Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Служба приложений Azure предоставляет среду "платформа как услуга" (PaaS), которая позволяет создавать, развертывать и масштабировать веб-приложения, серверные серверы мобильных приложений, API RESTful и приложения-функции. При развертывании этой службы важно следовать рекомендациям по обеспечению безопасности для защиты приложений, данных и инфраструктуры.
В этой статье приводятся рекомендации по обеспечению безопасности развертывания Службы приложений Azure.
Служба приложений Azure активно защищает и укрепляет компоненты своей платформы, включая виртуальные машины Azure, хранилище, сетевые подключения, веб-фреймворки и возможности управления и интеграции. Служба приложений проходит непрерывные, строгие проверки соответствия, чтобы обеспечить следующее:
- Каждое приложение отделяется от других приложений и ресурсов Azure.
- Регулярные обновления виртуальных машин и программного обеспечения среды выполнения устраняют вновь обнаруженные уязвимости.
- Обмен секретами и строками подключения между приложениями и другими ресурсами Azure, такими как База данных SQL Azure , происходит только в Azure, не пересекая границы сети. Хранимые секреты всегда шифруются.
- Все коммуникации через возможности подключения службы приложений, такие как гибридное подключение, шифруются.
- Все подключения через средства удаленного управления, такие как Azure PowerShell, Azure CLI, пакеты SDK Azure и REST API, шифруются.
- Непрерывное управление угрозами защищает инфраструктуру и платформу от вредоносных программ, распределенных атак типа "отказ в обслуживании" (DDoS) и атак "злоумышленник в середине" и других угроз.
Дополнительные сведения о безопасности инфраструктуры и платформы в Azure см. в Центре управления безопасностью Azure.
Сетевая безопасность
Служба приложений поддерживает множество функций безопасности сети для блокировки приложений и предотвращения несанкционированного доступа.
Настройка частных конечных точек: устранение уязвимости общедоступного Интернета путем маршрутизации трафика в службу приложений через виртуальную сеть с помощью Приватного канала Azure, обеспечивая безопасное подключение для клиентов в частных сетях. См. статью "Использование частных конечных точек для службы приложений Azure".
Реализуйте интеграцию виртуальной сети: защитите исходящий трафик, позволяя приложению получать доступ к ресурсам в виртуальной сети Azure или через виртуальную сеть Azure, сохраняя изоляцию от общедоступного Интернета. См. статью Интеграция приложения с виртуальной сетью Azure.
Настройка ограничений доступа к IP-адресам: ограничение доступа к приложению путем определения списка разрешенных IP-адресов и подсетей, которые могут получить доступ к приложению, блокируя весь другой трафик. Вы можете определить отдельные IP-адреса или диапазоны, определенные масками подсети, и настроить динамические ограничения IP-адресов с помощью web.config файлов в приложениях Windows. См. статью "Настройка ограничений доступа к службе приложений Azure".
Настройте ограничения конечной точки службы: блокировка входящего доступа к приложению из определенных подсетей в виртуальных сетях с помощью конечных точек службы, которые работают вместе с ограничениями доступа к IP-адресам для фильтрации на уровне сети. См. ограничения доступа к службе приложений Azure.
Использование брандмауэра веб-приложений. Повышение защиты от распространенных веб-уязвимостей и атак путем реализации Azure Front Door или Шлюза приложений с возможностями брандмауэра веб-приложений перед службой приложений. См. брандмауэр веб-приложений Azure в Шлюзе приложений Azure.
Управление удостоверениями и доступом
Правильное управление удостоверениями и элементами управления доступом важно для защиты развертываний Службы приложений Azure от несанкционированного использования и потенциальной кражи учетных данных.
Включите управляемые удостоверения для исходящих запросов: безопасно проходить проверку подлинности в службах Azure из приложения без хранения учетных данных в коде или конфигурации с помощью управляемых удостоверений, устраняя необходимость управления субъектами-службами и строками подключения. Управляемые удостоверения предоставляют автоматическое управляемое удостоверение в идентификаторе Microsoft Entra для приложения, используемого при выполнении исходящих запросов к другим службам Azure, таким как База данных SQL Azure, Azure Key Vault и служба хранилища Azure. Служба приложений поддерживает управляемые удостоверения, назначенные системой и назначаемые пользователем. См. раздел "Использование управляемых удостоверений для службы приложений и функций Azure".
Настройка проверки подлинности и авторизации. Реализуйте проверку подлинности и авторизацию службы приложений для защиты приложения с помощью идентификатора Microsoft Entra или других поставщиков удостоверений, предотвращая несанкционированный доступ без написания пользовательского кода проверки подлинности. Встроенный модуль проверки подлинности обрабатывает веб-запросы перед передачей в код приложения и поддерживает несколько поставщиков, включая идентификатор Microsoft Entra, учетные записи Майкрософт, Facebook, Google и X. См. сведения о проверке подлинности и авторизации в Службе приложений Azure.
Реализуйте управление доступом на основе ролей для операций управления: Контролируйте, кто может управлять и настраивать ресурсы вашей службы приложений (плоскость управления), назначая минимально необходимые разрешения Azure RBAC пользователям и сервисным элементам, следуя принципу наименьших привилегий. Это управляет административным доступом к операциям, таким как создание приложений, изменение параметров конфигурации и управление развертываниями, отдельно от проверки подлинности на уровне приложения (простая проверка подлинности) или аутентификация между приложениями и ресурсами (управляемые удостоверения). См. статью Встроенные роли Azure.
Реализуйте аутентификацию от имени другого пользователя: Делегируйте доступ к удаленным ресурсам от имени пользователей с использованием Microsoft Entra ID в качестве провайдера аутентификации. Ваше приложение службы приложений может выполнять делегированную аутентификацию для таких сервисов, как Microsoft Graph или удалённые API-приложения службы приложений. Полный пошаговый учебник см. в разделе "Проверка подлинности и авторизация пользователей с нуля до конца в службе приложений Azure".
Включение взаимной проверки подлинности TLS. Требовать сертификаты клиента для дополнительной безопасности, если приложению необходимо проверить удостоверение клиента, особенно для сценариев B2B или внутренних приложений. См. раздел "Настройка взаимной проверки подлинности TLS" для службы приложений Azure.
Защита данных
Защита передаваемых и неактивных данных имеет решающее значение для обеспечения конфиденциальности и целостности приложений и их данных.
Принудительное применение ПРОТОКОЛА HTTPS: перенаправьте весь HTTP-трафик на HTTPS, включив режим только HTTPS, обеспечивая шифрование всего обмена данными между клиентами и приложением. По умолчанию служба приложений принудительно перенаправляет http-запросы на HTTPS, а доменное имя
<app_name>.azurewebsites.netвашего приложения по умолчанию уже доступно через HTTPS. См. раздел "Настройка общих параметров".Настройка версии TLS: используйте современные протоколы TLS, настроив минимальную версию TLS до версии 1.2 или более поздней, и отключите устаревшие небезопасные протоколы, чтобы предотвратить потенциальные уязвимости. Служба приложений поддерживает TLS 1.3 (последнюю версию), TLS 1.2 (минимум по умолчанию) и TLS 1.1.0 (только для обратной совместимости). Настройте минимальную версию TLS для веб-приложения и сайта SCM. См. раздел "Настройка общих параметров".
Управление СЕРТИФИКАТами TLS/SSL. Защита пользовательских доменов с помощью правильно настроенных TLS/SSL-сертификатов для установления доверенных подключений. Служба приложений поддерживает несколько типов сертификатов: бесплатные управляемые сертификаты службы приложений, сертификаты службы приложений, сторонние сертификаты и сертификаты, импортированные из Azure Key Vault. Если вы настраиваете личный домен, защитите его с помощью TLS/SSL-сертификата, чтобы браузеры могли обеспечить безопасные подключения HTTPS. См. статью "Добавление TLS/SSL-сертификатов" и управление ими в службе приложений Azure.
Хранение секретов в Key Vault: защита конфиденциальных значений конфигурации, таких как учетные данные базы данных, маркеры API и закрытые ключи, сохраняя их в Azure Key Vault и получая к ним доступ с помощью управляемых удостоверений, а не сохраняя их в параметрах приложения или коде. Ваше приложение службы приложений может безопасно получить доступ к Key Vault с помощью аутентификации с помощью управляемого удостоверения. См. используйте ссылки на Key Vault для службы приложений и функций Azure.
Шифрование параметров приложения: используйте зашифрованные параметры приложения и строки подключения вместо хранения секретов в файлах кода или конфигурации. Служба приложений хранит эти значения, зашифрованные в Azure, и расшифровывает их непосредственно перед внедрением в память процесса приложения при запуске приложения, при этом ключи шифрования регулярно поворачиваются. Доступ к этим значениям в качестве переменных среды с помощью стандартных шаблонов для языка программирования. См. раздел "Настройка параметров приложения".
Безопасные удаленные подключения: всегда используйте зашифрованные подключения при доступе к удаленным ресурсам, даже если внутренний ресурс разрешает незашифрованные подключения. Для ресурсов Azure, таких как База данных SQL Azure и служба хранилища Azure, подключения остаются в Azure и не пересекают границы сети. Для ресурсов виртуальной сети используйте интеграцию виртуальной сети с VPN типа "точка — сеть". Для локальных ресурсов используйте гибридные подключения с TLS 1.2 или интеграцией виртуальной сети с VPN соединениями "точка-точка". Убедитесь, что серверные службы Azure разрешают только самый маленький набор IP-адресов из приложения. См. также раздел Поиск исходящих IP-адресов.
Ведение журналов и мониторинг
Реализация комплексного ведения журнала и мониторинга является важной для обнаружения потенциальных угроз безопасности и устранения проблем с развертыванием службы приложений Azure.
Включение ведения журнала диагностики: настройте журналы диагностики Службы приложений Azure для отслеживания ошибок приложений, журналов веб-сервера, трассировки неудачных запросов и подробных сообщений об ошибках для выявления проблем безопасности и устранения неполадок. См. раздел "Включение ведения журнала диагностики для приложений" в Службе приложений Azure.
Интеграция с Azure Monitor. Настройка Azure Monitor для сбора и анализа журналов и метрик из службы приложений, включение комплексного мониторинга и оповещений о событиях безопасности и проблемах с производительностью. См. статью "Мониторинг приложений" в Службе приложений Azure.
Настройка Application Insights: реализация Application Insights для получения подробных сведений о производительности приложений, шаблонах использования и потенциальных проблемах безопасности с возможностями мониторинга и аналитики в режиме реального времени. См. статью "Мониторинг производительности службы приложений Azure".
Настройка оповещений системы безопасности: создание настраиваемых оповещений для уведомления о ненормальных шаблонах использования, потенциальных нарушениях безопасности или нарушениях работы служб, влияющих на ресурсы службы приложений. См. статью "Создание, просмотр и управление оповещениями метрик" с помощью Azure Monitor.
Включение проверок работоспособности. Настройте проверки работоспособности для отслеживания работоспособности приложения и автоматического устранения проблем, когда это возможно. См. Мониторинг экземпляров службы приложений с помощью проверки работоспособности.
Соответствие требованиям и управление
Обеспечение правильного управления и обеспечение соответствия соответствующим стандартам имеет решающее значение для безопасной работы приложений Службы приложений Azure.
Реализация политики Azure: Обеспечение соблюдения организационных стандартов безопасности для развертываний вашей Службы приложений путем создания и назначения определений политик Azure, которые контролируют и обеспечивают выполнение требований соответствия. См. элементы управления соответствием нормативным требованиям политики Azure для службы приложений Azure.
Ознакомьтесь с рекомендациями по безопасности. Регулярно оценивать состояние безопасности службы приложений с помощью Microsoft Defender для облака для выявления и устранения уязвимостей безопасности и неправильной настройки. См. статью "Защита веб-приложений и API-интерфейсов службы приложений Azure".
Проводите оценки безопасности: выполняйте регулярные оценки безопасности и тестирование на проникновение приложений службы приложений для выявления потенциальных уязвимостей и слабых мест безопасности. См. тест производительности облачной безопасности Майкрософт.
Обеспечение соответствия нормативным требованиям: настройте развертывания службы приложений в соответствии с применимыми нормативными требованиями для вашей отрасли и региона, особенно в отношении защиты данных и конфиденциальности. См. документацию по соответствию Требованиям Azure.
Реализуйте безопасные методики DevOps: создайте безопасные конвейеры CI/CD для развертывания приложений в Службе приложений, включая сканирование кода, проверку зависимостей и автоматическое тестирование безопасности. См. статью DevSecOps в Azure.
Резервное копирование и восстановление
Реализация надежных механизмов резервного копирования и восстановления необходима для обеспечения непрерывности бизнес-процессов и защиты данных в развертываниях Службы приложений Azure.
Включение автоматических резервных копий: настройте запланированные резервные копии для приложений службы приложений, чтобы обеспечить восстановление приложений и данных в случае случайного удаления, повреждения или других сбоев. См. статью "Резервное копирование и восстановление приложения" в Службе приложений Azure.
Настройка хранения резервных копий. Задайте соответствующие сроки хранения резервных копий на основе ваших бизнес-требований и требований соответствия требованиям, обеспечивая сохранение критически важных данных в течение требуемой длительности. См. статью "Резервное копирование и восстановление приложения" в Службе приложений Azure.
Реализуйте развертывания с несколькими регионами: разверните критически важные приложения в нескольких регионах, чтобы обеспечить высокий уровень доступности и возможности аварийного восстановления в случае региональных сбоев. См. Руководство: Создание высокодоступного приложения с несколькими регионами в Службе приложений.
Проверка восстановления резервного копирования. Регулярно тестируйте процесс восстановления резервного копирования, чтобы убедиться, что резервные копии действительны и могут быть успешно восстановлены при необходимости, проверяя как функциональные возможности приложения, так и целостность данных. См. статью "Восстановление приложения из резервной копии".
Процедуры восстановления документов: создание и обслуживание комплексной документации по процедурам восстановления, обеспечение быстрого и эффективного реагирования во время сбоев служб или аварий.
Безопасность для конкретной службы
Служба приложений Azure имеет уникальные рекомендации по обеспечению безопасности, которые необходимо решить, чтобы обеспечить общую безопасность веб-приложений.
Отключение базовой проверки подлинности. Отключите обычную проверку подлинности имени пользователя и пароля для конечных точек FTP и SCM в пользу проверки подлинности на основе идентификатора Microsoft Entra, которая обеспечивает проверку подлинности на основе маркеров OAuth 2.0 с повышенной безопасностью. См. раздел "Отключить базовую проверку подлинности" в развертываниях Службы приложений Azure.
Безопасные развертывания FTP/FTPS: отключите доступ к FTP или примените режим только FTPS при использовании FTP для развертываний, чтобы предотвратить передачу учетных данных и содержимого в виде чистого текста. Новые приложения по умолчанию принимают только FTPS. См. статью "Развертывание приложения в службе приложений Azure с помощью FTP/S".
Обеспечение полной сетевой изоляции. Используйте среду службы приложений для запуска приложений в выделенной среде службы приложений в собственном экземпляре виртуальной сети Azure. Это обеспечивает полную сетевую изоляцию от общей инфраструктуры с выделенными общедоступными конечными точками, параметрами внутренней подсистемы балансировки нагрузки (ILB) для внутреннего доступа и возможностью использования подсистемы балансировки нагрузки за брандмауэром веб-приложения для защиты корпоративного уровня. Общие сведения о средах службы приложений Azure.
Реализация защиты от атак DDoS. Используйте брандмауэр веб-приложения (WAF) и защиту от атак DDoS Azure для защиты от новых атак DDoS. Разверните Azure Front Door с WAF для защиты на уровне платформы от атак DDoS на уровне сети. См. статью "Защита от атак DDoS Azure " и Azure Front Door с помощью WAF.