Эти компоненты уже защищены из-за наличия HTTPS (принудительный SSL) и аутентификации AD? или было бы удобно добавить подсеть с NSG для невидимых для Интернета ресурсов (группа ресурсов, SQL Azure и т. д.)? и будет ли удобнее использовать шлюз приложений с WAF или Azure Frontdoor для повышения безопасности?
⚠ Не редактируйте этот раздел.
@joslat Спасибо, что
Привет, Чираг, спасибо за ответ. Мой вопрос не сообщает о каких-либо «проблемах». Я просто спрашиваю, насколько безопасна эта «эталонная реализация» только с SSL и аутентификацией Azure AD.
Веб-приложения @joslat, развернутые в службе приложений Azure, уже хорошо защищены, поскольку большинство базовых сервисов, таких как виртуальные машины, хранилище, сеть и т. д., являются абстрагированными, и в списке в этом документе упоминается безопасность, которую вы можете добавить на уровне приложения. Кроме того, в документации по безопасности службы приложений есть больше способов еще больше защитить ваше приложение.
Что касается защиты не-лазурных сервисов, их размещение в виртуальных сетях (с группами безопасности сети) действительно более безопасно. Обратите внимание, что вам может потребоваться изменить уровни в зависимости от службы, которую вы используете для их развертывания в виртуальной сети.
Некоторые службы поддерживают конечные точки службы VNET, а служба приложений поддерживает интеграцию с VNET .
Другой способ защиты других ресурсов - использование таких функций, как управляемая идентификация, для проверки подлинности при вызовах из службы вашего приложения к другим ресурсам.
@joslat Просто продолжаю здесь ... Надеюсь, мой предыдущий комментарий поможет.
Поскольку здесь не требуется обновление документации, мы закроем эту ветку. Если у вас возникнут дополнительные вопросы по этому поводу, отметьте меня в своем ответе. Мы с радостью продолжим обсуждение и снова откроем вопрос.