Sử dụng mã thông báo ID trong các ứng dụng logic Azure liên quan đến một số hàm ý bảo mật rất quan trọng để hiểu để duy trì quy trình công việc an toàn.
Lợi ích bảo mật
1. Danh tính được quản lý: Ứng dụng logic Azure có thể tận dụng danh tính được quản lý để xác thực với các dịch vụ Azure mà không cần thông tin đăng nhập được mã hóa cứng. Cách tiếp cận này loại bỏ nguy cơ tiếp xúc với chứng chỉ và giảm nhu cầu quản lý bí mật thủ công, tăng cường bảo mật tổng thể [3] [6].
2. Xác thực mã thông báo của người mang: Mã thông báo của người mang được sử dụng rộng rãi để đảm bảo các API REST được tích hợp với các ứng dụng logic Azure. Phương pháp này liên quan đến việc trình bày mã thông báo bảo mật trong tiêu đề `ủy quyền 'để truy cập các tài nguyên được bảo vệ, cung cấp cơ chế xác thực đơn giản và an toàn [5].
Mối quan tâm bảo mật
1. Quản lý mã thông báo: Truy cập mã thông báo, bao gồm mã thông báo ID, có thể nhạy cảm. Nếu bị rò rỉ, chúng có thể cho phép truy cập trái phép vào tài nguyên. Quản lý và lưu trữ đúng cách các mã thông báo này là rất cần thiết để ngăn chặn các vi phạm an ninh [8].
2. Chính sách ủy quyền Giới hạn: Trong khi các ứng dụng logic Azure hỗ trợ xác thực OAuth, có những hạn chế trong các chính sách ủy quyền. Chẳng hạn, không có tùy chọn để kiểm tra vai trò hoặc xác thực chữ ký mã thông báo trong các ứng dụng logic, điều này có thể cho phép các mã thông báo bị phát hiện sai. Điều này làm cho nó ít phù hợp hơn đối với các ứng dụng quan trọng của nhiệm vụ yêu cầu ủy quyền dựa trên vai trò mạnh mẽ hoặc xác thực mã thông báo [1].
3. Mã thông báo SAS so với OAuth: Các kích hoạt HTTP mặc định trong các ứng dụng logic sử dụng mã thông báo SAS, được nhúng trong URL kích hoạt. Mặc dù mã thông báo SAS không phải là xấu, nhưng chúng nên được xử lý an toàn. Chuyển sang OAuth với danh tính được quản lý có thể tăng cường bảo mật bằng cách tránh thông tin tĩnh trong URL [1].
Thực tiễn tốt nhất
- Sử dụng danh tính được quản lý: Thích danh tính được quản lý để xác thực để tránh thông tin đăng nhập được mã hóa cứng.
- Lưu trữ mã thông báo an toàn: Lưu trữ mã thông báo một cách an toàn, chẳng hạn như trong Azure Key Vault.
- Giám sát và xác nhận mã thông báo: Đối với các ứng dụng quan trọng, hãy xem xét sử dụng các dịch vụ bên ngoài như ứng dụng chức năng để xác nhận chữ ký và vai trò mã thông báo.
- Truy cập giới hạn: Đảm bảo rằng chỉ có danh tính được ủy quyền mới có quyền truy cập vào các ứng dụng logic và tài nguyên của chúng.
Trích dẫn:
.
[2] https://docs.azure.cn/en-us/connector/introduction
[3] https://dev.to/prachibhende/security-first-architecture-in-azure-logic-apps-patterns-practices-and-compliance-56j5
[4] https://stackoverflow.com/questions/79171052/how-do-you-authenticate-a-call-to-a-logic-app-standard-via-oauth2-0
[5] https://www.restack.io/p/azure-logic-app-bearer-token-answer-cat-ai
[6] https://turbo360.com/blog/azure-managed-service-identity-for-logic-apps
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-securing-a-logic-app
[8] https://www.wiz.io/academy/azure-security-risks
[9] https://www.linkedin.com/pulse/managed-identities-logic-apps-azure-ad-automate-your-stuff-periwal