Shrnutí

Dokončeno

Bezpečnostní prověrka společnosti Contoso Retail odhalila čtyři nedostatky v kontrolních mechanismech, kvůli nimž byly jejich bezserverové úlohy vystaveny riziku: HTTP triggery bez ověřování, připojovací řetězce v prostém textu v nastavení aplikace, absence omezení příchozí síťové komunikace na koncových bodech Function App a natvrdo zakódované přihlašovací údaje ve sdílených prostředcích připojení Logic Apps. Tento modul řeší jednotlivé mezery pomocí ovládacích prvků uspořádaných kolem tří vrstev zabezpečení.

Zkontrolujte, co jste nakonfigurovali.

Autentizační vrstva, která řídí, kdo může volat aplikaci Function App, byla řešena prostřednictvím Azure App Service Authentication. Nakonfigurovali jste Microsoft Entra ID jako zprostředkovatele identity EasyAuth pomocí nastavení Require authentication k blokování neověřených požadavků před spuštěním kódu funkce. Úrovně autorizace funkcí poskytují sekundární vrstvu: klíče hostitele pro přístup pro celou aplikaci, klíče funkcí pro omezení jednotlivých funkcí a anonymní úroveň vyhrazená pro koncové body chráněné upstreamovou bránou.

Vrstva identit – určující, pod jakou identitou aplikace Function App vystupuje při volání následných služeb – byla řešena pomocí spravované identity přiřazené systémem. S povolenou spravovanou identitou a přiřazenými odpovídajícími rolemi RBAC už nejsou připojovací řetězce uložené v nastavení aplikace. U vzorů orchestrace AI, ve kterých aplikace Function Apps volají koncové body služby Azure OpenAI, role Cognitive Services OpenAI User zcela nahrazuje ukládání klíčů API. Odkazy na Key Vault pomocí syntaxe @Microsoft.KeyVault(SecretUri=...) rozšiřují tento model na libovolné nastavení aplikace, které dříve obsahovalo hodnotu tajného údaje.

Vrstva izolace sítě , která řídí, co může dosáhnout koncového bodu funkce, byla vyřešena prostřednictvím omezení příchozích IP adres, privátních koncových bodů pro aplikace funkcí v plánu Elastic Premium nebo Dedicated a integrace virtuální sítě pro odchozí provoz. Stejný třívrstvý model byl použit i pro službu Logic Apps, přičemž plán Standard nabízí integraci s virtuální sítí, privátní koncové body a izolaci pro jednoho tenanta, které plán Consumption nepodporuje. Nastavení zabezpečených vstupů a zabezpečených výstupů u jednotlivých akcí aplikace logiky chrání citlivá data před zobrazením v historii spuštění.

Další informace