Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure-app Service biedt de hostinginfrastructuur voor uw functie-apps. Dit artikel bevat beveiligingsstrategieën voor het uitvoeren van uw functiecode en hoe App Service u kan helpen uw functies te beveiligen.
Azure App Service beveiligt en versterkt actief de platformcomponenten, waaronder virtuele Azure-machines (VM's), opslag, netwerkverbindingen, webframeworks en beheer- en integratiefuncties. App Service ondergaat doorlopende, strenge nalevingscontroles om ervoor te zorgen dat:
- Elke app wordt gescheiden van andere Azure-apps en -resources.
- Regelmatige updates van VM's en runtimesoftware zijn gericht op nieuw gedetecteerde beveiligingsproblemen.
- Communicatie van geheimen en verbindingsreeksen tussen apps en andere Azure-resources, zoals Azure SQL Database , vindt alleen plaats in Azure, zonder dat er netwerkgrenzen worden overschreden. Opgeslagen geheimen worden altijd versleuteld.
- Alle communicatie via App Service-connectiviteitsfuncties, zoals hybride verbinding , worden versleuteld.
- Alle verbindingen via hulpprogramma's voor extern beheer, zoals Azure PowerShell, Azure CLI, Azure SDK's en REST API's, worden versleuteld.
- Continu bedreigingsbeheer beschermt de infrastructuur en het platform tegen malware, gedistribueerde Denial-of-Service (DDoS) en man-in-the-middle-aanvallen en andere bedreigingen.
Zie het Vertrouwenscentrum van Azure voor meer informatie over infrastructuur- en platformbeveiliging in Azure.
Zie Azure Security Baseline voor Azure Functions voor een set beveiligingsaanveling die de Microsoft-cloudbeveiligingsbenchmark volgt.
Hoewel het plannen van veilige ontwikkeling, implementatie en werking van serverloze functies veel hetzelfde is als voor elke webtoepassing of in de cloud gehoste toepassingen, zijn serverloze toepassingen waarschijnlijk kwetsbaar voor variaties van traditionele aanvallen. Zie de OWASP Top 10: Serverloze interpretatie voor meer informatie over mogelijke aanvallen op een serverloze infrastructuur.
Beveiligde bewerking
In deze sectie wordt u begeleid bij het configureren en uitvoeren van uw functie-app zo veilig mogelijk.
Defender voor Cloud
Defender voor Cloud integreert met uw functie-app in de portal. Het biedt een snelle evaluatie van mogelijke beveiligingsproblemen met betrekking tot configuratie. Functie-apps die in een speciaal abonnement worden uitgevoerd, kunnen ook gebruikmaken van de verbeterde beveiligingsfuncties van Defender voor Cloud voor extra kosten. Zie Defender voor App Service voor meer informatie.
Logboeken en bewaking
Een manier om aanvallen te detecteren, is door middel van activiteitenbewaking en logboekregistratieanalyses. Functions kan worden geïntegreerd met Application Insights om logboek-, prestatie- en foutgegevens voor uw functie-app te verzamelen. Application Insights detecteert automatisch prestatieafwijkingen en bevat krachtige analysehulpprogramma's om u te helpen problemen vast te stellen en te begrijpen hoe uw functies worden gebruikt. Zie Monitor Azure Functions voor meer informatie.
Functies kunnen ook worden geïntegreerd met Azure Monitor-logboeken, zodat u functie-app-logboeken kunt samenvoegen met systeemevenementen voor eenvoudigere analyse. U kunt diagnostische instellingen gebruiken om de streaming-export van platformlogboeken en metrische gegevens voor uw functies te configureren naar de bestemming van uw keuze, zoals een Logs Analytics-werkruimte. Zie Azure Functions bewaken met Azure Monitor-logboeken voor meer informatie.
Voor automatisering van bedreigingsdetectie en -respons op ondernemingsniveau streamt u uw logboeken en gebeurtenissen naar een Logs Analytics-werkruimte. Vervolgens kunt u Microsoft Sentinel verbinden met deze werkruimte. Zie Wat is Microsoft Sentinel voor meer informatie.
Zie de Azure-beveiligingsbasislijn voor Azure Functions voor meer beveiligingsaan aanbevelingen voor waarneembaarheid.
HTTP-eindpunten beveiligen
HTTP-eindpunten die u openbaar maakt, bieden een aanvalsvector voor kwaadwillende actoren. Gebruik bij het beveiligen van uw HTTP-eindpunten een gelaagde beveiligingsbenadering. Gebruik deze technieken om het beveiligingsprobleem van openbaar blootgestelde HTTP-eindpunten te verminderen, geordend van de meest elementaire naar meest veilige en beperkende:
- HTTPS vereisen
- Toegangssleutels benodigd
- App Service-verificatie/-autorisatie inschakelen
- Azure API Management (APIM) gebruiken om aanvragen te verifiëren
- Uw functie-app implementeren in een virtueel netwerk
- Uw functie-app in isolatie implementeren
HTTPS vereisen
Clients kunnen standaard verbinding maken met functie-eindpunten met behulp van HTTP of HTTPS. HTTP omleiden naar HTTPS omdat HTTPS het TLS-protocol gebruikt om een beveiligde verbinding te bieden, die zowel versleuteld als geverifieerd is. Zie HTTPS afdwingen voor meer informatie.
Wanneer u HTTPS nodig hebt, moet u ook de nieuwste TLS-versie hebben. Om te leren hoe, zie TLS-versies afdwingen.
Zie Secure Connections (TLS) voor meer informatie.
Functiesneltoetsen
Functions gebruikt sleutels om het moeilijker te maken om toegang te krijgen tot uw functie-eindpunten. Tenzij u het HTTP-toegangsniveau voor een door HTTP geactiveerde functie anonymousinstelt, moeten aanvragen een toegangssleutel in de aanvraag bevatten. Zie Werken met toegangssleutels in Azure Functions voor meer informatie.
Hoewel toegangssleutels kunnen helpen ongewenste toegang te voorkomen, is de enige manier om uw functie-eindpunten echt te beveiligen door positieve verificatie te implementeren van clients die toegang hebben tot uw functies. Vervolgens kunt u autorisatiebeslissingen nemen op basis van identiteit.
Beveilig voor het hoogste beveiligingsniveau de volledige toepassingsarchitectuur in een virtueel netwerk met behulp van privé-eindpunten of door geïsoleerd uit te voeren.
Beheereindpunten uitschakelen
Functie-apps kunnen beheereindpunten via de /admin route leveren. U kunt deze eindpunten gebruiken voor bewerkingen zoals het verkrijgen van hoststatusgegevens en het uitvoeren van test-aanroepen. Wanneer deze worden weergegeven, moeten aanvragen voor deze eindpunten de hoofdsleutel van de app bevatten. U kunt ook toegang krijgen tot beheerbewerkingen via de Azure Resource Manager-APIMicrosoft.Web/sites, die Azure RBAC biedt. Als u de /admin eindpunten wilt uitschakelen, stelt u de functionsRuntimeAdminIsolationEnabled site-eigenschap in uw app in op true. Voor meer informatie, zie de FunctionsRuntimeAdminIsolationEnabled property-referentie.
App Service-verificatie/-autorisatie inschakelen
Met het App Service-platform kunt u Microsoft Entra ID en verschillende niet-Microsoft-id-providers gebruiken om clients te verifiëren. Gebruik deze strategie om aangepaste autorisatieregels voor uw functies te implementeren. U kunt werken met gebruikersgegevens uit uw functiecode. Zie Verificatie en autorisatie in Azure App Service enwerken met clientidentiteiten voor meer informatie.
Azure API Management (APIM) gebruiken om aanvragen te verifiëren
APIM biedt verschillende API-beveiligingsopties voor binnenkomende aanvragen. Zie API Management-verificatiebeleidsregels voor meer informatie. Met behulp van APIM kunt u uw functie-app zo configureren dat alleen aanvragen worden geaccepteerd vanaf het IP-adres van uw APIM-exemplaar. Zie IP-adresbeperkingen voor meer informatie.
Machtigingen
Net als bij elke toepassing of service voert u uw functie-app uit met de laagst mogelijke machtigingen.
Machtigingen voor gebruikersbeheer
Functions biedt ondersteuning voor ingebouwd op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC). Azure-rollen die worden ondersteund door Functions zijn Inzender, Eigenaar en Lezer.
Machtigingen worden van kracht op het niveau van de functie-app. De rol Bijdrager is vereist om de meeste taken op functieniveau van de app uit te voeren. U hebt ook de rol Inzender nodig, samen met de machtiging Bewakingslezer om logboekgegevens weer te geven in Application Insights. Alleen de rol Eigenaar kan een functie-app verwijderen.
Functies organiseren op basis van machtigingen
Verbindingsreeksen en andere referenties die zijn opgeslagen in toepassingsinstellingen geven alle functies in de functie-app dezelfde set machtigingen in de bijbehorende resource. Overweeg het aantal functies met toegang tot specifieke referenties te minimaliseren door functies te verplaatsen die deze referenties niet gebruiken naar een afzonderlijke functie-app. U kunt altijd technieken zoals functieketens gebruiken om gegevens door te geven tussen functies in verschillende functie-apps.
Beheerde identiteiten
Met een beheerde identiteit van Microsoft Entra ID heeft uw app eenvoudig toegang tot andere met Microsoft Entra beveiligde resources, zoals Azure Key Vault. Het Azure-platform beheert de identiteit, dus u hoeft geen geheimen in te richten of te roteren. Zie Beheerde identiteiten voor Azure-resources voor meer informatie over beheerde identiteiten in Microsoft Entra ID.
U kunt twee typen identiteiten aan uw toepassing verlenen:
- Een door het systeem toegewezen identiteit is gekoppeld aan de app en wordt verwijderd als de app wordt verwijderd. Een app kan slechts één door het systeem toegewezen identiteit hebben.
- Een door de gebruiker toegewezen identiteit is een autonome Azure-resource die kan worden toegewezen aan uw app. Een app kan meerdere door de gebruiker toegewezen identiteiten hebben. Eén door de gebruiker toegewezen identiteit kan worden toegewezen aan meerdere Azure-resources, zoals twee App Service-apps.
Gebruik beheerde identiteiten in plaats van geheimen voor verbindingen van bepaalde triggers en bindingen. Zie op identiteit gebaseerde verbindingen.
Zie Beheerde identiteiten gebruiken voor App Service en Azure Functions voor meer informatie.
CORS-toegang beperken
CorS (Cross-Origin Resource Sharing) is een manier om web-apps die in een ander domein worden uitgevoerd, toe te staan aanvragen te verzenden naar uw HTTP-triggereindpunten. App Service biedt ingebouwde ondersteuning voor het verwerken van de vereiste CORS-headers in HTTP-aanvragen. CORS-regels worden gedefinieerd op het niveau van een functie-app.
Het is verleidelijk om een jokerteken te gebruiken waarmee alle sites toegang hebben tot uw eindpunt. Deze aanpak verslaat het doel van CORS, dat wil helpen bij het voorkomen van aanvallen op meerdere sites. Voeg in plaats daarvan een afzonderlijke CORS-vermelding toe voor het domein van elke web-app die toegang moet hebben tot uw eindpunt.
Geheimen beheren
Om verbinding te maken met de verschillende services en resources die nodig zijn om uw code uit te voeren, hebben functie-apps toegang nodig tot geheimen, zoals verbindingsreeksen en servicesleutels. In deze sectie wordt beschreven hoe u geheimen opslaat die vereist zijn voor uw functies.
Sla nooit geheimen op in uw functiecode.
Toepassingsinstellingen
Sla standaard verbindingsreeksen en geheimen op die worden gebruikt door uw functie-app en bindingen als toepassingsinstellingen. Deze methode maakt deze referenties beschikbaar voor zowel uw functiecode als de verschillende bindingen die door de functie worden gebruikt. Gebruik de naam van de toepassingsinstelling (sleutel) om de werkelijke waarde op te halen. Dit is het geheim.
Voor elke functie-app is bijvoorbeeld een gekoppeld opslagaccount vereist dat door de runtime wordt gebruikt. Standaard slaat u de verbinding met dit opslagaccount op in een toepassingsinstelling met de naam AzureWebJobsStorage.
Azure versleutelt app-instellingen en verbindingsreeksen. De app-instellingen en verbindingsreeksen worden alleen ontsleuteld voordat ze worden opgenomen in het procesgeheugen van uw app wanneer de app wordt gestart. De versleutelingssleutels worden regelmatig geroteerd. Als u liever de beveiligde opslag van uw geheimen beheert, moet u de app-instellingen verwijzen naar Azure Key Vault-geheimen.
Wanneer u functies op uw lokale computer ontwikkelt, kunt u instellingen ook standaard versleutelen in het local.settings.json bestand. Zie Het bestand met lokale instellingen versleutelen voor meer informatie.
Key Vault-verwijzingen
Hoewel toepassingsinstellingen voldoende zijn voor de meeste functies, wilt u mogelijk dezelfde geheimen delen in meerdere services. In dit geval leidt redundante opslag van geheimen tot meer potentiële beveiligingsproblemen. Een veiligere benadering is het gebruik van een centrale geheime opslagservice en het gebruik van verwijzingen naar deze service in plaats van de geheimen zelf.
Azure Key Vault is een service die gecentraliseerd geheimenbeheer biedt, met volledige controle over toegangsbeleid en controlegeschiedenis. U kunt een Key Vault-verwijzing gebruiken op de plaats van een verbindingsreeks of sleutel in uw toepassingsinstellingen. Zie Key Vault-verwijzingen gebruiken voor App Service en Azure Functions voor meer informatie.
Op identiteit gebaseerde verbindingen
Gebruik identiteiten in plaats van geheimen om verbinding te maken met sommige resources. Deze aanpak heeft het voordeel dat het beheer van een geheim niet vereist is en het biedt nauwkeuriger toegangsbeheer en controle.
Wanneer u code schrijft waarmee de verbinding wordt gemaakt met Azure-services die ondersteuning bieden voor Microsoft Entra-verificatie, kunt u een identiteit gebruiken in plaats van een geheim of verbindingsreeks. Details voor beide verbindingsmethoden worden behandeld in de documentatie voor elke service.
U kunt sommige Azure Functions-bindingsextensies configureren voor toegang tot services met behulp van op identiteit gebaseerde verbindingen. Zie Een op identiteit gebaseerde verbinding configureren voor meer informatie.
Gebruiksquota instellen
Overweeg om een gebruiksquotum in te stellen voor functies die worden uitgevoerd in een verbruiksabonnement. Wanneer u een dagelijkse limiet van GB per seconde instelt voor de totale uitvoering van functies in uw functie-app, stopt de uitvoering wanneer de limiet is bereikt. Deze aanpak kan mogelijk helpen beschermen tegen schadelijke code die uw functies uitvoert. Zie Kosten van consumptieplan schatten voor meer informatie over hoe u het verbruik voor uw functies kunt schatten.
Gegevensvalidatie
De triggers en bindingen die door uw functies worden gebruikt, bieden geen extra gegevensvalidatie. Uw code moet alle gegevens valideren die zijn ontvangen van een trigger- of invoerbinding. Als een upstream-service is aangetast, wilt u geen niet-gevalideerde invoer die door uw functies stroomt. Als uw functie bijvoorbeeld gegevens opslaat uit een Azure Storage-wachtrij in een relationele database, moet u de gegevens valideren en uw opdrachten parameteriseren om SQL-injectieaanvallen te voorkomen.
Stel niet dat de gegevens die in uw functie binnenkomen, al zijn gevalideerd of opgeschoond. Het is ook een goed idee om te controleren of de gegevens die naar uitvoerbindingen worden geschreven, geldig zijn.
Afhandeling van fouten
Hoewel het eenvoudig lijkt, is het belangrijk om goede foutafhandeling in uw functies te schrijven. Niet-verwerkte fouten stijgen op naar de host en de runtime-omgeving verwerkt deze fouten. Verschillende bindingen verwerken de verwerking van fouten anders. Zie Azure Functions-foutafhandeling voor meer informatie.
Externe foutopsporing uitschakelen
Zorg ervoor dat externe foutopsporing is uitgeschakeld, behalve wanneer u actief fouten in uw functies opspoort. U kunt externe foutopsporing uitschakelen op het tabblad Algemene instellingen van de configuratie van uw functie-app in de portal.
CORS-toegang beperken
Azure Functions biedt ondersteuning voor cross-origin resource sharing (CORS). CORS wordt geconfigureerd in de portal en via de Azure CLI. De lijst met toegestane CORS-herkomstregels is van toepassing op het niveau van een functie-applicatie. Als CORS is ingeschakeld, bevatten antwoorden de Access-Control-Allow-Origin header. Zie voor meer informatie, Cross-origin resource sharing.
Gebruik geen jokertekens in de lijst van toegestane bronnen. Vermeld in plaats daarvan de specifieke domeinen waaruit u verwacht aanvragen te ontvangen.
Versleutelde gegevens opslaan
Azure Storage versleutelt alle gegevens in een opslagaccount die zich in rust bevinden. Voor meer informatie, zie Azure Storage-versleuteling voor gegevens in rusttoestand.
Standaard worden gegevens versleuteld met door Microsoft beheerde sleutels. Voor meer controle over versleutelingssleutels kunt u door de klant beheerde sleutels opgeven voor versleuteling van blob- en bestandsgegevens. Deze sleutels moeten aanwezig zijn in Azure Key Vault voor Functions om toegang te krijgen tot het opslagaccount. Zie Uw toepassingsgegevens in rust versleutelen met behulp van door de klant beheerde sleutels voor meer informatie.
Gerelateerde resources beveiligen
Een functie-app is vaak afhankelijk van andere resources, dus een deel van het beveiligen van de app is het beveiligen van deze externe resources. De meeste functie-apps bevatten minimaal een afhankelijkheid van Application Insights en Azure Storage. Raadpleeg de Azure-beveiligingsbasislijn voor Azure Monitor en de Azure-beveiligingsbasislijn voor Storage voor hulp bij het beveiligen van deze resources.
Belangrijk
Het opslagaccount wordt gebruikt voor het opslaan van belangrijke app-gegevens, soms inclusief de toepassingscode zelf. U moet de toegang van andere apps en gebruikers tot het opslagaccount beperken.
Raadpleeg ook de richtlijnen voor resourcetypen waarop uw toepassingslogica afhankelijk is, zowel als triggers en bindingen en vanuit uw functiecode.
Veilige implementatie
Dankzij de integratie van Hulpprogramma's van Azure Functions kunt u eenvoudig lokale functieprojectcode publiceren naar Azure. Het is belangrijk om te begrijpen hoe implementatie werkt bij het overwegen van beveiliging voor een Azure Functions-topologie.
Referenties voor implementatie
Voor App Service-implementaties is een set implementatiereferenties vereist. U gebruikt deze implementatiereferenties om uw implementaties van uw functie-app te beveiligen. Het App Service-platform beheert implementatiereferenties en versleutelt ze in rusttoestand.
Er zijn twee soorten implementatiereferenties:
Referenties op gebruikersbereik of gebruikersniveau bieden één set implementatiereferenties voor het hele Azure-account van een gebruiker. Een gebruiker die app-toegang krijgt via op rollen gebaseerd toegangsbeheer (RBAC) of coadministrator-machtigingen, kan hun referenties op gebruikersniveau gebruiken zolang ze over deze machtigingen beschikken.
U kunt uw referenties voor gebruikersbereik gebruiken om elke app in App Service te implementeren via lokale Git of FTP/S in elk abonnement waarvoor uw Azure-account toegang heeft. U deelt deze referenties niet met andere Azure-gebruikers. U kunt uw referenties voor gebruikersbereik op elk gewenst moment opnieuw instellen.
Referenties op app- of toepassingsniveau zijn één set referenties per app die alleen kan worden gebruikt om die app te implementeren. Deze referenties worden automatisch gegenereerd voor elke app bij aanmaak en kunnen niet handmatig worden geconfigureerd, maar het wachtwoord kan op elk gewenst moment opnieuw worden ingesteld.
Een gebruiker moet ten minste machtigingen op inzenderniveau hebben voor een app, met inbegrip van de ingebouwde rol Inzender voor websites, om toegang te krijgen tot referenties op app-niveau via RBAC. De rol Lezer kan niet publiceren en heeft geen toegang tot deze referenties.
Op dit moment wordt Key Vault niet ondersteund voor implementatiereferenties. Zie Implementatiereferenties configureren voor Azure-app Service voor meer informatie over het beheren van implementatiereferenties.
FTP uitschakelen
Standaard is voor elke functie-app een FTP-eindpunt ingeschakeld. Het FTP-eindpunt wordt geopend met behulp van implementatiereferenties.
FTP wordt niet aanbevolen voor het implementeren van uw functiecode. FTP-implementaties zijn handmatig en vereisen dat u triggers synchroniseert. Zie FTP-implementatie voor meer informatie.
Als u geen FTP gebruikt, houdt u deze uitgeschakeld. U kunt deze instelling wijzigen in de portal. Als u ervoor kiest FTP te gebruiken, dwingt u FTPS af.
Het scm eindpunt beveiligen
Elke functie-app heeft een bijbehorend scm service-eindpunt dat door de Kudu-service (Advanced Tools) wordt gebruikt voor implementaties en andere App Service-site-extensies. Het scm eindpunt voor een functie-app is altijd een URL in de vorm https://<FUNCTION_APP_NAME>.scm.azurewebsites.net. Wanneer u netwerkisolatie gebruikt om uw functies te beveiligen, moet u ook rekening houden met dit eindpunt.
Met behulp van een afzonderlijk scm eindpunt kunt u implementaties en andere functies van Geavanceerde hulpprogramma's beheren voor functie-apps die zijn geïsoleerd of worden uitgevoerd in een virtueel netwerk. Het scm eindpunt ondersteunt zowel basisverificatie (met behulp van implementatiereferenties) als eenmalige aanmelding met uw Azure Portal-referenties. Zie Toegang tot de Kudu-service voor meer informatie.
Continue beveiligingsvalidatie
Omdat u bij elke stap in het ontwikkelingsproces rekening moet houden met beveiliging, is het zinvol om ook beveiligingsvalidaties in een continue implementatieomgeving te implementeren. Deze benadering wordt ook wel DevSecOps genoemd. Door Azure DevOps te gebruiken voor uw implementatiepijplijn, kunt u validatie integreren in het implementatieproces. Zie Uw Azure-pijplijnen beveiligen voor meer informatie.
Netwerkbeveiliging
Door de netwerktoegang tot uw functie-app te beperken, kunt u bepalen wie toegang heeft tot uw functie-eindpunten. Functions maakt gebruik van de App Service-infrastructuur om uw functies toegang te geven tot resources zonder internetrouteerbare adressen te gebruiken of om internettoegang tot een functie-eindpunt te beperken. Zie Azure Functions-netwerkopties voor meer informatie over deze netwerkopties.
Toegangsbeperkingen instellen
Met toegangsbeperkingen kunt u lijsten met regels voor toestaan en weigeren definiëren om verkeer naar uw app te beheren. Regels worden geëvalueerd in volgorde van prioriteit. Als u geen regels definieert, accepteert uw app verkeer vanaf elk adres. Zie Azure-app Service-toegangsbeperkingen voor meer informatie.
Het opslagaccount beveiligen
Wanneer u een functie-app maakt, moet u een Azure Storage-account voor algemeen gebruik maken of koppelen dat ondersteuning biedt voor Blob-, Queue- en Table-opslag. U kunt dit opslagaccount vervangen door een account dat wordt beveiligd door een virtueel netwerk met toegang die is ingeschakeld door service-eindpunten of privé-eindpunten. Zie Uw opslagaccount beperken tot een virtueel netwerk voor meer informatie.
Uw functie-app implementeren in een virtueel netwerk
Azure Private Endpoint is een netwerkinterface die u privé en veilig verbindt met een service die wordt ondersteund door Azure Private Link. Private Endpoint maakt gebruik van een privé-IP-adres van uw virtuele netwerk, waarbij de service effectief in uw virtuele netwerk wordt geplaatst.
U kunt een privé-eindpunt gebruiken voor uw functies die worden gehost in de abonnementen Flex Consumption, Elastic Premium en Dedicated (App Service ).
Als u privé-eindpunten wilt aanroepen, moet u ervoor zorgen dat uw DNS-zoekopdrachten worden omgezet in het privé-eindpunt. U kunt dit gedrag op een van de volgende manieren afdwingen:
- Integreren met privézones van Azure DNS. Wanneer uw virtuele netwerk geen aangepaste DNS-server heeft, wordt dit automatisch gedaan.
- Beheer het privé-eindpunt in de DNS-server die door uw app wordt gebruikt. Als u een privé-eindpunt wilt beheren, moet u het eindpuntadres kennen en een A-record gebruiken om te verwijzen naar het eindpunt dat u probeert te bereiken.
- Configureer uw eigen DNS-server om door te sturen naar privézones van Azure DNS.
Zie voor meer informatie het gebruik van privé-eindpunten voor web-apps.
Uw functie-app in isolatie implementeren
Azure-app Service Environment biedt een toegewezen hostingomgeving waarin u uw functies kunt uitvoeren. Met deze omgevingen kunt u één front-endgateway configureren die u kunt gebruiken om alle binnenkomende aanvragen te verifiëren. Zie Uw ILB App Service Environment integreren met Azure Application Gateway voor meer informatie.
Een gatewayservice gebruiken
Met behulp van gatewayservices zoals Azure Application Gateway en Azure Front Door kunt u een Web Application Firewall (WAF) instellen. WAF-regels bewaken of gedetecteerde aanvallen blokkeren, die een extra beveiligingslaag voor uw functies bieden. Als u een WAF wilt instellen, moet uw functie-app draaien op een ASE of gebruikmaken van privé-eindpunten (preview). Zie Privé-eindpunten gebruiken voor meer informatie.