2.0 لموفر الهوية الخاص بك. يركز OAuth 2.0 على بساطة مطوري العميل مع توفير تدفقات تفويض محددة لتطبيقات الويب وتطبيقات سطح المكتب والهواتف المحمولة. يستخدم Azure AD OAuth 2.0 لتمكينك من تخويل الوصول إلى تطبيقات الجوال والويب. لمعرفة المزيد، يمكنك الاطلاع على المصادقة والتخويل في خدمات تطبيق Azure.
تقييد الوصول استنادا إلى الدور
يعد تقييد الوصول أمرا ضروريا للمؤسسات التي ترغب في فرض سياسات أمان للوصول إلى البيانات. يمكنك استخدام التحكم في الوصول المستند إلى دور Azure (Azure RBAC) لتعيين أذونات للمستخدمين والمجموعات والتطبيقات في نطاق معين، مثل الحاجة إلى المعرفة ومبادئ الأمان الأقل امتيازا. لمعرفة المزيد حول منح المستخدمين حق الوصول إلى التطبيقات، راجع ما هو التحكم في الوصول المستند إلى دور Azure (Azure RBAC).
حماية مفاتيحك
لا يهم مدى جودة أمانك إذا فقدت مفاتيح الاشتراك الخاصة بك. يساعد Azure Key Vault على حماية مفاتيح التشفير والأسرار التي تستخدمها التطبيقات والخدمات السحابية. باستخدام Key Vault، يمكنك تشفير المفاتيح والأسرار (مثل مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات و. ملفات PFX وكلمات المرور) باستخدام المفاتيح المحمية بواسطة وحدات أمان الأجهزة (HSMs). لمزيد من التأكيد، يمكنك استيراد أو إنشاء مفاتيح في HSMs. يمكنك أيضا استخدام Key Vault لإدارة شهادات TLS باستخدام التجديد التلقائي. راجع ما هو Azure Key Vault لمعرفة المزيد.
تقييد عناوين IP المصدر الواردة
تحتوي بيئات خدمة التطبيقات على ميزة تكامل الشبكة الظاهرية التي تساعدك على تقييد عناوين IP الواردة من المصدر من خلال مجموعات أمان الشبكة (NSGs). إذا لم تكن معتادا على شبكات Azure الظاهرية (VNETs)، فهذه إمكانية تسمح لك بوضع العديد من موارد Azure في شبكة غير متصلة بالإنترنت وقابلة للتوجيه تتحكم في الوصول إليها. لمعرفة المزيد، راجع دمج تطبيقك مع شبكة Azure الظاهرية.
بالنسبة إلى خدمة التطبيقات على Windows، يمكنك أيضا تقييد عناوين IP ديناميكيا عن طريق تكوين web.config. لمزيد من المعلومات، راجع أمان IP الديناميكي.
الخطوات التالية
تعرفك هذه المقالة على مجموعة من أفضل ممارسات أمان خدمة التطبيقات لتأمين تطبيقات الويب والأجهزة المحمولة الخاصة ب PaaS. لمعرفة المزيد حول تأمين عمليات نشر PaaS، راجع: