Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure App Service proporciona un entorno de plataforma como servicio (PaaS) que permite compilar, implementar y escalar aplicaciones web, back-end de aplicaciones móviles, API RESTful y aplicaciones de funciones. Al implementar este servicio, es importante seguir los procedimientos recomendados de seguridad para proteger las aplicaciones, los datos y la infraestructura.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure App Service.
Azure App Service protege y refuerza activamente sus componentes de plataforma, incluidas las máquinas virtuales (VM) de Azure, el almacenamiento, las conexiones de red, los marcos web y las funciones de gestión e integración. App Service se somete a comprobaciones de cumplimiento continuas y rigurosas para garantizar que:
- Cada aplicación se separa de otras aplicaciones y recursos de Azure.
- Las actualizaciones periódicas de las máquinas virtuales y el software en tiempo de ejecución abordan las vulnerabilidades recién detectadas.
- La comunicación de secretos y cadenas de conexión entre aplicaciones y otros recursos de Azure, como Azure SQL Database , solo se produce dentro de Azure, sin cruzar ningún límite de red. Los secretos almacenados siempre se cifran.
- Todas las comunicaciones a través de las características de conectividad de App Service, como la conexión híbrida , se cifran.
- Todas las conexiones a través de herramientas de administración remota como Azure PowerShell, la CLI de Azure, los SDK de Azure y las API REST se cifran.
- La administración continua de amenazas protege la infraestructura y la plataforma contra malware, denegación de servicio distribuido (DDoS) y ataques de tipo "man in the middle" y otras amenazas.
Para más información sobre la seguridad de la infraestructura y la plataforma en Azure, consulte el Centro de confianza de Azure.
Seguridad de red
App Service admite muchas características de seguridad de red para bloquear las aplicaciones y evitar el acceso no autorizado.
Configuración de puntos de conexión privados: elimine la exposición pública de Internet mediante el enrutamiento del tráfico a App Service a través de la red virtual mediante Azure Private Link, lo que garantiza la conectividad segura para los clientes de las redes privadas. Consulte Uso de puntos de conexión privados para Azure App Service.
Implementación de la integración de red virtual: proteja el tráfico saliente al permitir que la aplicación acceda a los recursos de o a través de una red virtual de Azure, a la vez que mantiene el aislamiento de la red pública de Internet. Consulte Integración de la aplicación con una red virtual de Azure.
Configurar restricciones de acceso IP: restrinja el acceso a la aplicación mediante la definición de una lista de direcciones IP permitidas y subredes que pueden acceder a la aplicación, bloqueando el resto del tráfico. Puede definir direcciones IP individuales o intervalos definidos por máscaras de subred y configurar restricciones de IP dinámicas a través de web.config archivos en aplicaciones de Windows. Consulte Configuración de restricciones de acceso de Azure App Service.
Configurar restricciones de punto de conexión de servicio: bloquee el acceso entrante a la aplicación desde subredes específicas de las redes virtuales mediante puntos de conexión de servicio, que funcionan junto con restricciones de acceso IP para proporcionar filtrado de nivel de red. Consulte Restricciones de acceso de Azure App Service.
Use el Firewall de Aplicaciones Web: Mejore la protección contra vulnerabilidades y ataques web comunes mediante la implementación de Azure Front Door o Application Gateway con capacidades de Firewall de Aplicaciones Web frente a su App Service. Consulte Azure Web Application Firewall en Azure Application Gateway.
Administración de identidades y acceso
La administración correcta de identidades y controles de acceso es esencial para proteger las implementaciones de Azure App Service contra el uso no autorizado y el posible robo de credenciales.
Habilitación de identidades administradas para solicitudes salientes: autentíquese en los servicios de Azure de forma segura desde la aplicación sin almacenar credenciales en el código o la configuración mediante identidades administradas, lo que elimina la necesidad de administrar las entidades de servicio y las cadenas de conexión. Las identidades administradas proporcionan una identidad administrada automáticamente en microsoft Entra ID para que la aplicación la use al realizar solicitudes salientes a otros servicios de Azure, como Azure SQL Database, Azure Key Vault y Azure Storage. App Service admite identidades administradas asignadas por el sistema y asignadas por el usuario. Consulte Uso de identidades administradas para App Service y Azure Functions.
Configuración de la autenticación y autorización: implemente la autenticación o autorización de App Service para proteger la aplicación con el identificador de Entra de Microsoft u otros proveedores de identidades, lo que impide el acceso no autorizado sin escribir código de autenticación personalizado. El módulo de autenticación integrada controla las solicitudes web antes de pasarlas al código de la aplicación y admite varios proveedores, como Microsoft Entra ID, cuentas de Microsoft, Facebook, Google y X. Consulte Autenticación y autorización en Azure App Service.
Implemente el control de acceso basado en roles para las operaciones de administración: controle quién puede administrar y configurar los recursos de App Service (plano de administración) mediante la asignación de los permisos mínimos necesarios de Azure RBAC a los usuarios y entidades de servicio siguiendo el principio de privilegios mínimos. Esto controla el acceso administrativo a operaciones como la creación de aplicaciones, la modificación de la configuración y la administración de implementaciones, independientes de la autenticación de nivel de aplicación (Autenticación sencilla) o la autenticación de aplicación a recurso (identidades administradas). Consulte Roles integrados de Azure.
Implementar la autenticación en nombre de otro: Delegue el acceso a recursos remotos en nombre de los usuarios mediante Microsoft Entra ID como proveedor de autenticación. La aplicación de servicio de aplicaciones puede realizar el inicio de sesión delegado en servicios como Microsoft Graph o aplicaciones remotas de API de servicio de aplicaciones. Para ver un tutorial completo, consulte Autenticación y autorización de usuarios de un extremo a otro en Azure App Service.
Habilitar la autenticación TLS mutua: requiera certificados de cliente para mayor seguridad cuando la aplicación necesite comprobar la identidad de cliente, especialmente para escenarios B2B o aplicaciones internas. Consulte Configurar la autenticación mutua TLS para Azure App Service.
Protección de los datos
La protección de los datos en tránsito y en reposo es fundamental para mantener la confidencialidad e integridad de las aplicaciones y sus datos.
Aplicar HTTPS: redirija todo el tráfico HTTP a HTTPS habilitando el modo de solo HTTPS, lo que garantiza que toda la comunicación entre los clientes y la aplicación esté cifrada. De forma predeterminada, App Service fuerza una redirección desde solicitudes HTTP a HTTPS y el nombre
<app_name>.azurewebsites.netde dominio predeterminado de la aplicación ya es accesible a través de HTTPS. Consulte Configuración general.Configuración de la versión de TLS: use protocolos TLS modernos mediante la configuración de la versión mínima de TLS en la versión 1.2 o posterior y deshabilite protocolos obsoletos y no seguros para evitar posibles vulnerabilidades. App Service admite TLS 1.3 (más reciente), TLS 1.2 (mínimo predeterminado) y TLS 1.1/1.0 (solo para compatibilidad con versiones anteriores). Configure la versión mínima de TLS para la aplicación web y el sitio de SCM. Consulte Configuración general.
Administrar certificados TLS/SSL: proteja dominios personalizados mediante certificados TLS/SSL configurados correctamente para establecer conexiones de confianza. App Service admite varios tipos de certificados: certificados administrados de App Service gratuitos, certificados de App Service, certificados de terceros y certificados importados desde Azure Key Vault. Si configura un dominio personalizado, asegúrelo con un certificado TLS/SSL para que los exploradores puedan realizar conexiones HTTPS seguras. Consulte Incorporación y administración de certificados TLS/SSL en Azure App Service.
Almacenamiento de secretos en Key Vault: proteja valores de configuración confidenciales como credenciales de base de datos, tokens de API y claves privadas almacenándolos en Azure Key Vault y accediéndolos mediante identidades administradas, en lugar de almacenarlos en la configuración de la aplicación o el código. La aplicación de App Service puede acceder de forma segura a Key Vault mediante la autenticación de identidad administrada. Consulte Uso de referencias de Key Vault para App Service y Azure Functions.
Cifrar la configuración de la aplicación: use la configuración de la aplicación cifrada y las cadenas de conexión en lugar de almacenar secretos en archivos de código o configuración. App Service almacena estos valores cifrados en Azure y los descifra justo antes de insertarlos en la memoria de proceso de la aplicación cuando se inicia la aplicación, con claves de cifrado rotadas periódicamente. Acceda a estos valores como variables de entorno mediante patrones estándar para el lenguaje de programación. Consulte Configuración de las opciones de la aplicación.
Conexiones remotas seguras: use siempre conexiones cifradas al acceder a recursos remotos, incluso si el recurso back-end permite conexiones sin cifrar. En el caso de los recursos de Azure, como Azure SQL Database y Azure Storage, las conexiones permanecen dentro de Azure y no cruzan los límites de red. Para los recursos de red virtual, use la integración de red virtual con VPN de punto a sitio. Para los recursos locales, use conexiones híbridas con TLS 1.2 o integración de red virtual con VPN de sitio a sitio. Asegúrese de que los servicios de Azure back-end solo permiten el conjunto más pequeño posible de direcciones IP de la aplicación. Consulte Buscar las direcciones IP de salida.
Registro y supervisión
La implementación completa del registro y la supervisión es esencial para detectar posibles amenazas de seguridad y solucionar problemas con la implementación de Azure App Service.
Habilitar el registro de diagnóstico: configure los registros de diagnóstico de Azure App Service para realizar un seguimiento de los errores de aplicación, los registros del servidor web, los seguimientos de solicitudes con errores y los mensajes de error detallados para identificar problemas de seguridad y solucionar problemas. Consulte Habilitación del registro de diagnóstico para aplicaciones en Azure App Service.
Integración con Azure Monitor: configure Azure Monitor para recopilar y analizar registros y métricas de App Service, lo que permite una supervisión completa y alertas de eventos de seguridad y problemas de rendimiento. Consulte Supervisión de aplicaciones en Azure App Service.
Configuración de Application Insights: implemente Application Insights para obtener información detallada sobre el rendimiento de la aplicación, los patrones de uso y los posibles problemas de seguridad, con funcionalidades de análisis y supervisión en tiempo real. Consulte Supervisión del rendimiento de Azure App Service.
Configurar alertas de seguridad: cree alertas personalizadas para notificarle patrones de uso anómalos, posibles infracciones de seguridad o interrupciones del servicio que afecten a los recursos de App Service. Consulte Creación, visualización y administración de alertas de métricas mediante Azure Monitor.
Habilitar comprobaciones de estado: configure comprobaciones de estado para supervisar el estado operativo de la aplicación y corregir automáticamente los problemas cuando sea posible. Consulte Supervisión de instancias de App Service mediante la comprobación de estado.
Cumplimiento y gobernanza
Establecer una gobernanza adecuada y garantizar el cumplimiento de los estándares pertinentes es fundamental para el funcionamiento seguro de las aplicaciones de Azure App Service.
Implementación de Azure Policy: aplique los estándares de seguridad de toda la organización para las implementaciones de App Service mediante la creación y asignación de definiciones de Azure Policy que auditen y apliquen los requisitos de cumplimiento. Consulte Controles de cumplimiento normativo de Azure Policy para Azure App Service.
Revise las recomendaciones de seguridad: evalúe periódicamente la posición de seguridad de App Service mediante Microsoft Defender for Cloud para identificar y corregir vulnerabilidades de seguridad y configuraciones incorrectas. Consulte Protección de las aplicaciones web y las API de Azure App Service.
Realizar evaluaciones de seguridad: realice evaluaciones de seguridad periódicas y pruebas de penetración de las aplicaciones de App Service para identificar posibles vulnerabilidades y puntos débiles de seguridad. Consulte Pruebas comparativas de seguridad en la nube de Microsoft.
Mantener el cumplimiento normativo: configure las implementaciones de App Service de acuerdo con los requisitos normativos aplicables para su sector y región, especialmente con respecto a la protección y privacidad de los datos. Consulte la documentación de cumplimiento de Azure.
Implementación de prácticas seguras de DevOps: establezca canalizaciones de CI/CD seguras para implementar aplicaciones en App Service, incluido el examen de código, las comprobaciones de dependencias y las pruebas de seguridad automatizadas. Consulte DevSecOps en Azure.
Copia de seguridad y recuperación
La implementación de mecanismos sólidos de copia de seguridad y recuperación es esencial para garantizar la continuidad empresarial y la protección de datos en las implementaciones de Azure App Service.
Habilitar copias de seguridad automatizadas: configure copias de seguridad programadas para las aplicaciones de App Service para asegurarse de que puede recuperar las aplicaciones y los datos en caso de eliminación accidental, daños u otros errores. Consulte Copia de seguridad y restauración de la aplicación en Azure App Service.
Configurar la retención de copia de seguridad: establezca los períodos de retención adecuados para las copias de seguridad en función de los requisitos empresariales y las necesidades de cumplimiento, lo que garantiza que los datos críticos se conservan durante la duración necesaria. Consulte Copia de seguridad y restauración de la aplicación en Azure App Service.
Implementar implementaciones de varias regiones: implemente las aplicaciones críticas en varias regiones para proporcionar funcionalidades de alta disponibilidad y recuperación ante desastres en caso de interrupciones regionales. Consulte Tutorial: Creación de una aplicación de varias regiones de alta disponibilidad en App Service.
Probar la restauración de la copia de seguridad: pruebe periódicamente el proceso de restauración de copia de seguridad para asegurarse de que las copias de seguridad son válidas y se pueden restaurar correctamente cuando sea necesario, comprobando tanto la funcionalidad de la aplicación como la integridad de los datos. Consulte Restauración de una aplicación a partir de una copia de seguridad.
Procedimientos de recuperación de documentos: cree y mantenga una documentación completa para los procedimientos de recuperación, lo que garantiza una respuesta rápida y eficaz durante las interrupciones del servicio o los desastres.
Seguridad específica del servicio
Azure App Service tiene consideraciones de seguridad únicas que deben abordarse para garantizar la seguridad general de las aplicaciones web.
Deshabilitar la autenticación básica: deshabilite la autenticación básica de nombre de usuario y contraseña para los puntos de conexión FTP y SCM en favor de la autenticación basada en identificadores de Microsoft Entra, que proporciona autenticación basada en tokens de OAuth 2.0 con seguridad mejorada. Consulte Deshabilitación de la autenticación básica en implementaciones de Azure App Service.
Implementaciones seguras de FTP/FTPS: deshabilite el acceso FTP o aplique el modo de solo FTPS cuando se usa FTP para implementaciones para evitar que las credenciales y el contenido se transmitan en texto sin cifrar. Las nuevas aplicaciones se establecen para aceptar solo FTPS de forma predeterminada. Consulte Implementación de la aplicación en Azure App Service mediante FTP/S.
Lograr un aislamiento de red completo: use App Service Environment para ejecutar sus aplicaciones dentro de una instancia dedicada de App Service Environment en su propia instancia de Azure Virtual Network. Esto proporciona aislamiento de red completo de la infraestructura compartida con puntos de conexión públicos dedicados, opciones del equilibrador de carga interno (ILB) para el acceso solo interno y la capacidad de usar un ILB detrás de un firewall de aplicaciones web para la protección de nivel empresarial. Consulte Introducción a Azure App Service Environments.
Implementación de la protección contra DDoS: use un firewall de aplicaciones web (WAF) y una protección contra DDoS de Azure para proteger frente a ataques DDoS emergentes. Implemente Azure Front Door con un WAF para la protección a nivel de plataforma frente a ataques DDoS de nivel de red. Consulte Azure DDoS Protection y Azure Front Door con WAF.