Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Azure App Service fornece um ambiente de plataforma como serviço (PaaS) que lhe permite construir, implementar e escalar aplicações web, backends de aplicações móveis, APIs RESTful e aplicações funcionais. Ao implementar este serviço, é importante seguir as melhores práticas de segurança para proteger as suas aplicações, dados e infraestrutura.
Este artigo fornece orientações sobre como proteger melhor a implementação do seu Azure App Service.
O Serviço de Aplicativo do Azure protege e endurece ativamente os componentes da sua plataforma, incluindo máquinas virtuais (VMs) do Azure, armazenamento, conexões de rede, frameworks web, e funcionalidades de gestão e integração. O Serviço de Aplicativo passa por verificações de conformidade contínuas e rigorosas para garantir que:
- Cada aplicativo é segregado de outros aplicativos e recursos do Azure.
- Atualizações regulares de VMs e software de tempo de execução abordam vulnerabilidades recém-descobertas.
- A comunicação de segredos e cadeias de conexão entre aplicativos e outros recursos do Azure, como o Banco de Dados SQL do Azure , ocorre apenas no Azure, sem cruzar nenhum limite de rede. Os segredos armazenados são sempre encriptados.
- Todas as comunicações por meio de recursos de conectividade do Serviço de Aplicativo, como Conexão Híbrida, são criptografadas.
- Todas as conexões por meio de ferramentas de gerenciamento remoto, como Azure PowerShell, CLI do Azure, SDKs do Azure e APIs REST, são criptografadas.
- O gerenciamento contínuo de ameaças protege a infraestrutura e a plataforma contra malware, negação de serviço distribuída (DDoS) e ataques man-in-the-middle, além de outras ameaças.
Para obter mais informações sobre segurança de infraestrutura e plataforma no Azure, consulte a Central de Confiabilidade do Azure.
Segurança de rede
O Serviço de Aplicações suporta muitas funcionalidades de segurança de rede para bloquear as suas aplicações e evitar acessos não autorizados.
Configure endereços privados: Elimine a exposição pública à Internet redirecionando o tráfego para o seu App Service através da sua rede virtual utilizando o Azure Private Link, garantindo uma conectividade segura para os clientes nas suas redes privadas. Veja Utilizar endpoints privados para Azure App Service.
Implemente integração com redes virtuais: Proteja o seu tráfego de saída permitindo que a sua aplicação aceda a recursos dentro ou através de uma rede virtual Azure, mantendo o isolamento da internet pública. Veja : Integrar a sua aplicação com uma rede virtual Azure.
Configure restrições de acesso ao IP: Restringa o acesso à sua aplicação definindo uma lista de autorização de endereços IP e sub-redes que possam aceder à sua aplicação, bloqueando todo o restante tráfego. Pode definir endereços IP individuais ou intervalos definidos por máscaras de sub-rede e configurar restrições dinâmicas de IP através de ficheiros web.config nas aplicações Windows. Veja Configurar restrições de acesso ao Azure App Service.
Configure restrições nos pontos finais de serviço: Bloqueie o acesso de entrada à sua aplicação a partir de sub-redes específicas nas suas redes virtuais usando endpoints de serviço, que trabalham em conjunto com restrições de acesso IP para fornecer filtragem a nível de rede. Veja restrições de acesso ao Azure App Service.
Use o Firewall de Aplicações Web: Aumente a proteção contra vulnerabilidades e ataques comuns na web implementando o Azure Front Door ou o Application Gateway com capacidades de Firewall de Aplicações Web em frente ao seu Serviço de Aplicações. Veja Azure Web Application Firewall no Azure Application Gateway.
Gestão de identidades e acessos
Gerir corretamente identidades e controlos de acesso é essencial para proteger as implementações do seu Azure App Service contra uso não autorizado e potencial roubo de credenciais.
Ative identidades geridas para pedidos de saída: Autentique os serviços Azure de forma segura a partir da sua aplicação sem armazenar credenciais no seu código ou configuração, usando identidades geridas, eliminando a necessidade de gerir os principais de serviço e as cadeias de ligação. As identidades geridas fornecem uma identidade gerida automaticamente no Microsoft Entra ID para a sua aplicação usar ao fazer pedidos de saída para outros serviços Azure como Azure SQL Database, Azure Key Vault e Azure Storage. O App Service suporta identidades geridas atribuídas pelo sistema e atribuídas pelo utilizador. Consulte Usar identidades geridas para App Service e Azure Functions.
Configure autenticação e autorização: Implemente a Autenticação/Autorização de Serviços de Aplicações para proteger a sua aplicação com o Microsoft Entra ID ou outros fornecedores de identidade, prevenindo acessos não autorizados sem escrever um código de autenticação personalizado. O módulo de autenticação incorporado trata dos pedidos web antes de os passar para o código da sua aplicação e suporta múltiplos fornecedores, incluindo Microsoft Entra ID, contas Microsoft, Facebook, Google e X. Veja Autenticação e autorização no Azure App Service.
Implementar controlo de acesso baseado em funções para operações de gestão: Controla quem pode gerir e configurar os recursos do teu Serviço de Aplicações (plano de gestão) atribuindo as permissões mínimas necessárias do Azure RBAC aos utilizadores e principais de serviço, seguindo o princípio do privilégio mínimo. Isto controla o acesso administrativo a operações como a criação de aplicações, a modificação de definições de configuração e a gestão de implementações — separadamente da autenticação ao nível da aplicação (Easy Auth) ou da autenticação app-to-resource (identidades geridas). Consulte Funções incorporadas do Azure.
Implementar autenticação em nome do utilizador: Delegar o acesso a recursos remotos em nome dos utilizadores que utilizam o Microsoft Entra ID como fornecedor de autenticação. A sua aplicação de Serviços de Aplicações pode realizar login delegado em serviços como o Microsoft Graph ou aplicações remotas da API de Serviços de Aplicações. Para obter um tutorial de ponta a ponta, consulte Autenticar e autorizar usuários de ponta a ponta no Serviço de Aplicativo do Azure.
Permitir autenticação TLS mútua: Exija certificados de cliente para maior segurança quando a sua aplicação precisa de verificar a identidade do cliente, especialmente para cenários B2B ou aplicações internas. Consulte Configurar autenticação mútua TLS para Azure App Service.
Proteção de dados
Proteger os dados em trânsito e em repouso é crucial para manter a confidencialidade e integridade das suas aplicações e dos seus dados.
Aplicar HTTPS: Redirecione todo o tráfego HTTP para HTTPS ativando o modo apenas HTTPS, garantindo que toda a comunicação entre os clientes e a sua aplicação está encriptada. Por defeito, o App Service força um redirecionamento dos pedidos HTTP para HTTPS, e o nome
<app_name>.azurewebsites.netde domínio predefinido da sua aplicação já está acessível via HTTPS. Veja Configurar definições gerais.Configurar a versão TLS: Utilize protocolos TLS modernos configurando a versão mínima TLS para 1.2 ou superior, e desative protocolos desatualizados e inseguros para evitar potenciais vulnerabilidades. App Service suporta TLS 1.3 (mais recente), TLS 1.2 (mínimo padrão) e TLS 1.1/1.0 (apenas para compatibilidade retroativa). Configura a versão mínima do TLS tanto para a tua aplicação web como para o site SCM. Veja Configurar definições gerais.
Gerir certificados TLS/SSL: Proteger domínios personalizados utilizando certificados TLS/SSL devidamente configurados para estabelecer ligações de confiança. O App Service suporta vários tipos de certificados: certificados gratuitos geridos pelo App Service, certificados de App Service, certificados de terceiros e certificados importados do Azure Key Vault. Se configurares um domínio personalizado, protege-o com um certificado TLS/SSL para que os navegadores possam criar ligações HTTPS seguras. Veja Adicionar e gerir certificados TLS/SSL no Azure App Service.
Armazene segredos no Key Vault: Proteja valores de configuração sensíveis como credenciais de base de dados, tokens API e chaves privadas, armazenando-os no Azure Key Vault e atendendo-os usando identidades geridas, em vez de os armazenar nas definições ou código da aplicação. A sua aplicação de Serviços de Aplicações pode aceder de forma segura ao Key Vault usando autenticação de identidade gerida. Consulte utilizar referências do Key Vault para o App Service e as Funções do Azure.
Encriptar definições de aplicação: Use definições de aplicação encriptadas e strings de ligação em vez de armazenar segredos em código ou ficheiros de configuração. O Serviço de Aplicações armazena estes valores encriptados no Azure e desencripta-os pouco antes da injeção na memória de processos da sua aplicação quando a aplicação inicia, com as chaves de encriptação a serem rodadas regularmente. Acede a estes valores como variáveis de ambiente usando padrões padrão para a tua linguagem de programação. Consulte Configurar definições da aplicação.
Ligações remotas seguras: Use sempre ligações encriptadas ao aceder a recursos remotos, mesmo que o recurso de back-end permita ligações não encriptadas. Para recursos Azure como Azure SQL Database e Azure Storage, as ligações mantêm-se dentro do Azure e não atravessam fronteiras de rede. Para recursos de rede virtual, utilize integração de rede virtual com VPN ponto-para-local. Para recursos locais, utilize ligações híbridas com TLS 1.2 ou integração de rede virtual com VPN site-to-site. Garante que os serviços de back-end do Azure permitem apenas o menor conjunto possível de endereços IP da tua aplicação. Consulte Encontrar IPs de saída.
Registo e monitorização
Implementar registos e monitorização abrangentes é essencial para detetar potenciais ameaças de segurança e resolver problemas na implementação do seu Azure App Service.
Ative registos de diagnóstico: Configure os registos de diagnóstico do Azure App Service para rastrear erros de aplicação, registos do servidor web, rastreios de pedidos falhados e mensagens de erro detalhadas para identificar problemas de segurança e resolver problemas. Veja Ativar o registo de diagnósticos para aplicações no Azure App Service.
Integre com o Azure Monitor: Configure o Azure Monitor para recolher e analisar registos e métricas do seu App Service, permitindo monitorização e alertas abrangentes para eventos de segurança e problemas de desempenho. Ver Monitorizar aplicações no Azure App Service.
Configure Application Insights: Implemente o Application Insights para obter informações detalhadas sobre o desempenho da aplicação, padrões de utilização e potenciais problemas de segurança, com capacidades de monitorização e análise em tempo real. Veja Monitorizar o desempenho do Azure App Service.
Configure alertas de segurança: Crie alertas personalizados para o notificar sobre padrões de utilização anormais, potenciais violações de segurança ou interrupções do serviço que afetem os recursos do seu Serviço de Aplicações. Veja Criar, visualizar e gerir alertas de métricas usando o Azure Monitor.
Ative verificações de saúde: Configure verificações de saúde para monitorizar o estado operacional da sua aplicação e remediar automaticamente os problemas sempre que possível. Consulte as instâncias do Serviço de Aplicação usando a verificação de saúde.
Conformidade e governança
Estabelecer uma governação adequada e garantir a conformidade com os padrões relevantes é crucial para o funcionamento seguro das aplicações Azure App Service.
Implemente a Política Azure: Imponha padrões de segurança a nível organizacional para as suas implementações de Serviços de Aplicação, criando e atribuindo definições de Política Azure que auditam e aplicam os requisitos de conformidade. Consulte controlos de conformidade regulatória de políticas Azure para Azure App Service.
Revise as recomendações de segurança: Avalie regularmente a sua postura de segurança de Serviços de Aplicações usando o Microsoft Defender for Cloud para identificar e corrigir vulnerabilidades de segurança e configurações incorretas. Veja Proteger as suas aplicações web e APIs do Azure App Service.
Realize avaliações de segurança: Realize avaliações regulares de segurança e testes de penetração das suas aplicações de Serviços de Aplicação para identificar potenciais vulnerabilidades e vulnerabilidades de segurança. Consulte o benchmark de segurança na nuvem da Microsoft.
Mantenha a conformidade regulamentar: Configure as implementações dos seus Serviços de Aplicações de acordo com os requisitos regulamentares aplicáveis para o seu setor e região, especialmente no que diz respeito à proteção de dados e privacidade. Consulte a documentação de conformidade Azure.
Implementar práticas DevOps seguras: Estabelecer pipelines seguros de CI/CD para a implementação de aplicações em App Service, incluindo varredura de código, verificações de dependências e testes automatizados de segurança. Veja DevSecOps no Azure.
Backup e recuperação
Implementar mecanismos robustos de backup e recuperação é essencial para garantir a continuidade do negócio e a proteção de dados nas suas implementações do Azure App Service.
Ative cópias de segurança automatizadas: Configure cópias de segurança agendadas para aplicações do seu Serviço de Aplicações para garantir que pode recuperar as suas aplicações e dados em caso de eliminação acidental, corrupção ou outras falhas. Veja Efetue o backup e restaure a sua aplicação no Azure App Service.
Configure a retenção de backups: Defina períodos de retenção adequados para os seus backups com base nos requisitos do seu negócio e das necessidades de conformidade, garantindo que os dados críticos são preservados durante o período exigido. Veja Faça backup e restaure a sua aplicação no Azure App Service.
Implemente implantações multi-regionais: Implemente as suas aplicações críticas em múltiplas regiões para garantir alta disponibilidade e capacidades de recuperação de desastres em caso de interrupções regionais. Veja o Tutorial: Crie uma aplicação multi-região altamente disponível no App Service.
Teste a restauração de cópias de segurança: Teste regularmente o seu processo de restauração de cópias de segurança para garantir que as cópias de segurança são válidas e podem ser restauradas com sucesso quando necessário, verificando tanto a funcionalidade da aplicação como a integridade dos dados. Veja Restaurar uma aplicação a partir de uma cópia de segurança.
Procedimentos de recuperação de documentos: Crie e mantenha documentação abrangente para os procedimentos de recuperação, garantindo uma rápida e eficaz resposta em caso de interrupções ou desastres no serviço.
Segurança específica do serviço
O Azure App Service tem considerações de segurança únicas que devem ser abordadas para garantir a segurança global das suas aplicações web.
Desativar autenticação básica: Desativar a autenticação básica por nome de utilizador e palavra-passe para endpoints FTP e SCM em favor da autenticação baseada em ID Microsoft Entra, que fornece autenticação OAuth 2.0 baseada em token com segurança reforçada. Veja Desativar autenticação básica nas implementações do Azure App Service.
Implementações FTP/FTPS seguras: Desativar o acesso FTP ou aplicar o modo apenas FTPS ao usar FTP para implementações, para evitar que credenciais e conteúdos sejam transmitidos em texto claro. Novos aplicativos são definidos para aceitar apenas FTPS por padrão. Veja Deployar a sua aplicação para Azure App Service usando FTP/S.
Alcance isolamento total da rede: Use o Ambiente de Serviços de Aplicações para executar as suas aplicações dentro de um Ambiente de Serviços de Aplicações dedicado na sua própria instância de Rede Virtual Azure. Isto proporciona isolamento completo da rede da infraestrutura partilhada com endpoints públicos dedicados, opções internas de balanceador de carga (ILB) para acesso apenas interno, e a capacidade de usar um ILB atrás de um firewall de aplicações web para proteção a nível empresarial. Ver Introdução aos Ambientes de Serviços de Aplicações Azure.
Implemente proteção DDoS: Use um Firewall de Aplicações Web (WAF) e proteção DDoS Azure para se proteger contra ataques DDoS emergentes. Implemente o Azure Front Door com um WAF para proteção ao nível da plataforma contra ataques DDoS ao nível da rede. Veja Azure DDoS Protection e Azure Front Door com WAF.