Azure mantık uygulamalarında kimlik belirteçleri kullanmak, güvenli iş akışlarını korumak için anlaması çok önemli olan çeşitli güvenlik etkileri içerir.
Güvenlik avantajları
1. Yönetilen Kimlikler: Azure mantık uygulamaları, sert kodlanmış kimlik bilgileri olmadan Azure hizmetleriyle kimlik doğrulaması yapmak için yönetilen kimliklerden yararlanabilir. Bu yaklaşım, kimlik bilgisine maruz kalma riskini ortadan kaldırır ve manuel gizli yönetime olan ihtiyacı azaltarak genel güvenliği artırır [3] [6].
2. Taşıyıcı Jeton Kimlik Doğrulaması: Taşıyıcı jetonları, Azure mantık uygulamalarıyla entegre edilmiş dinlenme API'lerini güvence altına almak için yaygın olarak kullanılır. Bu yöntem, korunan kaynaklara erişmek için `` Yetkilendirme '' başlıkında bir güvenlik belirteci sunulmasını ve basit ve güvenli bir kimlik doğrulama mekanizması sağladığını içerir [5].
Güvenlik Endişeleri
1. Jeton yönetimi: Kimlik belirteçleri dahil erişim belirteçleri hassas olabilir. Sızınırsa, kaynaklara yetkisiz erişime izin verebilirler. Güvenlik ihlallerini önlemek için bu jetonların uygun yönetimi ve depolanması şarttır [8].
2. Yetkilendirme Politikaları Sınırlamalar: Azure mantık uygulamaları OAuth kimlik doğrulamasını desteklerken, yetkilendirme politikalarında sınırlamalar vardır. Örneğin, rolleri kontrol etme veya mantık uygulamalarında jeton imzasını doğrulama seçeneği yoktur, bu da yanlış yaratılan jetonların geçmesine izin verebilir. Bu, güçlü rol tabanlı yetkilendirme veya jeton doğrulaması gerektiren görev açısından kritik uygulamalar için daha az uygun hale getirir [1].
3. SAS Tokens vs. OAuth: Mantık uygulamalarındaki varsayılan HTTP tetikleyicileri, tetik URL'sine gömülü olan SAS belirteçlerini kullanır. SAS belirteçleri doğal olarak kötü olmasa da, güvenli bir şekilde ele alınmalıdır. Yönetilen kimliklerle OAuth'a geçmek URL'lerde statik kimlik bilgilerini önleyerek güvenliği artırabilir [1].
En İyi Uygulamalar
- Yönetilen kimlikleri kullanın: Sabit kodlanmış kimlik bilgilerini önlemek için kimlik doğrulama için yönetilen kimlikleri tercih edin.
- Güvenli belirteç depolama: Azure Key Vault gibi jetonları güvenli bir şekilde saklayın.
- Tokenleri izleyin ve doğrulayın: Kritik uygulamalar için, jeton imzalarını ve rollerini doğrulamak için işlev uygulamaları gibi harici hizmetleri kullanmayı düşünün.
- Sınır Erişim: Yalnızca yetkili kimliklerin mantık uygulamalarına ve kaynaklarına erişebildiğinden emin olun.
Alıntılar:
[1] https://hybridbrothers.com/using-managed-enties-in-logic-app-http-triggers/
[2] https://docs.azure.cn/en-us/connectors/introduction
[3] https://dev.to/prachibhende/security-first-architecture-in-aZure-logic-apps-patterns-practices-and-compliction-56j5
[4] https://stackoverflow.com/questions/79171052/how-do-ouo-authenticate-al-lo-a-a-logic-app-standard-via-oauth2-0
[5] https://www.restack.io/p/azure-logic-app-wearer-token-jercer-cat-ai
[6] https://turbo360.com/blog/azure-managed-service-endenity-for-logic-apps
[7] https://learn.microsoft.com/en-us/azure/logic-apps/logic-apps-sacuring-a-gic-app
[8] https://www.wiz.io/academy/azure-security-risks
[9] https://www.linkedin.com/pulse/managed-entiess-mogic-apps-asure-adomate-your-stuff-periwal