ID žetonų naudojimas „Azure Logic Apps“ apima keletą pasekmių saugumui, kurie yra labai svarbūs norint išlaikyti saugias darbo eigas.
Saugumo išmokos
1. Tvarkytos tapatybės: „Azure Logic“ programos gali panaudoti valdomas tapatybes, kad galėtų autentifikuoti „Azure“ paslaugas be kieto koduotų kredencialų. Šis požiūris pašalina kredencialų poveikio riziką ir sumažina rankinio slapto valdymo poreikį, padidindamas bendrą saugumą [3] [6].
2. „Neamer Token Authentication“: „The Bearer“ žetonai yra plačiai naudojami užtikrinant REST API, integruotas su „Azure Logic“ programomis. Šis metodas apima saugumo prieigos rakto pateikimą „Autorizacijos“ antraštėje, kaip pasiekti apsaugotus išteklius, pateikiant tiesmukišką ir saugų autentifikavimo mechanizmą [5].
Saugumo problemos
1. Token Valdymas: prieigos prieigos žetonai, įskaitant ID žetonus, gali būti jautrūs. Jei nutekėjo, jie galėtų leisti neteisėtai prieigą prie išteklių. Tinkamas šių žetonų valdymas ir laikymas yra būtinas norint išvengti saugumo pažeidimų [8].
2. Autorizacijos politikos apribojimai: Nors „Azure Logic Apps“ palaiko OAUTH autentifikavimą, autorizacijos politikoje yra apribojimų. Pavyzdžiui, nėra galimybės patikrinti vaidmenų ar patvirtinti žetonų parašą „Logic Apps“, kuri gali leisti klaidingai sukurti žetonus. Dėl to jis yra mažiau tinkamas misijai kritinėms programoms, reikalaujančioms patikimo vaidmens pagrįsto autorizacijos arba prieigos rakto patvirtinimo [1].
3. „SAS Tokens“ ir „OAuth“: Numatytasis HTTP sukelmas loginėse programose naudoja „SAS Tokens“, kurie yra įterpti į trigerio URL. Nors SAS žetonai iš prigimties nėra blogi, jie turėtų būti tvarkomi saugiai. Perėjimas prie „OAuth“ su valdomomis tapatybėmis gali padidinti saugumą, išvengiant statinių įgaliojimų URL [1].
geriausia praktika
- Naudokite valdomas tapatybes: Norėdami išvengti kietai užkoduotų kredencialų, autentifikuoti pirmenybę teikite valdomoms tapatybėms.
- Saugus žetonų saugojimas: saugiai saugokite žetonus, pavyzdžiui, „Azure Key Vault“.
- Stebėkite ir patvirtinkite žetonus: Kritinėms programoms apsvarstykite galimybę naudoti išorines paslaugas, tokias kaip funkcijų programos, kad patvirtintumėte žetonų parašus ir vaidmenis.
- Ribokite prieigą: įsitikinkite, kad tik įgalioti tapatybės turi prieigą prie loginių programų ir jų išteklių.
Citatos:
[1] https://hybridbrothers.com/using-samed-sentittities-in-gogic-app-http-riggers/
[2] https://docs.azure.cn/en-us/connectors/introduction
[3] https://dev.to/prachibhende/security-first-architcture-in-azure-gogic-apps-patterns-practices-and-cifliance-56J5
[4] https://stackoverflow.com/questions/79171052/how-do-you-authenticate-a-call-a-a-gogic-app-standard-via-oauth2-0
[5] https://www.restack.io/p/azure-gogic-app-bearer-token-swer-cat-ai
[6] https://turbo360.com/blog/azure-managed-service-dentity-for-logic-apps
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-gogic-app
[8] https://www.wiz.io/academy/azure-security-risks
[9] https://www.linkedin.com/pulse/Managed-entittities-gogic-apps-azure-ad-automate-your-tuff-eriwal