أفضل ممارسات المصادقة
الجزء الوحيد الأكثر أهمية من تطبيقك هو أمانه. بغض النظر عن مدى جودة تجربة المستخدم، إذا كان تطبيقك غير آمن، يمكن أن يفسده أحد المخترقين.
فيما يلي بعض التلميحات للحفاظ على أمان تطبيق خرائط Azure. عند استخدام Azure، تأكد من التعرف على أدوات الأمان المتوفرة لك. لمزيد من المعلومات، راجع مقدمة عن أمان Azure.
فهم التهديدات الأمنية
من المحتمل أن يقوم المتسللون الذين يمكنهم الوصول إلى حسابك بإجراء معاملات غير محدودة قابلة للفوترة، ما يؤدي إلى تكاليف غير متوقعة وانخفاض في الأداء بسبب حدود QPS.
عند النظر في أفضل الممارسات لتأمين تطبيقات خرائط Azure، تحتاج إلى فهم خيارات المصادقة المختلفة المتاحة.
أفضل ممارسات المصادقة في خرائط Azure
عند إنشاء تطبيقات العميل التي تواجه الجمهور باستخدام خرائط Azure، يجب عليك التأكد من عدم إمكانية الوصول إلى أسرار المصادقة بشكل عام.
يمكن استخدام المصادقة المستندة إلى مفتاح الاشتراك (المفتاح المشترك) في التطبيقات من جانب العميل أو خدمات الويب، ومع ذلك فهي النهج الأقل أمانا لتأمين التطبيق أو خدمة الويب. والسبب هو أنه يمكن الحصول على المفتاح بسهولة من طلب HTTP ومنح حق الوصول إلى جميع خرائط Azure REST API المتوفرة في SKU (مستوى التسعير). إذا كنت تستخدم مفاتيح الاشتراك، فتأكد من تدويرها بانتظام وضع في اعتبارك أن المفتاح المشترك لا يسمح بمدة بقاء قابلة للتكوين، يجب أن يتم ذلك يدويًا. يجب عليك أيضاً التفكير في استخدام مصادقة المفتاح المشترك باستخدام Azure Key Vault، والتي تمكنك من تخزين بياناتك السرية بأمان في Azure.
إذا كنت تستخدم مصادقة Microsoft Entra أو مصادقة الرمز المميز لتوقيع الوصول المشترك (SAS)، يتم تفويض الوصول إلى واجهات برمجة تطبيقات REST خرائط Azure باستخدام التحكم في الوصول المستند إلى الدور (RBAC). يمكنك التحكم في الوصول استناداً إلى الدور من التحكم في الوصول الذي يتم منحه إلى الرموز المميزة الصادرة. يجب أن تفكر في المدة التي يجب منح الوصول فيها للرموز المميزة. على عكس مصادقة المفتاح المشترك، تكون مدة بقاء هذه الرموز المميزة قابلة للتكوين.
تلميح
لمزيد من المعلومات حول تكوين عمر الرمز المميز، راجع:
تطبيقات العميل العام والعميل السري
هناك مخاوف أمنية مختلفة بين تطبيقات العميل العامة والسرية. لمزيد من المعلومات حول ما يعتبر تطبيق عميل عام مقابل تطبيق سري، راجع العميل العام وتطبيقات العميل السرية في وثائق النظام الأساسي للهويات في Microsoft.
تطبيقات العميل العامة
بالنسبة للتطبيقات التي تعمل على الأجهزة أو أجهزة الكمبيوتر المكتبية أو في مستعرض ويب، يجب أن تفكر في تحديد المجالات التي لديها حق الوصول إلى حسابك على خرائط Azure باستخدام مشاركة الموارد عبر الأصل (CORS). ترشد CORS مستعرض العملاء على أي أصول مثل "https://microsoft.com"؛ يسمح بطلب موارد لحساب خرائط Azure.
إشعار
إذا كنت تطور خادم ويب أو خدمة، فلن يحتاج حساب خرائط Azure إلى تكوينه باستخدام CORS. إذا كان لديك تعليمة JavaScript البرمجية في تطبيق الويب من جانب العميل، فإن CORS ينطبق.
تطبيقات العميل السرية
بالنسبة للتطبيقات التي تعمل على الخوادم (مثل خدمات الويب وتطبيقات الخدمة/التطبيقات الخفية)، إذا كنت تفضل تجنب النفقات العامة وتعقيد إدارة الأسرار، ففكر في الهويات المدارة. يمكن أن توفر الهويات المدارة هوية لخدمة الويب لاستخدامها عند الاتصال خرائط Azure باستخدام مصادقة Microsoft Entra. إذا كان الأمر كذلك، فإن خدمة الويب الخاصة بك تستخدم هذه الهوية للحصول على الرموز المميزة المطلوبة من Microsoft Entra. يجب استخدام التحكم في الوصول استناداً إلى الدور في Azure لتكوين الوصول الذي يتم منحه لخدمة الويب، باستخدام الأدوار الأقل امتيازاً الممكنة.