Aby skonfigurować HTTPS w celu ochrony JWT w aplikacjach logicznych Azure, wykonaj następujące kroki:
1. Upewnij się, że HTTPS dla logicznych punktów końcowych aplikacji: Aplikacje logiczne Azure powinny być dostępne tylko przez HTTPS w celu ochrony danych w tranzycie. Można to egzekwować przy użyciu zasad Azure, takich jak „Odmawiaj-LogicApps-without-https”, aby upewnić się, że wszystkie aplikacje logiczne używają HTTPS [2].
2. Użyj zarządzania interfejsem API w celu uzyskania dodatkowego bezpieczeństwa: Umieść zarządzanie API Azure API (APIM) przed aplikacjami logicznymi. APIM zapewnia dodatkowe funkcje bezpieczeństwa, takie jak uwierzytelnianie OAuth 2.0 i Azure Active Directory (AAD), które można użyć do walidacji JWT [1] [4].
3. Walidację JWTS za pomocą zasad zarządzania API: Wykorzystaj uprawnienie polityki JWT w zarządzaniu API, aby egzekwować istnienie i ważność JWT. Niniejsza polityka może sprawdzić roszczenia, takie jak publiczność, aby zapewnić, że tylko autoryzowane żądania są przetwarzane [1].
4. Bezpieczna transmisja JWT: Zawsze transmituj JWT przez HTTPS, aby zapobiec atakom podgrzewania. Zapewnia to, że JWT jest bezpiecznie przesyłany między klientem a serwerem [6].
5. Przechowywać bezpiecznie JWTS: przechowuj JWT bezpiecznie za pomocą mechanizmów takich jak pliki cookie przeglądarki lub bezpieczne rozwiązania pamięci, aby zapobiec nieautoryzowanemu dostępowi [6].
6. Wdrożenie certyfikatów klienta dla żądań HTTPS: Jeśli aplikacja logiczna musi składać żądania HTTPS za pomocą certyfikatów klienta, prześlij pliki .crt i .Key do przechowywania Key Key lub Blob. Użyj tych plików w akcjach HTTP aplikacji logicznej, aby bezpiecznie wysyłać żądania HTTPS [5].
Postępując zgodnie z tymi krokami, możesz skutecznie chronić JWT w aplikacjach logicznych Azure za pomocą HTTPS i dodatkowych środków bezpieczeństwa.
Cytaty:
[1] https://techcommunity.microsoft.com/blog/azuredevcommunityblog/part-4-secure-your-logic-app-using-api-management-8211-validate-jwt-access-restr/336802
[2] https://www.azadvertizer.net/azpolicyadvertizer/deny-logicapps-without-https.html
[3] https://adityadeshpandeadi.wordpress.com/2020/07/23/authorization-for-azure-logic-apps-token oparty/
[4] https://turbo360.com/blog/logic-app-best-racticessecure-your-azure-logic-apps
[5] https://stackoverflow.com/questions/78261501/azure-logic-app-https-connection-over-ssl-using-crt-key-files
[6] https://www.softwaresecured.com/post/how-to-properly-secure-your-jwts
[7] https://microsoft.github.io/azure-there--research-matrix/credentialAccess/azt601/azt601-3/
[8] https://auth0.com/blog/how-to-validate-jwt-dotnet/