使用 Azure App Service 保護 PaaS Web 與行動應用程式的最佳做法
在本文中,我們將討論用來保護 PaaS Web 與行動應用程式的 Azure App Service 安全性最佳做法。 這些最佳做法衍生自我們的 Azure 經驗和客戶 (例如您自己) 的經驗。
Azure App Service 是一個平台即服務 (PaaS) 供應項目,可讓您為任何平台或裝置建立 Web 與行動應用程式,以及連線到雲端或內部部署環境中任何位置的資料。 App Service 包含先前分別作為 Azure 網站和 Azure 行動服務傳遞的 Web 和行動功能。 它也包含將商務程序自動化及裝載雲端 API 的新功能。 App Service 是單一整合式服務,為 Web、行動裝置和整合案例帶來了一組豐富的功能。
透過 Microsoft Entra ID 進行驗證
App Service 可為您的識別提供者提供 OAuth 2.0 服務。 OAuth 2.0 目的是讓用戶端開發人員容易上手,同時為 Web 應用程式、桌面應用程式和行動電話提供特定的授權流程。 Microsoft Entra ID 會使用 OAuth 2.0,讓您授與行動和 Web 應用程式的存取權。 若要深入了解,請參閱 Azure App Service 中的驗證與授權。
根據角色限制存取
對於想要強制執行資料存取安全性原則的組織來說,限制存取是必須做的事。 您可以使用 Azure 角色型存取控制 (Azure RBAC) 將權限指派給特定範圍的使用者、群組和應用程式,例如,需要知道並擁有最低權限安全性原則。 若要深入了解授與使用者的應用程式存取權,請參閱什麼是 Azure 角色型存取控制 (Azure RBAC)。
保護您的金鑰
如果您遺失訂用帳戶金鑰,則安全性措施做得再好也沒有用。 Azure Key Vault 可協助保護雲端應用程式和服務所使用的加密金鑰和密碼。 透過 Key Vault,您可以使用受硬體安全性模組 (HSM) 保護的金鑰,來加密金鑰和秘密 (例如驗證金鑰、儲存體帳戶金鑰、資料加密金鑰、.PFX 檔案和密碼)。 為了多加一層保護,您可以在 HSM 中匯入或產生金鑰。 您也可以使用 Key Vault,透過自動續約來管理 TLS 憑證。 若要深入了解,請參閱什麼是 Azure Key Vault。
限制連入來源 IP 位址
App Service 環境具有虛擬網路整合功能,可協助您透過網路安全性群組 (NSG) 限制連入來源 IP 位址。 如果您不熟悉「Azure 虛擬網路」(VNET),這是一種功能,可讓您將許多 Azure 資源放在由您控制存取的非網際網路、可路由網路中。 若要深入了解,請參閱將您的應用程式與 Azure 虛擬網路整合。
對於 Windows 上的 App Service,您也可以藉由設定 web.config 來動態限制 IP 位址。如需詳細資訊,請參閱動態 IP 安全性。
下一步
本文介紹了用來保護 PaaS Web 與行動應用程式的一組 App Service 安全性最佳做法。 若要深入了解如何保護您的 PaaS 部署,請參閱︰