使用 Azure App 服務 保護 PaaS Web 和行動應用程式的最佳做法
在本文中,我們會討論保護 PaaS Web 和行動應用程式的Azure App 服務 安全性最佳做法集合 。 這些最佳做法衍生自我們的 Azure 體驗,以及像自己這樣的客戶體驗。
Azure App 服務是平臺即服務 (PaaS) 供應專案,可讓您為任何平臺或裝置建立 Web 和行動應用程式,並聯機到雲端或內部部署的任何位置資料。 App Service 包含先前分別作為 Azure 網站和 Azure 行動服務傳遞的 Web 和行動功能。 它也包含將商務程序自動化及裝載雲端 API 的新功能。 App Service 是單一整合式服務,為 Web、行動裝置和整合案例帶來了一組豐富的功能。
透過 Microsoft Entra 識別碼進行驗證
App Service 會為您的識別提供者提供 OAuth 2.0 服務。 OAuth 2.0 著重于用戶端開發人員的簡單性,同時為 Web 應用程式、傳統型應用程式和行動電話提供特定的授權流程。 Microsoft Entra ID 會使用 OAuth 2.0,讓您授權存取行動和 Web 應用程式。 若要深入瞭解,請參閱 Azure App 服務 中的驗證和授權。
根據角色限制存取
限制存取對於想要強制執行資料存取安全性原則的組織而言,勢在必行。 您可以使用 Azure 角色型存取控制 (Azure RBAC) 將許可權指派給特定範圍的使用者、群組和應用程式,例如需要知道和最低許可權的安全性原則。 若要深入瞭解將應用程式存取權授與使用者,請參閱 什麼是 Azure 角色型存取控制(Azure RBAC)。
保護您的金鑰
如果您遺失訂用帳戶金鑰,您的安全性並不重要。 Azure Key Vault 可協助保護雲端應用程式和服務所使用的加密金鑰和密碼。 透過金鑰保存庫,您可以加密金鑰和秘密(例如驗證金鑰、儲存體帳戶金鑰、資料加密金鑰、 。PFX 檔案和密碼使用受硬體安全性模組 (HSM) 保護的金鑰。 為了多加一層保護,您可以在 HSM 中匯入或產生金鑰。 您也可以使用 金鑰保存庫,透過自動更新來管理 TLS 憑證。 若要深入瞭解,請參閱 什麼是 Azure 金鑰保存庫 。
限制連入來源 IP 位址
App Service 環境具有虛擬網路整合功能,可協助您透過網路安全性群組 (NSG) 限制連入來源 IP 位址。 如果您不熟悉 Azure 虛擬網絡 (VNET),這是一項功能,可讓您將許多 Azure 資源放在可控制存取的非網際網路可路由網路中。 若要深入瞭解,請參閱 整合您的應用程式與 Azure 虛擬網絡 。
針對 Windows 上的 App Service,您也可以透過設定 web.config 來動態限制 IP 位址。如需詳細資訊,請參閱 動態 IP 安全性 。
下一步
本文介紹 App Service 安全性最佳做法集合,以保護 PaaS Web 和行動應用程式。 若要深入瞭解保護 PaaS 部署,請參閱: