ID marķieru izmantošana Azure loģikas lietotnēs ietver vairākas drošības sekas, kas ir izšķirošas, lai saprastu drošas darbplūsmu uzturēšanai.
drošības ieguvumi
1. Pārvaldītās identitātes: Azure loģikas lietotnes var izmantot pārvaldītās identitātes, lai autentificētos ar Azure pakalpojumiem bez hardkodētiem akreditācijas datiem. Šī pieeja novērš akreditācijas ieviešanas risku un samazina nepieciešamību pēc manuālas slepenas pārvaldības, uzlabojot vispārējo drošību [3] [6].
2. Nesēja marķiera autentifikācija: nesēju žetoni tiek plaši izmantoti REST API, kas integrēti ar Azure loģikas lietotnēm, nodrošināšanai. Šī metode ietver drošības marķiera uzrādīšanu "Autorization" galvenē, lai piekļūtu aizsargātiem resursiem, nodrošinot vienkāršu un drošu autentifikācijas mehānismu [5].
drošības problēmas
1. Tokena pārvaldība: piekļuves žetoni, ieskaitot ID marķierus, var būt jutīgi. Ja tie ir noplūduši, tie varētu ļaut neatļautu piekļuvi resursiem. Lai novērstu drošības pārkāpumus, šo žetonu pareiza pārvaldība un glabāšana ir būtiska [8].
2. Autorizācijas politikas ierobežojumi: Lai arī Azure Logic lietotnes atbalsta OAuth autentifikāciju, autorizācijas politikā ir ierobežojumi. Piemēram, nav iespējas pārbaudīt lomu vai apstiprināt marķiera parakstu loģikas lietotnēs, kas varētu ļaut iziet nepareizus žetonus. Tas padara to mazāk piemērotu misijai kritiskām lietojumprogrammām, kurām nepieciešama spēcīga uz lomu balstīta atļauja vai žetonu validācija [1].
3. SAS žetoni pret OAuth: noklusējuma HTTP sprūdi loģikas lietotnēs izmanto SAS marķierus, kas ir iestrādāti sprūda URL. Kaut arī SAS žetoniem pēc būtības nav slikti, ar tiem jārīkojas droši. Pāreja uz OAuth ar pārvaldītām identitātēm var uzlabot drošību, izvairoties no statiskiem akreditācijas datiem URL [1].
labākā prakse
- Izmantojiet pārvaldītās identitātes: dodiet priekšroku pārvaldītām identitātēm autentifikācijai, lai izvairītos no hardkodētiem akreditācijas datiem.
- Droša žetonu glabāšana: droši uzglabājiet žetonus, piemēram, Azure Key Vault.
- Pārraugiet un apstipriniet žetonus: kritiskām lietojumprogrammām apsveriet iespēju izmantot ārējus pakalpojumus, piemēram, funkciju lietotnes, lai apstiprinātu marķieru parakstus un lomas.
- Ierobežot piekļuvi: pārliecinieties, ka tikai pilnvarotajām identitātēm ir pieeja loģiskām lietotnēm un to resursiem.
Atsauces:
[1] https://hybridbrothers.com/using-managed-identities-in-logic-app-bag
[2] https://docs.azure.cn/en-us/connectors/introduction
[3] https://dev.to/prachibhende/security-first-architecture-in-azure-logic-apps-patterns-practsicks-and-atbilstība-56j5
.
[5] https://www.restack.io/p/azure-logic-app-bearer-token-answer-cat-ai
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-logic-app
[8] https://www.wiz.io/academy/azure-security-risk
[9] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-supf-periwal