Рекомендации по защите мобильных приложений и веб-приложений PaaS с помощью Службы приложений Azure
В этой статье рассматривается набор рекомендаций по безопасности службы приложений Azure, предназначенных для защиты веб-приложений и мобильных приложений PaaS. Эти рекомендации основаны на нашем опыте, полученном в процессе использования Azure AD, и на отзывах других пользователей.
Служба приложений Azure — это предложение типа "платформа как услуга" (PaaS), которое позволяет создавать веб-приложения и мобильные приложения для любой платформы или устройства и подключаться к данным откуда угодно, как в облаке, так и в локальной среде. Служба приложений обладает возможностями для работы в сетевой и мобильной среде, которые ранее предлагались отдельно в службе "Веб-сайты Azure" и мобильных службах Azure. Она также предусматривает новые возможности для автоматизации бизнес-процессов и размещения облачных API. Служба приложений — это отдельная интегрируемая служба, которая добавляет широкий спектр возможностей в сценарии с использованием Интернета, мобильных устройств и интеграции.
Проверка подлинности с помощью идентификатора Microsoft Entra
Служба приложений предоставляют службу OAuth 2.0 для поставщика удостоверений. Служба OAuth 2.0 предназначена упростить разработку клиентов, так как предоставляет определенные процедуры авторизации для веб-приложений, классических приложений и мобильных телефонов. Идентификатор Microsoft Entra использует OAuth 2.0, чтобы разрешить доступ к мобильным и веб-приложениям. Дополнительные сведения см. в статье Проверка подлинности и авторизация в службе приложений Azure.
Ограничение доступа на основе роли
Ограничение доступа крайне важно для организаций, которые планируют применять политики безопасности для доступа к данным. Контроль доступа на основе ролей Azure (Azure RBAC) можно использовать для назначения пользователям, группам и приложениям разрешений, действующих в рамках определенной области, с учетом принципов необходимых сведений и минимально необходимых полномочий. Чтобы узнать больше о предоставлении пользователям доступа к приложениям, ознакомьтесь со статьей Что такое управление доступом на основе ролей в Azure (RBAC)?
Обеспечение защиты ключей
Неважно, насколько надежна ваша система безопасности, если ключи подписки будут утеряны. Azure Key Vault помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. С помощью Key Vault можно шифровать ключи и секреты (например, ключи аутентификации, ключи учетных записей хранения, ключи шифрования данных, PFX-файлы и пароли), используя ключи, защищенные аппаратными модулями безопасности. Для повышения безопасности можно импортировать или создавать ключи в HSM. Key Vault можно также использовать для управления TLS-сертификатами с автоматическим продлением. Чтобы узнать больше, ознакомьтесь с разделом Что такое хранилище ключей Azure?
Ограничение исходных IP-адресов входящего трафика
В среде службы приложений есть возможность интеграции виртуальных сетей, которая помогает ограничить IP-адреса входящего трафика с помощью групп безопасности сети (NSG). Если вы не знакомы с виртуальными сетями Azure, вот краткое описание. Эта функция позволяет размещать множество ресурсов Azure в сети, недоступной из Интернета, а также самостоятельно управлять доступом к ним. Дополнительные сведения см. в статье Интеграция приложения с виртуальной сетью Azure.
Для службы приложений в Windows вы также можете ограничить IP-адреса динамически, настроив web.config. Чтобы узнать больше, ознакомьтесь со статьей о безопасности динамических IP-адресов.
Следующие шаги
В этой статье был представлен набор рекомендаций по безопасности службы приложений, предназначенных для защиты веб-приложений и мобильных приложений PaaS. Дополнительные сведения о безопасности развернутых служб PaaS см. в следующих статьях: