Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece considerações de design e recomendações para gerenciamento de identidade e acesso que você pode aplicar ao usar o acelerador de zona de destino do Serviço de Aplicativo do Azure. A autenticação e a configuração do aplicativo são algumas das considerações discutidas neste artigo.
Saiba mais sobre a área de design de gerenciamento de identidades e acesso.
Considerações sobre o design
Quando você usa o acelerador de zona de destino para implantar uma solução do Serviço de Aplicativo, há algumas considerações importantes para o gerenciamento de identidade e acesso de chave:
- Determine o nível de segurança e isolamento necessários para o aplicativo e seus dados. O acesso público permite que qualquer pessoa com a URL do aplicativo acesse o aplicativo, enquanto o acesso privado restringe o acesso somente a usuários e redes autorizados.
- Determine o tipo de autenticação e autorização necessários para sua solução do Serviço de Aplicativo: usuários corporativos anônimos, internos, contas sociais, outro provedor de identidade ou uma combinação desses tipos.
- Determine se as identidades gerenciadas atribuídas pelo sistema ou pelo usuário devem ser usadas quando a solução do App Service se conectar aos recursos de back-end protegidos pela Identidade do Microsoft Entra.
- Considere a criação de funções personalizadas, seguindo o princípio de privilégio mínimo quando as funções prontas para uso exigem modificações nas permissões existentes.
- Escolha armazenamento de segurança avançada para chaves, segredos, certificados e configuração de aplicativo.
- Use a configuração do aplicativo para compartilhar valores comuns de configuração que não são senhas, segredos ou chaves entre aplicativos, microsserviços e aplicativos sem servidor.
- Use o Azure Key Vault. Ele fornece armazenamento de segurança avançada de senhas, cadeias de conexão, chaves, segredos e certificados. Você pode usar o Key Vault para armazenar seus segredos e acessá-los do aplicativo do Serviço de Aplicativo por meio da identidade gerenciada do Serviço de Aplicativo. Ao fazer isso, você pode ajudar a manter seus segredos seguros enquanto ainda fornece acesso a eles do seu aplicativo, conforme necessário.
Recomendações de design
Você deve incorporar as seguintes práticas recomendadas em suas implantações do Serviço de Aplicativo:
- Se a solução do Serviço de Aplicativo exigir autenticação:
- Se o acesso a toda a solução do Serviço de Aplicativo precisar ser restrito a usuários autenticados, desabilite o acesso anônimo.
- Use os recursos internos de autenticação e autorização do Serviço de Aplicativo em vez de escrever seu próprio código de autenticação e autorização.
- Use registros de aplicativo separados para ambientes ou slots separados.
- Se a solução do Serviço de Aplicativo for destinada somente a usuários internos, use a autenticação de certificado do cliente para aumentar a segurança.
- Se a solução do Serviço de Aplicativo for destinada a usuários externos, use a ID Externa do Microsoft Entra para autenticar em contas sociais e contas do Microsoft Entra.
- Use funções internas do Azure sempre que possível. Essas funções são projetadas para fornecer um conjunto de permissões que normalmente são necessárias para cenários específicos, como a função Leitor para usuários que precisam de acesso somente leitura e a função Colaborador para usuários que precisam ser capazes de criar e gerenciar recursos.
- Se as funções internas não atenderem às suas necessidades, você poderá criar funções personalizadas combinando as permissões de uma ou mais funções internas. Ao fazer isso, você pode conceder o conjunto exato de permissões de que os usuários precisam enquanto ainda seguem o princípio de privilégios mínimos.
- Monitore regularmente os recursos do Serviço de Aplicativo para garantir que eles estejam sendo usados de acordo com suas políticas de segurança. Isso pode ajudá-lo a identificar qualquer acesso não autorizado ou alterações e tomar as ações apropriadas.
- Use o princípio de privilégio mínimo ao atribuir permissões a usuários, grupos e serviços. Esse princípio indica que você deve conceder apenas as permissões mínimas necessárias para executar a tarefa específica e não mais. Seguir estas diretrizes pode ajudá-lo a reduzir o risco de alterações acidentais ou mal-intencionadas em seus recursos.
- Use identidades gerenciadas atribuídas pelo sistema para acessar, com segurança aprimorada, recursos de back-end protegidos pelo Microsoft Entra ID. Isso permite controlar a quais recursos a solução do Serviço de Aplicativo tem acesso e quais permissões ela tem para esses recursos.
- Para implantação automatizada, configure uma entidade de serviço com as permissões mínimas necessárias para implantar a partir do pipeline de CI/CD.
- Habilite os logs de diagnóstico AppServiceHTTPLogs para o Serviço de Aplicativo. Você pode usar esses logs detalhados para diagnosticar problemas com seu aplicativo e monitorar solicitações de acesso. Habilitar esses logs também fornece um log de atividades do Azure Monitor que fornece informações sobre eventos no nível da assinatura.
- Siga as recomendações descritas nas seções de gerenciamento de identidade e acesso privilegiado da linha de base de segurança do Azure para o Serviço de Aplicativo.
O objetivo do gerenciamento de identidade e acesso para o acelerador de zona de destino é ajudar a garantir que o aplicativo implantado e seus recursos associados sejam seguros e possam ser acessados apenas por usuários autorizados. Isso pode ajudá-lo a proteger dados confidenciais e evitar o uso indevido do aplicativo e de seus recursos.