Για να διαμορφώσετε το HTTPS για να προστατεύσετε το JWTS σε εφαρμογές Azure Logic, ακολουθήστε αυτά τα βήματα:
1. Βεβαιωθείτε ότι τα τελικά σημεία εφαρμογής Logic App: Azure Logic Apps θα πρέπει να είναι προσβάσιμες μόνο μέσω HTTPs για την προστασία των δεδομένων κατά τη διαμετακόμιση. Αυτό μπορεί να εφαρμοστεί χρησιμοποιώντας πολιτικές Azure όπως "Deny-Logicapps-Without-Https" για να εξασφαλιστεί ότι όλες οι εφαρμογές λογικής χρησιμοποιούν HTTPs [2].
2. Χρησιμοποιήστε τη διαχείριση API για πρόσθετη ασφάλεια: Τοποθετήστε το Azure API Management (APIM) μπροστά από τις εφαρμογές λογικής σας. Το APIM παρέχει πρόσθετα χαρακτηριστικά ασφαλείας, όπως ο έλεγχος ταυτότητας OAuth 2.0 και Azure Active Directory (AAD), ο οποίος μπορεί να χρησιμοποιηθεί για την επικύρωση του JWTS [1] [4].
3. Επικύρωση JWTS με πολιτικές διαχείρισης API: Χρησιμοποιήστε την πολιτική επικύρωσης JWT στη διαχείριση API για να επιβάλει την ύπαρξη και την εγκυρότητα της JWTS. Αυτή η πολιτική μπορεί να ελέγξει αξιώσεις όπως το κοινό για να διασφαλίσει ότι θα επεξεργαστούν μόνο τα εξουσιοδοτημένα αιτήματα [1].
4. Ασφαλίστε τη μετάδοση JWT: Πάντα μεταδίδετε JWTS πάνω από HTTPS για να αποτρέψετε τις επιθέσεις παρακολούθησης. Αυτό εξασφαλίζει ότι το JWT μεταδίδεται με ασφάλεια μεταξύ του πελάτη και του διακομιστή [6].
5. Αποθηκεύστε με ασφάλεια το JWTS: Αποθηκεύστε με ασφάλεια τους μηχανισμούς όπως τα cookies προγράμματος περιήγησης ή ασφαλείς λύσεις αποθήκευσης για την πρόληψη της μη εξουσιοδοτημένης πρόσβασης [6].
6. Εφαρμογή πιστοποιητικών πελατών για αιτήματα HTTPS: Εάν η εφαρμογή λογικής σας χρειάζεται να κάνει αιτήματα HTTPS χρησιμοποιώντας πιστοποιητικά πελάτη, μεταφορτώστε τα αρχεία .crt και .key σας σε αποθήκευση κλειδιού Azure ή αποθήκευση blob. Χρησιμοποιήστε αυτά τα αρχεία στις ενέργειες HTTP της εφαρμογής λογικής για να στείλετε με ασφάλεια τα αιτήματα HTTPS [5].
Ακολουθώντας αυτά τα βήματα, μπορείτε να προστατεύσετε αποτελεσματικά το JWTS σε εφαρμογές Azure Logic χρησιμοποιώντας HTTPS και πρόσθετα μέτρα ασφαλείας.
Αναφορές:
[1] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-secure-your-logic-app-using-api-management-8211-validate-jwt-access-reestr/336802
[2] https://www.azadvertizer.net/azpolicyadvertizer/deny-logicapps-without-ous-https.html
[3] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token based/
[4] https://turbo360.com/blog/logic-app-best-practices-secure-your-azure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-usl-using-crt-key-files
[6] https://www.softwaresecured.com/post/how-to-prowerly-secure-your-jwts
[7] https://microsoft.github.io/azure-threat-research-matrix/credentialaccess/azt601/azt601-3/
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/