L'uso di token ID nelle app di logica di Azure comporta diverse implicazioni di sicurezza che sono cruciali da comprendere per il mantenimento di flussi di lavoro sicuri.
Vantaggi per la sicurezza
1. Identità gestite: le app di logica di Azure possono sfruttare le identità gestite per autenticarsi con i servizi di Azure senza credenziali con codifica hard. Questo approccio elimina il rischio di esposizione alle credenziali e riduce la necessità di una gestione segreta manuale, migliorando la sicurezza generale [3] [6].
2. Autenticazione dei token del portatore: i token del portatore sono ampiamente utilizzati per proteggere le API di riposo integrate con le app di logica azure. Questo metodo prevede la presentazione di un token di sicurezza nell'intestazione `autorizzazione 'per accedere alle risorse protette, fornendo un meccanismo di autenticazione semplice e sicuro [5].
Preoccupazioni di sicurezza
1. Gestione dei token: i token di accesso, compresi i token ID, possono essere sensibili. Se trapelati, potrebbero consentire l'accesso non autorizzato alle risorse. La corretta gestione e la conservazione di questi token sono essenziali per prevenire le violazioni della sicurezza [8].
2. Policie di autorizzazione Limitazioni: mentre le app di Azure Logic supportano l'autenticazione OAuth, vi sono limitazioni nelle politiche di autorizzazione. Ad esempio, non esiste alcuna opzione per verificare i ruoli o convalidare la firma token all'interno di app logiche, il che potrebbe consentire il passare dei token mal creati. Ciò lo rende meno adatto per le applicazioni mission-critical che richiedono una solida autorizzazione basata sul ruolo o una convalida dei token [1].
3. Token SAS vs. oauth: i trigger HTTP predefiniti nelle app logici utilizzano token SAS, che sono incorporati nell'URL del trigger. Mentre i token SAS non sono intrinsecamente cattivi, dovrebbero essere gestiti in modo sicuro. Il passaggio a OAuth con identità gestite può migliorare la sicurezza evitando le credenziali statiche negli URL [1].
Best practice
- Usa Identità gestite: preferisci le identità gestite per l'autenticazione per evitare credenziali con codice rigido.
- Sicuro di archiviazione token: memorizzare i token in modo sicuro, come in Azure Key Vault.
- Monitorare e convalidare i token: per applicazioni critiche, prendi in considerazione l'uso di servizi esterni come app di funzioni per convalidare le firme e i ruoli dei token.
- Limitare l'accesso: assicurarsi che solo le identità autorizzate abbiano accesso alle app logiche e alle loro risorse.
Citazioni:
[1] https://hybridbrothers.com/using-Managed-Identities-in-Logic-App-http-Riggers/
[2] https://docs.azure.cn/en-us/connectors/introduction
[3] https://dev.to/prachibhende/security-first-architecture-in-azure-logic-apps-patterns-practices-and-compliance-56j5
[4] https://stackoverflow.com/questions/79171052/how-do-you-authenicate-a-cal-to-a-logic-app-standard-via-oauth2-0
[5] https://www.restack.io/p/azure-logic-app-bearer-token-answer-cat-ai
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[8] https://www.wiz.io/academy/azure-security-risks
[9] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automato-your-tor ---stuff-periwal