Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure App Service biedt een PaaS-omgeving (Platform-as-a-Service) waarmee u web-apps, back-ends van mobiele apps, RESTful-API's en functie-apps kunt bouwen, implementeren en schalen. Bij het implementeren van deze service is het belangrijk om de aanbevolen beveiligingsprocedures te volgen om uw toepassingen, gegevens en infrastructuur te beveiligen.
Dit artikel bevat richtlijnen voor het beveiligen van uw Azure App Service-implementatie.
Azure App Service beveiligt en versterkt actief de platformcomponenten, waaronder virtuele Azure-machines (VM's), opslag, netwerkverbindingen, webframeworks en beheer- en integratiefuncties. App Service ondergaat doorlopende, strenge nalevingscontroles om ervoor te zorgen dat:
- Elke app wordt gescheiden van andere Azure-apps en -resources.
- Regelmatige updates van VM's en runtimesoftware zijn gericht op nieuw gedetecteerde beveiligingsproblemen.
- Communicatie van geheimen en verbindingsreeksen tussen apps en andere Azure-resources, zoals Azure SQL Database , vindt alleen plaats in Azure, zonder dat er netwerkgrenzen worden overschreden. Opgeslagen geheimen worden altijd versleuteld.
- Alle communicatie via App Service-connectiviteitsfuncties, zoals hybride verbinding , worden versleuteld.
- Alle verbindingen via hulpprogramma's voor extern beheer, zoals Azure PowerShell, Azure CLI, Azure SDK's en REST API's, worden versleuteld.
- Continu bedreigingsbeheer beschermt de infrastructuur en het platform tegen malware, gedistribueerde Denial-of-Service (DDoS) en man-in-the-middle-aanvallen en andere bedreigingen.
Zie het Vertrouwenscentrum van Azure voor meer informatie over infrastructuur- en platformbeveiliging in Azure.
Netwerkbeveiliging
App Service ondersteunt veel netwerkbeveiligingsfuncties om uw toepassingen te vergrendelen en onbevoegde toegang te voorkomen.
Privé-eindpunten configureren: elimineren blootstelling aan openbaar internet door verkeer naar uw App Service via uw virtuele netwerk te routeren met behulp van Azure Private Link, zodat clients in uw privénetwerken veilig zijn verbonden. Zie Privé-eindpunten gebruiken voor Azure App Service.
Integratie van virtuele netwerken implementeren: beveilig uw uitgaande verkeer door uw app toegang te geven tot resources in of via een virtueel Azure-netwerk terwijl isolatie van het openbare internet behouden blijft. Zie Uw app integreren met een virtueel Azure-netwerk.
IP-toegangsbeperkingen configureren: beperk de toegang tot uw app door een acceptatielijst met IP-adressen en subnetten te definiëren die toegang hebben tot uw toepassing, waardoor al het andere verkeer wordt geblokkeerd. U kunt afzonderlijke IP-adressen of bereiken definiëren die zijn gedefinieerd door subnetmaskers en dynamische IP-beperkingen configureren via web.config bestanden in Windows-apps. Zie Toegangsbeperkingen voor Azure App Service instellen.
Beperkingen voor service-eindpunten instellen: binnenkomende toegang tot uw app vergrendelen vanuit specifieke subnetten in uw virtuele netwerken met behulp van service-eindpunten, die samenwerken met IP-toegangsbeperkingen om filteren op netwerkniveau te bieden. Zie Azure App Service-toegangsbeperkingen.
Web Application Firewall gebruiken: verbeter de beveiliging tegen veelvoorkomende beveiligingsproblemen en aanvallen op internet door Azure Front Door of Application Gateway te implementeren met Web Application Firewall-mogelijkheden voor uw App Service. Zie Azure Web Application Firewall in Azure Application Gateway.
Identiteits- en toegangsbeheer
Het correct beheren van identiteiten en toegangsbeheer is essentieel voor het beveiligen van uw Azure App Service-implementaties tegen onbevoegd gebruik en mogelijke diefstal van referenties.
Beheerde identiteiten inschakelen voor uitgaande aanvragen: veilig verifiëren bij Azure-services vanuit uw app zonder referenties op te slaan in uw code of configuratie met behulp van beheerde identiteiten, waardoor u geen service-principals en verbindingsreeksen hoeft te beheren. Beheerde identiteiten bieden een automatisch beheerde identiteit in Microsoft Entra-id die uw app kan gebruiken bij het verzenden van uitgaande aanvragen naar andere Azure-services, zoals Azure SQL Database, Azure Key Vault en Azure Storage. App Service ondersteunt zowel door het systeem toegewezen als door de gebruiker toegewezen beheerde identiteiten. Zie Beheerde identiteiten gebruiken voor App Service en Azure Functions.
Verificatie en autorisatie configureren: Implementeer App Service-verificatie/-autorisatie om uw toepassing te beveiligen met Microsoft Entra ID of andere id-providers, waardoor onbevoegde toegang wordt voorkomen zonder aangepaste verificatiecode te schrijven. De ingebouwde verificatiemodule verwerkt webaanvragen voordat deze worden doorgegeven aan uw toepassingscode en ondersteunt meerdere providers, waaronder Microsoft Entra-id, Microsoft-accounts, Facebook, Google en X. Zie Verificatie en autorisatie in Azure App Service.
Op rollen gebaseerd toegangsbeheer implementeren voor beheerbewerkingen: bepalen wie uw App Service-resources (beheervlak) kan beheren en configureren door de minimaal benodigde Azure RBAC-machtigingen toe te wijzen aan gebruikers en service-principals volgens het principe van minimale bevoegdheden. Hiermee beheert u de beheerderstoegang tot bewerkingen zoals het maken van apps, het wijzigen van configuratie-instellingen en het beheren van implementaties, gescheiden van verificatie op toepassingsniveau (Eenvoudige verificatie) of app-naar-resource-verificatie (beheerde identiteiten). Zie Ingebouwde Azure-rollen.
Implementeer authenticatie namens een ander: Delegeer toegang tot externe resources namens gebruikers met behulp van Microsoft Entra ID als verificatieprovider. Uw App Service-app kan gedelegeerde aanmeldingsservices uitvoeren, zoals Microsoft Graph of externe App Service-API-apps. Voor een uitgebreide zelfstudie, zie Gebruikers autentiseren en autoriseren van begin tot eind in Azure App Service.
Wederzijdse TLS-verificatie inschakelen: clientcertificaten vereisen voor extra beveiliging wanneer uw toepassing clientidentiteit moet verifiëren, met name voor B2B-scenario's of interne toepassingen. Zie Wederzijdse TLS-verificatie configureren voor Azure App Service.
Gegevensbescherming
Het beschermen van gegevens tijdens overdracht en in rust is van cruciaal belang voor het handhaven van de vertrouwelijkheid en integriteit van uw toepassingen en hun gegevens.
HTTPS afdwingen: alle HTTP-verkeer omleiden naar HTTPS door de modus ALLEEN HTTPS in te schakelen, zodat alle communicatie tussen clients en uw app wordt versleuteld. Standaard dwingt App Service een omleiding van HTTP-aanvragen naar HTTPS af en is de standaarddomeinnaam
<app_name>.azurewebsites.netvan uw app al toegankelijk via HTTPS. Zie Algemene instellingen configureren.TLS-versie configureren: moderne TLS-protocollen gebruiken door de minimale TLS-versie te configureren op 1.2 of hoger en verouderde, onveilige protocollen uit te schakelen om potentiële beveiligingsproblemen te voorkomen. App Service ondersteunt TLS 1.3 (nieuwste versie), TLS 1.2 (standaard minimum) en TLS 1.1/1.0 (alleen voor compatibiliteit met eerdere versies). Configureer de minimale TLS-versie voor zowel uw web-app als de SCM-site. Zie Algemene instellingen configureren.
TLS/SSL-certificaten beheren: aangepaste domeinen beveiligen met behulp van correct geconfigureerde TLS/SSL-certificaten om vertrouwde verbindingen tot stand te brengen. App Service ondersteunt meerdere certificaattypen: gratis door App Service beheerde certificaten, App Service-certificaten, certificaten van derden en certificaten die zijn geïmporteerd uit Azure Key Vault. Als u een aangepast domein configureert, beveiligt u het met een TLS/SSL-certificaat, zodat browsers beveiligde HTTPS-verbindingen kunnen maken. Zie TLS/SSL-certificaten toevoegen en beheren in Azure App Service.
Geheimen opslaan in Key Vault: beveilig gevoelige configuratiewaarden, zoals databasereferenties, API-tokens en persoonlijke sleutels door ze op te slaan in Azure Key Vault en ze te openen met beheerde identiteiten, in plaats van ze op te slaan in toepassingsinstellingen of code. Uw App Service-app heeft veilig toegang tot Key Vault met behulp van verificatie van beheerde identiteiten. Zie Key Vault-verwijzingen gebruiken voor App Service en Azure Functions.
Toepassingsinstellingen versleutelen: gebruik versleutelde app-instellingen en verbindingsreeksen in plaats van geheimen op te slaan in code- of configuratiebestanden. App Service slaat deze waarden versleuteld op in Azure en ontsleutelt ze net voordat deze in het procesgeheugen van uw app worden geïnjecteerd wanneer de app start, waarbij versleutels regelmatig worden vervangen. Gebruik deze waarden als omgevingsvariabelen met behulp van standaardpatronen voor uw programmeertaal. Zie App-instellingen configureren.
Externe verbindingen beveiligen: gebruik altijd versleutelde verbindingen bij het openen van externe resources, zelfs als de back-endresource niet-versleutelde verbindingen toestaat. Voor Azure-resources zoals Azure SQL Database en Azure Storage blijven verbindingen binnen Azure en overschrijden ze geen netwerkgrenzen. Gebruik voor virtuele netwerkbronnen de integratie van virtuele netwerken met punt-naar-site-VPN. Voor on-premises resources gebruikt u hybride verbindingen met TLS 1.2 of integratie van virtuele netwerken met site-naar-site-VPN. Zorg ervoor dat back-endservices in Azure alleen de kleinste set IP-adressen van uw app toestaan. Zie Uitgaande IP-adressen zoeken.
Logboekregistratie en bewaking
Het implementeren van uitgebreide logboekregistratie en bewaking is essentieel voor het detecteren van mogelijke beveiligingsrisico's en het oplossen van problemen met uw Azure App Service-implementatie.
Diagnostische logboekregistratie inschakelen: configureer diagnostische logboeken van Azure App Service om toepassingsfouten, webserverlogboeken, mislukte aanvraagtraceringen en gedetailleerde foutberichten te volgen om beveiligingsproblemen te identificeren en problemen op te lossen. Zie Diagnostische logboekregistratie inschakelen voor apps in Azure App Service.
Integreren met Azure Monitor: Stel Azure Monitor in voor het verzamelen en analyseren van logboeken en metrische gegevens van uw App Service, waardoor uitgebreide bewaking en waarschuwingen mogelijk zijn voor beveiligings- en prestatieproblemen. Zie Apps monitoren in Azure App Service.
Application Insights configureren: Implementeer Application Insights om gedetailleerde inzichten te krijgen in toepassingsprestaties, gebruikspatronen en mogelijke beveiligingsproblemen, met realtime bewakings- en analysemogelijkheden. Zie de prestaties van Azure App Service monitoren.
Beveiligingswaarschuwingen instellen: maak aangepaste waarschuwingen om u op de hoogte te stellen van abnormale gebruikspatronen, mogelijke beveiligingsschendingen of serviceonderbrekingen die van invloed zijn op uw App Service-resources. Maak, bekijk en beheer metrische waarschuwingen met Azure Monitor.
Statuscontroles inschakelen: configureer statuscontroles om de operationele status van uw toepassing te controleren en herstel indien mogelijk problemen automatisch. Zie App Service-exemplaren monitoren met Gezondheidscontrole.
Naleving en bestuur
Het vaststellen van de juiste governance en het waarborgen van naleving van relevante standaarden is van cruciaal belang voor de veilige werking van Azure App Service-toepassingen.
Azure Policy implementeren: beveiligingsstandaarden voor de hele organisatie afdwingen voor uw App Service-implementaties door Azure Policy-definities te maken en toe te wijzen die nalevingsvereisten controleren en afdwingen. Zie Azure Policy-regelgevingscontroles voor naleving in Azure App Service.
Bekijk beveiligingsaanbevelingen: evalueer regelmatig uw App Service-beveiligingssituatie met behulp van Microsoft Defender voor Cloud om beveiligingsproblemen en onjuiste configuraties te identificeren en te verhelpen. Zie Uw Azure App Service-web-apps en API's beveiligen.
Beveiligingsevaluaties uitvoeren: voer regelmatig beveiligingsevaluaties en penetratietests uit van uw App Service-toepassingen om potentiële beveiligingsproblemen en beveiligingsproblemen te identificeren. Zie de Microsoft Cloud Security-benchmark.
Naleving van regelgeving handhaven: Configureer uw App Service-implementaties in overeenstemming met de toepasselijke wettelijke vereisten voor uw branche en regio, met name met betrekking tot gegevensbescherming en privacy. Raadpleeg de documentatie voor Azure-naleving.
Veilige DevOps-procedures implementeren: stel beveiligde CI/CD-pijplijnen in voor het implementeren van toepassingen in App Service, waaronder codescans, afhankelijkheidscontroles en geautomatiseerde beveiligingstests. Zie DevSecOps in Azure.
Back-up en herstel
Het implementeren van robuuste mechanismen voor back-up en herstel is essentieel voor het garanderen van bedrijfscontinuïteit en gegevensbeveiliging in uw Azure App Service-implementaties.
Automatische back-ups inschakelen: configureer geplande back-ups voor uw App Service-toepassingen om ervoor te zorgen dat u uw toepassingen en gegevens kunt herstellen in geval van onbedoelde verwijdering, beschadiging of andere fouten. Zie Een back-up maken van uw app en deze herstellen in Azure App Service.
Back-upretentie configureren: stel de juiste bewaarperioden in voor uw back-ups op basis van uw bedrijfsvereisten en nalevingsbehoeften, zodat kritieke gegevens gedurende de vereiste duur behouden blijven. Zie Een back-up maken van uw app en deze herstellen in Azure App Service.
Implementaties voor meerdere regio's implementeren: Implementeer uw kritieke toepassingen in meerdere regio's om hoge beschikbaarheid en mogelijkheden voor herstel na noodgevallen te bieden in geval van regionale storingen. Zie zelfstudie: Een maximaal beschikbare app voor meerdere regio's maken in App Service.
Herstel van back-ups testen: test regelmatig het herstelproces van uw back-up om ervoor te zorgen dat back-ups geldig zijn en indien nodig kunnen worden hersteld, waarbij zowel de functionaliteit van de toepassing als de gegevensintegriteit worden gecontroleerd. Zie Een app terugzetten vanuit een back-up.
Documentherstelprocedures: maak en onderhoud uitgebreide documentatie voor herstelprocedures, zodat u snel en effectief kunt reageren tijdens serviceonderbrekingen of noodgevallen.
Servicespecifieke beveiliging
Azure App Service heeft unieke beveiligingsoverwegingen die moeten worden aangepakt om de algehele beveiliging van uw webtoepassingen te waarborgen.
Basisverificatie uitschakelen: schakel basisverificatie van gebruikersnaam en wachtwoord uit voor FTP- en SCM-eindpunten ten gunste van verificatie op basis van Microsoft Entra ID, die OAuth 2.0-verificatie op basis van tokens biedt met verbeterde beveiliging. Zie Basisverificatie uitschakelen in Azure App Service-implementaties.
Beveiligde FTP-/FTPS-implementaties: FTP-toegang uitschakelen of ftpS-modus afdwingen wanneer u FTP gebruikt voor implementaties om te voorkomen dat referenties en inhoud in duidelijke tekst worden verzonden. Nieuwe apps zijn standaard zo ingesteld dat alleen FTPS wordt geaccepteerd. Zie Uw app implementeren in Azure App Service met behulp van FTP/S.
Volledige netwerkisolatie bereiken: gebruik de App Service-omgeving om uw apps uit te voeren in een toegewezen App Service-omgeving in uw eigen Azure Virtual Network-exemplaar. Dit biedt volledige netwerkisolatie van gedeelde infrastructuur met toegewezen openbare eindpunten, interne load balancer-opties (ILB) voor interne toegang en de mogelijkheid om een ILB achter een webtoepassingsfirewall te gebruiken voor beveiliging op ondernemingsniveau. Zie Inleiding tot Azure App Service-omgevingen.
DDoS-beveiliging implementeren: Een WaF (Web Application Firewall) en Azure DDoS-beveiliging gebruiken om opkomende DDoS-aanvallen te beschermen. Implementeer Azure Front Door met een WAF voor beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau. Zie Azure DDoS Protection en Azure Front Door met WAF.