ใช้การควบคุมความปลอดภัยสําหรับแอป Logic

เสร็จสมบูรณ์เมื่อ

เวิร์กโฟลว์ Azure Logic Apps ต้องเผชิญกับข้อกําหนดด้านความปลอดภัยสามชั้นเดียวกันกับแอปฟังก์ชัน: การควบคุมว่าใครสามารถเรียกใช้ทริกเกอร์เวิร์กโฟลว์ ข้อมูลประจําตัวที่เวิร์กโฟลว์ใช้เมื่อรับรองความถูกต้องกับตัวเชื่อมต่อ และเส้นทางเครือข่ายใดที่สามารถเข้าถึงจุดสิ้นสุดของทริกเกอร์ได้ การควบคุมที่มีให้คุณ และวิธีที่คุณกําหนดค่า จะขึ้นอยู่กับแผนการโฮสต์ Logic Apps ที่คุณเลือก การเลือกแผนเป็นการตัดสินใจด้านความปลอดภัย ไม่ใช่แค่การตัดสินใจด้านต้นทุนหรือขนาดเท่านั้น

เลือกระหว่างแผนการบริโภคและแผนมาตรฐาน

เวิร์กโฟลว์การใช้ Logic Apps ทํางานในสภาพแวดล้อมแบบหลายผู้เช่าที่ใช้ร่วมกันซึ่งจัดการโดย Microsoft เวิร์กโฟลว์มาตรฐานทํางานในสภาพแวดล้อมผู้เช่ารายเดียวโดยเฉพาะ ความแตกต่างทางสถาปัตยกรรมนี้มีนัยยะด้านความปลอดภัยโดยตรงที่ส่งผลต่อการควบคุมที่คุณสามารถนําไปใช้ได้

แผนการบริโภคมีการควบคุมเครือข่ายที่จํากัด คุณสามารถกําหนดค่าข้อจํากัด IP บนปลายทางทริกเกอร์และจํากัดการเข้าถึงประวัติการเรียกใช้ แต่ไม่รองรับการรวมเครือข่ายเสมือนและปลายทางส่วนตัว ถ้าเวิร์กโฟลว์การใช้จําเป็นต้องเรียกใช้ทรัพยากรส่วนตัว เช่น SQL Server ที่ไม่มีการเข้าถึงแบบสาธารณะ หรือบัญชีที่เก็บข้อมูลที่จํากัดเฉพาะซับเน็ตเครือข่ายเสมือนที่เฉพาะเจาะจง คุณจําเป็นต้องมีบริการตัวกลาง เช่น Azure API Management หรือเกตเวย์ข้อมูลภายในองค์กรเพื่อลดช่องว่างของเครือข่าย

แผนมาตรฐานรองรับชุดการควบคุมเครือข่ายทั้งหมดที่มีอยู่ใน Azure App Service: การรวมเครือข่ายเสมือนสําหรับการ ฟังก์ชัน Azure เรียกตัวเชื่อมต่อขาออก เวิร์กโฟลว์แผนมาตรฐานยังทํางานแยกจากเวิร์กโฟลว์ของผู้เช่ารายอื่น

ความสามารถ ปริมาณการใช้ มาตรฐาน
ข้อจํากัด IP บนทริกเกอร์
การรวมเครือข่ายเสมือน (ขาออก)
จุดสิ้นสุดส่วนตัว (ขาเข้า)
การแยกผู้เช่ารายเดียว

สําหรับเวิร์กโฟลว์ที่จัดการข้อมูลส่วนบุคคล (ข้อมูลส่วนบุคคล) ข้อมูลทางการเงิน โทเค็นการรับรองความถูกต้อง หรือการเรียกใช้ทรัพยากรส่วนตัว แผนมาตรฐานเป็นตัวเลือกที่เหมาะสม ข้อจํากัดเครือข่ายของแผนการบริโภคเป็นช่องว่างด้านความปลอดภัยที่มีความหมายสําหรับปริมาณงานเหล่านี้ ไม่ใช่ความไม่สะดวกเล็กน้อย

ใช้ข้อมูลประจําตัวที่มีการจัดการสําหรับการรับรองความถูกต้องของตัวเชื่อมต่อ

ตัวเชื่อมต่อ Logic Apps ใช้ทรัพยากรการเชื่อมต่อเพื่อรับรองความถูกต้องกับบริการภายนอก โดยค่าเริ่มต้น ทรัพยากรการเชื่อมต่อเหล่านั้นจะเก็บข้อมูลเข้าสู่ระบบ เช่น ชื่อผู้ใช้และรหัสผ่าน คีย์ API หรือข้อมูลลับของไคลเอ็นต์ OAuth ซึ่งจะยังคงอยู่ในการกําหนดค่าการเชื่อมต่อ และทุกคนที่มีสิทธิ์เข้าถึงทรัพยากรของแอป Logic จะมองเห็นได้

การรับรองความถูกต้องของข้อมูลประจําตัวที่มีการจัดการสําหรับตัวเชื่อมต่อจะแทนที่ข้อมูลประจําตัวที่จัดเก็บไว้ด้วยข้อมูลประจําตัวที่จัดการโดย Azure แอป Logic ใช้ข้อมูลประจําตัวที่มีการจัดการที่ระบบกําหนดหรือผู้ใช้กําหนดเพื่อรับรองความถูกต้องกับบริการ Azure ที่รองรับผ่านตัวเชื่อมต่อ ตัวเชื่อมต่อที่รองรับ ได้แก่ Azure Blob Storage, Azure Service Bus, SQL Server, Azure Cosmos DB และ Azure Key Vault

เมื่อต้องการกําหนดค่าข้อมูลประจําตัวที่มีการจัดการสําหรับตัวเชื่อมต่อ:

  1. เปิดใช้งานข้อมูลประจําตัวที่มีการจัดการในแอป Logic โดยไปที่ข้อมูล ประจําตัว และตั้งค่าข้อมูลประจําตัวที่ระบบ กําหนดเป็นเปิด หรือกําหนดค่าข้อมูลประจําตัวที่ผู้ใช้กําหนด
  2. เมื่อเพิ่มหรือแก้ไขการดําเนินการตัวเชื่อมต่อในตัวออกแบบเวิร์กโฟลว์ ให้เลือก ข้อมูลประจําตัวที่มีการจัดการ เป็นชนิดการรับรองความถูกต้อง
  3. กําหนดบทบาทที่เหมาะสมให้กับข้อมูลประจําตัวที่มีการจัดการบนทรัพยากรเป้าหมาย เช่น Storage Blob Data Contributor สําหรับการเข้าถึง Azure Blob Storage

ตัวเชื่อมต่อ Logic Apps บางตัวไม่รองรับการรับรองความถูกต้องของข้อมูลประจําตัวที่มีการจัดการ ก่อนออกแบบเวิร์กโฟลว์ตามรูปแบบนี้ ให้ตรวจสอบว่าตัวเชื่อมต่อที่คุณต้องการรองรับเวิร์กโฟลว์ดังกล่าว สําหรับตัวเชื่อมต่อที่ไม่สนับสนุนข้อมูลประจําตัวที่มีการจัดการ ให้จัดเก็บข้อมูลประจําตัวใน Azure Key Vault และอ้างอิงจากการกําหนดค่าทรัพยากรการเชื่อมต่อ แทนที่จะป้อนข้อมูลประจําตัวลงในการเชื่อมต่อโดยตรง

Tip

เอกสารประกอบตัวเชื่อมต่อ Azure Logic Apps สําหรับแต่ละบริการจะแสดงรายการชนิดการรับรองความถูกต้องที่รองรับ ตรวจสอบสิ่งนี้ก่อนสร้างเวิร์กโฟลว์ เนื่องจากการเปลี่ยนวิธีการรับรองความถูกต้องหลังจากเวิร์กโฟลว์อยู่ในการผลิตจําเป็นต้องสร้างการเชื่อมต่อที่ได้รับผลกระทบใหม่

จํากัดการเข้าถึงทริกเกอร์ด้วยรายการ IP ที่อนุญาต

ทริกเกอร์ปลายทางสําหรับ Logic Apps คือตําแหน่งข้อมูล HTTP คุณสามารถจํากัดที่อยู่ IP ที่สามารถเรียกใช้ทริกเกอร์ได้โดยการกําหนดค่ารายการที่อนุญาต IP บล็อกที่อยู่ต้นทางอื่นๆ ทั้งหมดก่อนที่เวิร์กโฟลว์จะทํางาน

สําหรับเวิร์กโฟลว์แผนการใช้ ให้กําหนดค่าข้อจํากัดการเข้าถึงทริกเกอร์ในการตั้งค่าเวิร์กโฟลว์ภายใต้การกําหนดค่าการควบคุมการเข้าถึง ระบุช่วง IP ที่อนุญาตให้เรียกทริกเกอร์ IP ต้นทางอื่นๆ ทั้งหมดจะถูกปฏิเสธ

สําหรับเวิร์กโฟลว์แผนมาตรฐาน ให้กําหนดค่าการจํากัดการเข้าถึงใน Networking>Access restrictions โดยใช้อินเทอร์เฟซเดียวกันกับ ฟังก์ชัน Azure คุณสามารถอนุญาตช่วง IP ที่เฉพาะเจาะจง บล็อก Classless Inter-Domain Route (CIDR) หรือแท็กบริการ Azure

กฎแท็กบริการมีประโยชน์สําหรับแอป Logic ที่จัดการเหตุการณ์จากบริการ Azure เฉพาะเท่านั้น ตัวอย่างเช่น การจํากัดทริกเกอร์ไว้ที่แท็กบริการ AzureEventGrid หมายความว่าเฉพาะการเรียกที่มาจาก Azure Event Grid เท่านั้นที่สามารถเรียกใช้เวิร์กโฟลว์ได้ โดยคําขอ HTTP โดยอําเภอใจจากแหล่งที่มาอื่นจะถูกบล็อกไม่ว่าจะใช้ URL ใดก็ตาม

กําหนดค่าปลายทางส่วนตัวและการรวมเครือข่ายเสมือนสําหรับแผนมาตรฐาน

แอป Logic แผนมาตรฐานรองรับปลายทางส่วนตัวและรูปแบบการรวมเครือข่ายเสมือนเดียวกันกับแอป Elastic Premium Function ตัวควบคุมเหล่านี้ได้รับการกําหนดค่าที่ระดับทรัพยากร Logic App (มาตรฐาน) และนําไปใช้กับเวิร์กโฟลว์ทั้งหมดภายในทรัพยากรนั้น

ตําแหน่งข้อมูลส่วนตัวสําหรับแอป Standard Logic จะกําหนดที่อยู่ IP ส่วนตัวภายในเครือข่ายเสมือนของคุณให้กับปลายทางทริกเกอร์เวิร์กโฟลว์ ผู้โทรภายนอกไม่สามารถเข้าถึง URL ทริกเกอร์จากอินเทอร์เน็ตสาธารณะได้ เฉพาะทรัพยากรภายในเครือข่ายเสมือนหรือเครือข่ายที่เชื่อมต่อผ่านการเพียร์หรือ ExpressRoute เท่านั้นที่สามารถเรียกใช้เวิร์กโฟลว์ได้ นี่คือการกําหนดค่าที่ถูกต้องสําหรับเวิร์กโฟลว์ที่ประมวลผลข้อมูลที่ละเอียดอ่อน และควรเข้าถึงได้จากระบบภายในเท่านั้น

การรวมเครือข่ายเสมือนสําหรับการโทรออกช่วยให้แอป Logic สามารถเรียกใช้ตัวเชื่อมต่อไปยังทรัพยากรที่ไม่สามารถเข้าถึงได้แบบสาธารณะ ด้วยการรวมเครือข่ายเสมือนที่เปิดใช้งานบนแอป Standard Logic การดําเนินการของตัวเชื่อมต่อสามารถเข้าถึง SQL Server ที่ไม่มีปลายทางสาธารณะ บัญชีที่เก็บข้อมูลที่ล็อกไว้กับซับเน็ตเฉพาะ หรือ REST API ส่วนตัวที่โฮสต์ภายใน ซึ่งเป็นความสามารถขาออกแบบเดียวกับที่พร้อมใช้งานสําหรับแอป Elastic Premium Function

Note

จุดสิ้นสุดส่วนตัวและการรวมเครือข่ายเสมือนสําหรับ Logic Apps มีให้ใช้งานในแผนมาตรฐานเท่านั้น หากองค์กรของคุณปรับใช้เวิร์กโฟลว์ในแผนการใช้ในตอนแรก และระบุข้อกําหนดสําหรับการเข้าถึงเครือข่ายส่วนตัวในภายหลัง จําเป็นต้องย้ายไปยังแผนมาตรฐาน ซึ่งจะไม่มีเส้นทางการอัปเกรดแบบแทนที่ระหว่างชนิดของแผน

ปกป้องข้อมูลที่ละเอียดอ่อนในประวัติการเรียกใช้

Logic Apps จัดเก็บอินพุตและเอาต์พุตของแต่ละการดําเนินการในประวัติการเรียกใช้ ซึ่งมองเห็นได้ในพอร์ทัล Azure ลักษณะการทํางานเริ่มต้นนี้มีประโยชน์สําหรับการแก้ไขข้อบกพร่อง แต่สําหรับการดําเนินการที่ประมวลผลข้อมูลที่ละเอียดอ่อน เช่น รหัสผ่าน โทเค็นการตรวจสอบสิทธิ์ ข้อมูลส่วนบุคคล หรือข้อมูลเข้าสู่ระบบ จะเปิดเผยข้อมูลนั้นต่อทุกคนที่มีสิทธิ์อ่านทรัพยากรแอป Logic

การตั้งค่า อินพุตที่ปลอดภัย และ เอาต์พุตที่ปลอดภัย ในการดําเนินการแต่ละรายการจะสร้างความสับสนให้กับค่าที่เก็บไว้ในประวัติการเรียกใช้ เมื่อเปิดใช้งาน พอร์ทัลจะแสดง [Redacted] แทนเนื้อหาจริง เวิร์กโฟลว์ยังคงประมวลผลข้อมูลขณะรันไทม์ เฉพาะการจัดเก็บข้อมูลนั้นในประวัติการเรียกใช้เท่านั้นที่ได้รับผลกระทบ

เปิดใช้งานอินพุตและเอาต์พุตที่ปลอดภัยในการดําเนินการใดๆ ที่จัดการ:

  • โทเค็นการรับรองความถูกต้องหรือคีย์ API ที่ส่งผ่านระหว่างขั้นตอน
  • ข้อมูลส่วนบุคคลที่ดึงมาจากฐานข้อมูลหรือระบบภายนอก
  • ข้อมูลเข้าสู่ระบบที่อ้างอิงจากการเชื่อมต่อ Key Vault
  • ช่องที่ละเอียดอ่อนในคําขอ HTTP หรือเนื้อหาการตอบกลับ

สำคัญ

อินพุตและเอาต์พุตที่ปลอดภัยได้รับการกําหนดค่าตามการดําเนินการ ไม่ใช่ที่ระดับเวิร์กโฟลว์ ตรวจสอบการดําเนินการแต่ละรายการในเวิร์กโฟลว์ที่ละเอียดอ่อนต่อความปลอดภัยทีละรายการ และเปิดใช้งานการตั้งค่าทั้งสองตามความเหมาะสม การดําเนินการก่อนหน้านี้ในเวิร์กโฟลว์ที่ประมวลผลข้อมูลที่ละเอียดอ่อนโดยไม่เปิดใช้งานเอาต์พุตที่ปลอดภัยจะแสดงข้อมูลนั้นในประวัติการเรียกใช้แม้ว่าการดําเนินการดาวน์สตรีมทั้งหมดจะปลอดภัยก็ตาม

ต้องมีการตรวจสอบสิทธิ์ OAuth 2.0 สําหรับทริกเกอร์ HTTP (แผนมาตรฐาน)

เวิร์กโฟลว์แอป Logic แผนมาตรฐานรองรับการตรวจสอบโทเค็น OAuth 2.0 บนทริกเกอร์ HTTP ผ่าน Microsoft Entra ID เมื่อกําหนดค่าแล้ว ทริกเกอร์ต้องใช้โทเค็นการเข้าถึง Microsoft Entra ที่ถูกต้องก่อนที่เวิร์กโฟลว์จะเริ่มทํางาน ซึ่งเป็นรูปแบบการบังคับใช้เดียวกันกับ EasyAuth บนแอปฟังก์ชัน

หากต้องการเปิดใช้ OAuth 2.0 ในทริกเกอร์ HTTP ของแผนมาตรฐาน ให้กําหนดค่านโยบายการให้สิทธิ์ในทริกเกอร์ เพิ่มนโยบายการให้สิทธิ์ Microsoft Entra ID ที่ระบุผู้ชมที่อนุญาต ซึ่งเป็นรหัสแอปพลิเคชัน (ไคลเอ็นต์) ของการลงทะเบียนแอป และผู้เช่าที่จําเป็น คําขอที่ไม่มีโทเค็นผู้ถือที่ถูกต้องซึ่งตรงกับนโยบายจะถูกปฏิเสธก่อนที่การดําเนินการเวิร์กโฟลว์จะทํางาน

การกําหนดค่านี้มีประโยชน์สําหรับเวิร์กโฟลว์แผนมาตรฐานที่เปิดเผยเป็นจุดสิ้นสุด API ที่ควรเรียกได้โดยแอปพลิเคชันหรือข้อมูลประจําตัวที่ลงทะเบียน Microsoft Entra เฉพาะเท่านั้น เมื่อคุณรวมการกําหนดค่ากับข้อจํากัด IP หรือปลายทางส่วนตัว การตรวจสอบโทเค็น OAuth 2.0 บนทริกเกอร์จะสร้างอุปสรรคการตรวจสอบสิทธิ์อิสระสองรายการ