Použití tokenů ID v logických aplikacích Azure zahrnuje několik bezpečnostních důsledků, které jsou pro udržení bezpečných pracovních postupů zásadní.
Bezpečnostní výhody
1. Spravovaná identita: Azure logické aplikace mohou využít spravovanou identitu k ověření pomocí Azure Services bez tvrdých kódů. Tento přístup eliminuje riziko expozice pověření a snižuje potřebu manuálního tajného řízení a zvyšuje celkovou bezpečnost [3] [6].
2. Ověřování tokenu nositele: Tokeny nositelů se široce používají pro zabezpečení API REST integrovaných do azurových logických aplikací. Tato metoda zahrnuje představení bezpečnostního tokenu do záhlaví „autorizace“ pro přístup chráněných zdrojů a poskytování přímého a bezpečného ověřovacího mechanismu [5].
Security obavy
1. Správa tokenů: Přístupové tokeny, včetně tokenů ID, mohou být citlivé. Pokud by unikli, mohli by umožnit neoprávněný přístup ke zdrojům. Správné řízení a skladování těchto žetonů je nezbytné pro zabránění porušení bezpečnosti [8].
2. Omezení zásad autorizace: Zatímco Azure Logic Apps podporují ověřování OAuth, v zásadách autorizace existují omezení. Například neexistuje možnost zkontrolovat role nebo ověřit podpis tokenů v logických aplikacích, které by mohly umožnit projít nesprávné tokeny. Díky tomu je méně vhodný pro kritické aplikace, které vyžadují robustní povolení založené na rolích nebo ověření tokenu [1].
3. SAS Tokens vs. OAuth: Výchozí spouštěče HTTP v logických aplikacích Používají tokeny SAS, které jsou zabudovány do URL spouštěče. Zatímco tokeny SAS nejsou ze své podstaty špatné, měly by se s nimi zacházet bezpečně. Přechod na OAuth s spravovanou identitou může zvýšit zabezpečení tím, že se vyhýbá statickým přihlašovacím údajům v adresách URL [1].
osvědčené postupy
- Používejte spravovanou identitu: Upřednostňují spravovanou identitu pro ověření, abyste se vyhnuli pevně zakódovaným přihlašovacím údajům.
- Zabezpečené úložiště tokenů: Bezpečně ukládejte tokeny, například v Azure Key Vault.
- Monitorujte a ověřte tokeny: Pro kritické aplikace zvažte použití externích služeb, jako jsou funkce funkcí k ověření podpisů a rolí tokenů.
- Omezit přístup: Zajistěte, aby pouze oprávněné identity měly přístup k logickým aplikacím a jejich zdrojům.
Citace:
[1] https://hybridbrothers.com/using-raged-identities-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/connectors/introduction
[3] https://dev.to/prachibhende/security-first-architecture-in-azure-logic-apps-patterns-pactices-and-56j5
[4] https://stackoverflow.com/questions/79171052/how-do-you-authenticate-a-call-to-ap-app-standard-via-oauth2-0
[5] https://www.restack.io/p/azure-logic-app-bear-token-answer-cat-ai
[6] https://turbo360..com/blog/azure-anaged-service-identity-for-logic-Apps
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[8] https://www.wiz.io/academy/azure-security-risks
[9] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-tuff-erwal