Azure App Service'te güvenlik

Bu makalede web Azure App Service, mobil uygulama arka uç, API uygulaması ve işlev uygulamasının güvenliğinin nasıl destek olduğu açıklanmıştır. Ayrıca, yerleşik uygulama özellikleriyle uygulamanıza nasıl daha fazla güvenlik App Service gösterir.

Azure VM 'Leri, depolama, ağ bağlantıları, Web çerçeveleri, yönetim ve tümleştirme özellikleri dahil olmak üzere App Service platform bileşenleri, etkin olarak güvenli ve sağlamlaştırılmış hale getirilir. App Service, şu emin olmak için sürekli olarak vinen uyumluluk denetimlerinden geçer:

• Uygulama kaynaklarınızın diğer müşterilerin Azure kaynaklarından güvenliği sağlanır.
• Yeni keşfedilen güvenlik açıklarını gidermek için sanal makine örnekleri ve çalışma zamanı yazılımı düzenli olarak güncelleştirilir .
• Uygulamanız ve diğer Azure kaynakları (örneğin, SQL veritabanı) arasındaki gizli dizileri (bağlantı dizeleri gibi) Iletişim, Azure 'da kalır ve herhangi bir ağ sınırları boyunca geçmez. Gizli diziler her zaman depolandığında şifrelenir.
• Karma bağlantıgibi App Service bağlantısı özellikleri üzerinden tüm iletişimler şifrelenir.
• Azure PowerShell, Azure CLı, Azure SDK 'Ları, REST API 'Ler gibi uzak yönetim araçları ile kurulan bağlantılar, tümüyle şifrelenir.
• 24 saatlik tehdit yönetimi, altyapıyı ve platformu kötü amaçlı yazılım, dağıtılmış hizmet reddi (DDoS), ortadaki adam (MITD) ve diğer tehditlere karşı korur.

Azure 'da altyapı ve platform güvenliği hakkında daha fazla bilgi için bkz. Azure Güven Merkezi.

Aşağıdaki bölümlerde, uygulamalarınızı tehditlere karşı daha App Service nasıl koruyabilirsiniz?

HTTPS ve Sertifikalar

App Service HTTPS ile uygulamalarınızı güvenli hale alasiniz. Uygulama oluşturulduğunda, varsayılan etki alanı adına <app_name> (.azurewebsites.net) HTTPS kullanılarak zaten erişilebilir. Uygulamanız için özel bir etki alanı yapılandırıyorsanız,istemci tarayıcılarının özel etki alanınıza güvenli HTTPS bağlantıları kurması için tlS/SSL sertifikasıyla da güvenliğini sağlamanız gerekir. Sertifikalar tarafından desteklenen çeşitli sertifika türleri App Service:

• Ücretsiz App Service Yönetilen Sertifika
• App Service sertifikası
• Üçüncü taraf sertifikası
• Azure Key Vault'den içe aktarılan sertifika

Daha fazla bilgi için, bkz. Add a TLS/SSL certificate in Azure App Service.

Güvenli olmayan protokoller (HTTP, TLS 1.0, FTP)

Uygulamalarınızı tüm şifrelenmemiş (HTTP) bağlantılara karşı güvenli hale App Service HTTPS'yi zorunlu hale etmek için tek tıklamayla yapılandırma sağlar. Güvenliksiz istekler, uygulama kodunuza ulaşmadan önce geri çevrilebilir. Daha fazla bilgi için bkz. HTTPS'yi zorlama.

TLS 1.0, artık PCI DSS gibi sektör standartları tarafından güvenli olarak kabul PCI DSS. App Service TLS 1.1/1.2'yizorlayarak, zaman dışı protokolleri devre dışı bırakmanızı sağlar.

App Service, dosyalarınızı dağıtmak için hem FTP hem de FTPS'yi destekler. Ancak mümkünse FTPS yerine FTPS kullanılmalıdır. Bu protokollerden biri veya ikisi birden kullanım dışıyken bunları devre dışı bırakmanız gerekir.

Statik IP kısıtlamaları

Varsayılan olarak, App Service uygulamanız İnternet'in tüm IP adreslerinden gelen istekleri kabul eder, ancak bu erişimi ip adreslerinin küçük bir alt kümesiyle sınırlandırabilirsiniz. App Service Windows, uygulamanıza erişmesine izin verilen IP adreslerinin listesini tanımlamanıza olanak sağlar. İzin verilenler listesi tek tek IP adreslerini veya bir alt ağ maskesi tarafından tanımlanan bir IP adresi aralığını içerebilir. Daha fazla bilgi için bkz. Azure App Service Statik IP Kısıtlamaları.

Ağ App Service için Windows ip adreslerini dinamik olarak kısıtlamak için ip adresini web.config. Daha fazla bilgi için bkz. Dinamik IP Güvenliği. <dynamicIpSecurity>

İstemci kimlik doğrulaması ve yetkilendirme

Azure App Service anahtar teslim kimlik doğrulaması ve kullanıcı veya istemci uygulamaları yetkilendirmesi sağlar. Etkinleştirildiğinde, çok az uygulama koduyla veya hiç uygulama koduyla kullanıcıların ve istemci uygulamalarının oturum açmasını silebilir. Kendi kimlik doğrulama ve yetkilendirme çözümlerinizi gerçekleştirebilir veya App Service sizin için işlemesine izin vesersiniz. Kimlik doğrulama ve yetkilendirme modülü, web isteklerini uygulama kodunuza teslimmeden önce işlemeye devam eder ve yetkisiz istekleri kodunuza ulaşmadan önce geri verir.

App Service kimlik doğrulaması ve yetkilendirme; Azure Active Directory, Microsoft hesapları, Facebook, Google ve Twitter gibi birden çok kimlik doğrulama sağlayıcısını destekler. Daha fazla bilgi için bkz. Azure App Service’de kimlik doğrulama ve yetkilendirme.

Hizmetten hizmete kimlik doğrulaması

Bir arka uç hizmetine karşı kimlik doğrulama App Service gereksinimlerinize bağlı olarak iki farklı mekanizma sağlar:

• Hizmet kimliği - Uygulamanın kimliğini kullanarak uzak kaynakta oturum açın. App Service kolayca bir yönetilen kimlik oluşturmanızaolanak sağlar. Bu kimliği kullanarak Azure SQL Veritabanı veya Azure Key Vault. Bu yaklaşımın uz adım öğreticisi için bkz. Yönetilen Azure SQL Veritabanı kullanarak App Service bağlantının güvenliğini sağlama.
• Adına (OBO) - Kullanıcı adına uzak kaynaklara temsilci erişimi yapma. Kimlik Azure Active Directory sağlayıcısı olarak App Service ile, App Service uygulamanız Microsoft Graph API'si veya App Service'daki bir uzak API uygulaması gibi bir uzak hizmete temsilci ile oturum App Service. Bu yaklaşımın 10.000.000'den fazla öğreticisi için bkz. Azure App Service.

Uzak kaynaklara bağlantı

Uygulamanıza erişmesi gereken üç tür uzak kaynak vardır:

• Azure kaynakları
• Azure Sanal Ağı içindeki kaynaklar
• Şirket içi kaynaklar

Bu örneklerin her biri, App Service bağlantılar kurmanın bir yolunu sağlar, ancak yine de en iyi güvenlik uygulamalarını gözlemlelisiniz. Örneğin, arka uç kaynağı şifrelenmemiş bağlantılara izin olsa bile her zaman şifreli bağlantılar kullanın. Ayrıca, arka uç Azure hizmetinizin en düşük IP adresi kümesine izin olduğundan emin olun. Uygulamanıza giden IP adreslerini uygulama içinde Gelen ve giden IP adresleri'nde bulabilirsiniz Azure App Service.

Azure kaynakları

Uygulamanız SQL Veritabanı ve Azure Depolama gibi Azurekaynaklarına bağlandığında, bağlantı Azure içinde kalır ve ağ sınırlarını aşmaz. Ancak, bağlantı Azure'daki paylaşılan ağ üzerinden ilerler, bu nedenle bağlantının her zaman şifrelenir olduğundan emin olun.

Uygulamanız bir sanal makine ortamında App Service,Sanal Ağ hizmet uç noktalarını kullanarak desteklenen Azure hizmetlerine bağlanmanız gerekir.

Azure Sanal Ağı içindeki kaynaklar

Uygulamanız Sanal Ağ tümleştirmesi aracılığıyla bir Azure Sanal Ağı'nın kaynaklarına erişebilirsiniz. Tümleştirme, noktadan siteye VPN kullanılarak bir Sanal Ağ ile kurulur. Uygulama daha sonra özel IP adreslerini kullanarak Sanal Ağ'daki kaynaklara erişebilirsiniz. Ancak noktadan siteye bağlantı, Azure'da paylaşılan ağlarda geçişe devam ediyor.

Kaynak bağlantınızı Azure'daki paylaşılan ağlardan tamamen yalıtmak için, App Service oluşturun. Sanal App Service her zaman ayrılmış bir Sanal Ağa dağıtıldığından, uygulama ve Sanal Ağ içindeki kaynaklar arasındaki bağlantı tamamen yalıtılmış olur. Bir ağ ortamında ağ güvenliğinin diğer yönleri App Service bkz. Ağ yalıtımı.

Şirket içi kaynaklar

Veritabanları gibi şirket içi kaynaklara üç şekilde güvenli bir şekilde erişebilirsiniz:

• Karma bağlantılar - TCP tüneli aracılığıyla uzak kaynağınıza noktadan noktaya bağlantı kurma. TCP tüneli, paylaşılan erişim imzası (SAS) anahtarları ile TLS 1.2 kullanılarak kurulur.
• Siteden siteye VPN ile Sanal Ağ tümleştirmesi - AzureSanal Ağı içindeki kaynaklar altında açıklandığı gibi, ancak Sanal Ağ, siteden siteye VPN üzerinden şirket içi ağınıza bağlanabilir. Bu ağ topolojisinde, uygulamanız Sanal Ağ'daki diğer kaynaklar gibi şirket içi kaynaklara bağlanabilirsiniz.
• App Service vpn'i olan bir ortam kullanın - AzureSanal Ağı içindeki kaynaklar altında açıklandığı gibi, ancak Sanal Ağ bir siteden siteye VPN üzerinden şirket içi ağınıza bağlanabilir. Bu ağ topolojisinde, uygulamanız Sanal Ağ'daki diğer kaynaklar gibi şirket içi kaynaklara bağlanabilirsiniz.

Uygulama gizli dizileri

Veritabanı kimlik bilgileri, API belirteçleri ve özel anahtarlar gibi uygulama gizli dizilerini kod veya yapılandırma dosyalarınıza depolamayın. Yaygın olarak kabul edilen yaklaşım, tercih edilen dilde standart deseni kullanarak ortam değişkenleri olarak bu değişkenlere erişmektir. Bu App Service, ortam değişkenlerini tanımlamanın yolu uygulama ayarlarıdır (ve özellikle .NET uygulamaları için bağlantı dizeleri). Uygulama ayarları ve bağlantı dizeleri Azure'da şifrelenmiş olarak depolanır ve şifresi yalnızca uygulama başlatıldığında uygulamanın işlem belleğine eklenmeden önce çözülmüş olur. Şifreleme anahtarları düzenli olarak döndürülür.

Alternatif olarak, gelişmiş gizli dizi yönetimi App Service uygulamalarınızı Azure Key Vault ile tümleştirebilirsiniz. Uygulamanıza yönetilen Key Vault erişerek,App Service gizli dizilere güvenli bir şekilde erişebilirsiniz.

Ağ yalıtımı

Yalıtılmış fiyatlandırma katmanı dışında, tüm katmanlar uygulamalarınızı paylaşılan ağ altyapısında App Service. Örneğin, genel IP adresleri ve ön uç yük dengeciler diğer kiracılarla paylaşılır. Yalıtılmış katmanı, uygulamalarınızı ayrılmış bir ortamın içinde çalıştırarak App Service sağlar. Bir App Service ortamı kendi Azure Sanal Ağ örneğiniz içinde çalışır. Şunları sağlar:

• Uygulamalarınıza ayrılmış ön uçlarla ayrılmış bir genel uç nokta üzerinden hizmet verin.
• Yalnızca Azure Sanal Ağ içinden erişime izin veren bir iç yük dengeleyici (ILB) kullanarak iç uygulamaya hizmet edin. ILB'nin özel alt ağınıza bağlı bir IP adresi vardır ve bu da uygulamalarınızı internetten tamamen yalıtmanızı sağlar.
• Web uygulaması güvenlik duvarının (WAF) arkasında bir ILB kullanın. WAF, DDoS koruması, URI filtreleme ve uygulama ekleme önleme gibi genel SQL sunar.

Daha fazla bilgi için bkz. Azure App Service'a Giriş.