Skaitmeninės transformacijos metu labai svarbu apsaugoti neskelbtinus duomenis, pvz., duomenų bazės kredencialus, API raktus ir ryšio eilutes. „Azure App Service“, visiškai valdoma žiniatinklio programų prieglobos platforma, siūlo patikimą saugos mechanizmą Valdoma tapatybė ir Azure Key Vault. Šiame tinklaraštyje nagrinėjama, kaip panaudoti šias paslaugas, kad padidintumėte programos saugumą, pašalinant poreikį kode saugoti neskelbtiną informaciją.

Kas yra valdoma tapatybė?

Valdomos tapatybės paslaugos „Azure“, kurie leidžia autentifikuoti bet kurią paslaugą ar programą, nereikalaujant aiškiai tvarkyti kredencialų. Tai taip pat suteikia jūsų programos tapatybę, kad galėtumėte saugiai pasiekti Azure išteklius. Tai pašalina poreikį tvarkyti kredencialus programos kode.

Valdomos tapatybės privalumai

Pagrindiniai privalumai:

Taip išvengiama kredencialų saugojimo jūsų kode ir neleidžiama atsitiktinai atskleisti.

„Managed Identity“ automatiškai valdo ir keičia kredencialus, kad supaprastintų prieigos valdymo gyvavimo ciklą.

Bet kuri „Azure“ paslauga, palaikanti „Managed Identity“, gali būti lengvai integruota į „App Service“ arba „Key Vault“ neįdiegus pasirinktinių sprendimų.

Valdomos tapatybės tipai

Azure palaiko dviejų tipų valdomas tapatybes:

  • Sistema priskirta: automatiškai sukurta ir susieta su konkrečiu Azure šaltiniu.
  • Vartotojo priskirta: sukurtas atskirai ir gali būti bendrinamas keliuose šaltiniuose.

„Xavor“ šiandien gali padėti įdiegti „Managed Identity“ jūsų „Azure“ aplinkoje, kad išnaudotumėte šiuos privalumus ir padidintumėte programų saugumą.

Kas yra „Azure Key Vault“?

„Azure Key Vault“ yra „Microsoft Azure“ teikiama debesies paslauga, skirta saugiai saugoti ir tvarkyti paslaptis, šifravimo raktus ir sertifikatus. Jame numatyta:

Galite naudoti „Key Vault“, kad saugiai saugotumėte ir gautumėte paslaptis (pvz., ryšio eilutes, API raktus ar slaptažodžius). Paslaptys yra užšifruotos ramybės būsenoje ir gabenant, o jūs gaunate papildomą saugumo lygį.

Naudodami Key Vault galite generuoti ir valdyti kriptografinius raktus. Šie raktai gali palaikyti šifravimo, iššifravimo ar pasirašymo operacijas.

„Key Vault“ palaiko X.509 sertifikatų saugojimą ir valdymą, o sertifikatus galite importuoti, kurti ir atnaujinti tiesiai iš paslaugos.

„Key Vault“ suteikia prieigos valdymą, pagrįstą tiksliu detalumu pagal politiką arba RBAC. Tai leidžia vartotojams ir programoms suteikti konkrečias prieigos teises.

„Xavor“ gali padėti integruoti „Key Vault“ su „Managed Identity“; galite saugiai gauti paslaptis iš „Key Vault“, neįdėdami slaptų duomenų į programą.

Žingsnis po žingsnio saugumo didinimo vadovas

1 veiksmas. Įgalinkite „Azure App Service“ valdomą tapatybę

  1. Eikite į „Azure App Service“ Azure portale.
  2. Eikite į Tapatybė skyrių.
  3. Įgalinti Sistema priskirta valdomą tapatybę ir išsaugokite pakeitimus.
  • Azure automatiškai sukurs jūsų programos tapatybę.

2 veiksmas. Sukurkite ir sukonfigūruokite „Azure Key Vault“.

Sukurkite raktų saugyklą:

  • Azure portale eikite į Key Vaults ir sukurti naują Key Vault.

Pridėti paslapčių:

  • Eikite į Paslaptys skyrių „Key Vault“ ir sukurkite naują paslaptį (pvz., DatabaseConnectionString).

3 veiksmas. Suteikite prieigą prie valdomos tapatybės

  1. Key Vault eikite į Prieigos politika.
  2. Pridėti an Prieigos politika ir suteikti valdomos tapatybės leidimus Gaukite ir įtraukite į sąrašą paslapčių.
  3. Išsaugokite pakeitimus.

4 veiksmas. Prisijunkite prie paslapčių savo programoje

Programoje gaukite paslaptis naudodami Azure SDK. Toliau pateikiamas .NET programos kodo fragmento pavyzdys:

naudojant Azure.Identity;

naudojant Azure.Security.KeyVault.Secrets;

viešosios klasės KeyVaultService

{

privatus, tik skaitomas SecretClient _secretClient;

vieša KeyVaultService (eilutė keyVaultUri)

{

_secretClient = new SecretClient(new Uri(keyVaultUri), new DefaultAzureCredential());

}

vieša eilutė GetSecret(eilutės slaptasis pavadinimas)

{

var secret = _secretClient.GetSecret(slaptasPavadinimas);

grąžinti paslaptį.Vertė.vertė;

}

}

Pakeiskite „keyVaultUri“ savo „Key Vault“ URI (pvz., https://.vault.azure.net).

5 veiksmas. „App Service Configuration“ naudokite paslaptis

  1. Atnaujinkite programos kodą, kad pakeistumėte užkoduotas vertes vertėmis, gautomis iš Key Vault.
  2. Norėdami dinamiškai sukonfigūruoti „keyVaultUri“, naudokite aplinkos kintamuosius arba programos nustatymus „Azure App Service“.

Geriausios valdomos tapatybės praktikos

  1. Sumažinkite slaptą prieigą: naudokite išsamios prieigos politiką „Key Vault“, kad apribotumėte prieigą prie konkrečių paslapčių.
  2. Reguliariai keiskite paslaptis: periodiškai atnaujinkite „Key Vault“ saugomas paslaptis, kad sumažintumėte neteisėtos prieigos riziką.
  3. Stebėti „Key Vault“ prieigą: įgalinkite „Azure Monitor“ ir „Azure Security Center“, kad būtų galima stebėti prieigos žurnalus ir nustatyti įtartiną veiklą.
  4. Sujunkite su Azure Application Insights: pasinaudokite Application Insights, kad galėtumėte stebėti savo programą, įskaitant saugos metriką.

Išvada

Naudodami „Azure Managed Identity“ ir „Key Vault“ galite žymiai pagerinti „Azure App Service“ priglobtų programų saugos padėtį. Jei kredencialai nėra įterpti į kodą, nutekėjimo rizika labai sumažėja, o prieigos valdymas supaprastėja.

Atminkite, kad saugumas yra ne vieno taško veikla, o nuolatinis procesas. Retkarčiais peržiūrėkite ir atnaujinkite savo saugos praktiką, kad atsirastų grėsmių ir įsitikintumėte, jog programos yra saugios.

Jei jums reikia papildomos pagalbos, galite susisiekti su mumis el (apsaugotas el. paštu). Suplanuosime nemokamą konsultaciją, kad išsiaiškintume, kaip Xavor gali jums padėti.





Source link

Draugai: - Marketingo paslaugos - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Karščiausios naujienos - Ultragarsinis tyrimas - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai -  Padelio treniruotės - Pranešimai spaudai -