Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Serviço de Aplicativo do Azure fornece um ambiente paaS (plataforma como serviço) que permite criar, implantar e dimensionar aplicativos Web, back-ends de aplicativo móvel, APIs RESTful e aplicativos de funções. Ao implantar esse serviço, é importante seguir as práticas recomendadas de segurança para proteger seus aplicativos, dados e infraestrutura.
Este artigo fornece diretrizes sobre como proteger melhor sua implantação do Serviço de Aplicativo do Azure.
O Serviço de Aplicativo do Azure protege e fortalece ativamente seus componentes de plataforma, incluindo máquinas virtuais (VMs) do Azure, armazenamento, conexões de rede, estruturas web e recursos de gerenciamento e integração. O Serviço de Aplicativo passa por verificações de conformidade contínuas e rigorosas para garantir que:
- Cada aplicativo é separado de outros aplicativos e recursos do Azure.
- Atualizações regulares de VMs e software de tempo de execução tratam de vulnerabilidades recém-descobertas.
- A comunicação de segredos e cadeias de conexão entre aplicativos e outros recursos do Azure, como o Banco de Dados SQL do Azure , ocorre somente dentro do Azure, sem cruzar limites de rede. Os segredos armazenados são sempre criptografados.
- Todas as comunicações por meio de recursos de conectividade do Serviço de Aplicativo, como Conexão Híbrida , são criptografadas.
- Todas as conexões por meio de ferramentas de gerenciamento remoto, como o Azure PowerShell, a CLI do Azure, os SDKs do Azure e as APIs REST são criptografadas.
- O gerenciamento contínuo de ameaças protege a infraestrutura e a plataforma contra malware, DDoS (negação de serviço distribuído) e ataques man-in-the-middle e outras ameaças.
Para obter mais informações sobre infraestrutura e segurança de plataforma no Azure, consulte a Central de Confiabilidade do Azure.
Segurança de rede
O Serviço de Aplicativo dá suporte a muitos recursos de segurança de rede para bloquear seus aplicativos e impedir o acesso não autorizado.
Configurar pontos de extremidade privados: elimine a exposição pública à Internet roteando o tráfego para o Azure App Service por meio da sua rede virtual, usando o Link Privado do Azure, garantindo conectividade segura para clientes nas suas redes privadas. Consulte como usar pontos de extremidade privados no Serviço de Aplicativo do Azure.
Implemente a integração de rede virtual: proteja o tráfego de saída permitindo que seu aplicativo acesse recursos dentro ou por meio de uma rede virtual do Azure, mantendo o isolamento da Internet pública. Consulte Integrar seu aplicativo a uma rede virtual do Azure.
Configurar restrições de acesso ip: restringir o acesso ao seu aplicativo definindo uma lista de permissões de endereços IP e sub-redes que podem acessar seu aplicativo, bloqueando todo o tráfego. Você pode definir endereços IP individuais ou intervalos definidos por máscaras de sub-rede e configurar restrições de IP dinâmicas por meio de arquivos web.config em aplicativos do Windows. Consulte Configurar restrições de acesso do Serviço de Aplicativo do Azure.
Configurar restrições de ponto de extremidade do serviço: Limite o acesso de entrada ao seu aplicativo a partir de sub-redes específicas em suas redes virtuais usando pontos de extremidade de serviço, que funcionam em conjunto com restrições de acesso IP para fornecer filtragem em nível de rede. Confira as restrições de acesso do Serviço de Aplicativo do Azure.
Use o Firewall do Aplicativo Web: aprimore a proteção contra vulnerabilidades e ataques comuns da Web implementando o Azure Front Door ou o Gateway de Aplicativo com funcionalidades de Firewall de Aplicativo Web na frente do Serviço de Aplicativo. Consulte o Firewall de Aplicativo Web do Azure no Gateway de Aplicações do Azure.
Gerenciamento de identidade e acesso
O gerenciamento adequado de identidades e controles de acesso é essencial para proteger suas implantações do Serviço de Aplicativo do Azure contra uso não autorizado e possível roubo de credenciais.
Habilite identidades gerenciadas para solicitações de saída: autentique nos serviços do Azure com segurança do seu aplicativo sem armazenar credenciais em seu código ou configuração usando identidades gerenciadas, eliminando a necessidade de gerenciar entidades de serviço e cadeias de conexão. As identidades gerenciadas fornecem uma identidade gerenciada automaticamente no Microsoft Entra ID para seu aplicativo usar ao fazer solicitações de saída para outros serviços do Azure, como o Banco de Dados SQL do Azure, o Azure Key Vault e o Armazenamento do Azure. O Serviço de Aplicativo dá suporte a identidades gerenciadas atribuídas pelo sistema e atribuídas pelo usuário. Consulte Usar identidades gerenciadas para o Serviço de Aplicativo e o Azure Functions.
Configurar autenticação e autorização: implemente a autenticação/autorização do Serviço de Aplicativo para proteger seu aplicativo com a ID do Microsoft Entra ou outros provedores de identidade, impedindo o acesso não autorizado sem escrever código de autenticação personalizado. O módulo de autenticação interno lida com solicitações da Web antes de passá-las para o código do aplicativo e dá suporte a vários provedores, incluindo a ID do Microsoft Entra, contas da Microsoft, Facebook, Google e X. Consulte Autenticação e autorização no Serviço de Aplicativo do Azure.
Implementar o controle de acesso baseado em função para operações de gerenciamento: controle quem pode gerenciar e configurar seus recursos do Serviço de Aplicativo (plano de gerenciamento) atribuindo as permissões mínimas necessárias do RBAC do Azure a usuários e entidades de serviço seguindo o princípio de privilégio mínimo. Isso controla o acesso administrativo a operações como a criação de aplicativos, a modificação das configurações e o gerenciamento de implantações, separado da autenticação no nível do aplicativo (Autenticação Fácil) ou da autenticação de aplicativo para recurso (identidades gerenciadas). Confira Funções internas do Azure.
Implemente a autenticação "em nome de":: delegue acesso a recursos remotos em nome dos usuários com o Microsoft Entra ID como provedor de autenticação. Seu aplicativo de Serviço de Aplicativo pode executar a autenticação delegada em serviços como o Microsoft Graph ou aplicativos de API remota do Serviço de Aplicativo. Para obter um tutorial de ponta a ponta, consulte Autenticar e autorizar usuários de ponta a ponta no Serviço de Aplicativo do Azure.
Habilitar a autenticação TLS mútua: exigir certificados de cliente para maior segurança quando o aplicativo precisar verificar a identidade do cliente, especialmente para cenários B2B ou aplicativos internos. Consulte Configurar a autenticação mútua do TLS para o Serviço de Aplicativo do Azure.
Proteção de dados
Proteger dados em trânsito e em repouso é crucial para manter a confidencialidade e a integridade de seus aplicativos e seus dados.
Impor HTTPS: redirecione todo o tráfego HTTP para HTTPS habilitando o modo somente HTTPS, garantindo que toda a comunicação entre clientes e seu aplicativo seja criptografada. Por padrão, o Serviço de Aplicativo força um redirecionamento de solicitações HTTP para HTTPS e o nome
<app_name>.azurewebsites.netde domínio padrão do seu aplicativo já está acessível via HTTPS. Consulte Definir configurações gerais.Configurar a versão do TLS: use protocolos TLS modernos configurando a versão mínima do TLS para 1.2 ou superior e desabilite protocolos desatualizados e inseguros para evitar possíveis vulnerabilidades. O Serviço de Aplicativo dá suporte ao TLS 1.3 (mais recente), ao TLS 1.2 (mínimo padrão) e ao TLS 1.1/1.0 (somente para compatibilidade com versões anteriores). Configure a versão mínima do TLS para seu aplicativo Web e o site do SCM. Consulte Definir configurações gerais.
Gerenciar certificados TLS/SSL: proteja domínios personalizados usando certificados TLS/SSL configurados corretamente para estabelecer conexões confiáveis. O Serviço de Aplicativo dá suporte a vários tipos de certificado: certificados gerenciados gratuitos do Serviço de Aplicativo, certificados do Serviço de Aplicativo, certificados de terceiros e certificados importados do Azure Key Vault. Se você configurar um domínio personalizado, proteja-o com um certificado TLS/SSL para que os navegadores possam fazer conexões HTTPS seguras. Consulte Adicionar e gerenciar certificados TLS/SSL no Serviço de Aplicativo do Azure.
Armazene segredos no Key Vault: proteja valores confidenciais de configuração, como credenciais de banco de dados, tokens de API e chaves privadas, armazenando-os no Azure Key Vault e acessando-os usando identidades gerenciadas, em vez de armazená-los em configurações de aplicativo ou código. Seu aplicativo do Serviço de Aplicativo pode acessar com segurança o Key Vault usando a autenticação de identidade gerenciada. Consulte Usar as referências do Key Vault para o Serviço de Aplicativo e o Azure Functions.
Criptografar configurações de aplicativo: use configurações de aplicativo criptografadas e cadeias de conexão em vez de armazenar segredos em arquivos de código ou configuração. App Service armazena esses valores criptografados no Azure e os descriptografa pouco antes de serem injetados na memória do processo quando o aplicativo é iniciado, com chaves de criptografia rotacionadas regularmente. Acesse esses valores como variáveis de ambiente usando padrões padrão para sua linguagem de programação. Consulte Definir as configurações do aplicativo.
Proteger conexões remotas: sempre use conexões criptografadas ao acessar recursos remotos, mesmo que o recurso de back-end permita conexões não criptografadas. Para recursos do Azure, como o Banco de Dados SQL do Azure e o Armazenamento do Azure, as conexões permanecem dentro do Azure e não ultrapassam os limites de rede. Para recursos de rede virtual, use a integração de rede virtual com VPN ponto a site. Para recursos locais, use conexões híbridas com o TLS 1.2 ou a integração de rede virtual com VPN site a site. Verifique se os serviços do Azure de back-end permitem apenas o menor conjunto possível de endereços IP de seu aplicativo. Consulte Localizar IPs de saída.
Registro e monitoramento
Implementar o registro em log e o monitoramento abrangentes é essencial para detectar possíveis ameaças à segurança e solucionar problemas com a implantação do Serviço de Aplicativo do Azure.
Habilitar o registro em log de diagnóstico: configure os logs de diagnóstico do Serviço de Aplicativo do Azure para acompanhar erros de aplicativo, logs de servidor web, rastros de solicitações malsucedidas e mensagens de erro detalhadas para identificar problemas de segurança e solucionar problemas técnicos. Consulte Habilitar o registro em log de diagnóstico para aplicativos no Serviço de Aplicativo do Azure.
Integre-se ao Azure Monitor: configure o Azure Monitor para coletar e analisar logs e métricas de seu Serviço de Aplicativo, permitindo monitoramento e alertas abrangentes para eventos de segurança e problemas de desempenho. Consulte aplicativos de monitoramento no Azure App Service.
Configurar o Application Insights: implementar o Application Insights para obter insights detalhados sobre o desempenho do aplicativo, padrões de uso e possíveis problemas de segurança, com recursos de monitoramento e análise em tempo real. Consulte Monitorar o desempenho do Serviço de Aplicativo do Azure.
Configurar alertas de segurança: crie alertas personalizados para notificar você sobre padrões de uso anormais, possíveis violações de segurança ou interrupções de serviço que afetam os recursos do Serviço de Aplicativo. Consulte Criar, exibir e gerenciar alertas de métrica usando o Azure Monitor.
Habilitar verificações de integridade: configure verificações de integridade para monitorar o status operacional do aplicativo e corrija automaticamente os problemas quando possível. Consulte Monitorar instâncias do Serviço de Aplicativo usando a verificação de Integridade.
Conformidade e governança
Estabelecer a governança adequada e garantir a conformidade com padrões relevantes é crucial para a operação segura de aplicativos do Serviço de Aplicativo do Azure.
Implementar o Azure Policy: impor padrões de segurança em toda a organização para suas implantações do Serviço de Aplicativo criando e atribuindo definições do Azure Policy que auditam e impõem requisitos de conformidade. Consulte os controles de Conformidade Regulatória do Azure Policy para o Serviço de Aplicativo do Azure.
Examine as recomendações de segurança: avalie regularmente sua postura de segurança do Serviço de Aplicativo usando o Microsoft Defender para Nuvem para identificar e corrigir vulnerabilidades de segurança e configurações incorretas. Consulte Proteger seus aplicativos Web e APIs do Serviço de Aplicativo do Azure.
Realizar avaliações de segurança: execute avaliações de segurança regulares e testes de penetração de seus aplicativos do Serviço de Aplicativo para identificar possíveis vulnerabilidades e pontos fracos de segurança. Consulte o parâmetro de comparação de segurança na nuvem da Microsoft.
Manter a conformidade regulatória: configure suas implantações do Serviço de Aplicativo de acordo com os requisitos regulatórios aplicáveis para seu setor e região, especialmente em relação à proteção e privacidade de dados. Consulte a documentação de conformidade do Azure.
Implementar práticas seguras de DevOps: estabeleça pipelines seguros de CI/CD para implantar aplicativos no Serviço de Aplicativo, incluindo verificação de código, verificações de dependência e testes de segurança automatizados. Consulte DevSecOps no Azure.
Backup e recuperação
Implementar mecanismos robustos de backup e recuperação é essencial para garantir a continuidade dos negócios e a proteção de dados em suas implantações do Serviço de Aplicativo do Azure.
Habilitar backups automatizados: configure backups agendados para seus aplicativos do Serviço de Aplicativo para garantir que você possa recuperar seus aplicativos e dados em caso de exclusão acidental, corrupção ou outras falhas. Consulte Fazer backup e restaurar seu aplicativo no Serviço de Aplicativo do Azure.
Configurar a retenção de backup: defina os períodos de retenção apropriados para seus backups com base nos requisitos de negócios e nas necessidades de conformidade, garantindo que os dados críticos sejam preservados durante a duração necessária. Consulte Fazer backup e restaurar seu aplicativo no Serviço de Aplicativo do Azure.
Implementar implantações de várias regiões: implante seus aplicativos críticos em várias regiões para fornecer recursos de alta disponibilidade e recuperação de desastre em caso de interrupções regionais. Confira o Tutorial: Criar um aplicativo de várias regiões altamente disponível no Serviço de Aplicativo.
Testar a restauração do backup: teste regularmente o processo de restauração de backup para garantir que os backups sejam válidos e possam ser restaurados com êxito quando necessário, verificando a funcionalidade do aplicativo e a integridade dos dados. Consulte Restaurar um aplicativo de um backup.
Procedimentos de recuperação de documentos: crie e mantenha uma documentação abrangente para procedimentos de recuperação, garantindo uma resposta rápida e eficaz durante interrupções ou desastres de serviço.
Segurança específica do serviço
O Serviço de Aplicativo do Azure tem considerações de segurança exclusivas que devem ser tratadas para garantir a segurança geral de seus aplicativos Web.
Desabilitar a autenticação básica: Desabilite a autenticação básica de nome de usuário e senha nos pontos de extremidade FTP e SCM, em favor da autenticação baseada em ID do Microsoft Entra, que oferece autenticação com token OAuth 2.0 e aprimora a segurança. Consulte Desabilitar a autenticação básica em implantações do Serviço de Aplicativo do Azure.
Implantações FTP/FTPS seguras: desabilite o acesso ftp ou imponha o modo somente FTPS ao usar FTP para implantações para impedir que credenciais e conteúdo sejam transmitidos em texto claro. Novos aplicativos são definidos para aceitar apenas FTPS por padrão. Consulte Implantar seu aplicativo no Serviço de Aplicativo do Azure usando FTP/S.
Obter isolamento de rede completo: use o Ambiente do Serviço de Aplicativo para executar seus aplicativos dentro de um Ambiente de Serviço de Aplicativo dedicado em sua própria instância da Rede Virtual do Azure. Isso fornece isolamento de rede completo da infraestrutura compartilhada com pontos de extremidade públicos dedicados, opções de ILB (balanceador de carga interno) para acesso somente interno e a capacidade de usar um ILB por trás de um firewall de aplicações web para proteção de nível empresarial. Consulte Introdução aos Ambientes do Serviço de Aplicativo do Azure.
Implementar a proteção contra DDoS: use um WAF (Firewall de Aplicativo Web) e a proteção contra DDoS do Azure para proteger contra ataques de DDoS emergentes. Implante o Azure Front Door com um WAF para proteção no nível da plataforma contra ataques DDoS no nível da rede. Consulte a Proteção contra DDoS do Azure e o Azure Front Door com WAF.