【发布时间】:2017-07-21 23:38:06
【问题描述】:
我将我的 Web 应用程序发布到 Azure Web 应用程序,但我想为该应用程序提供安全性。
我知道通过使用 HTTPS,我们可以为 Web 应用程序提供安全性。我在此处发布问题之前阅读了此link。
除了使用 https,还有其他技术可以为网站或 Web 应用程序提供安全性吗?
【问题讨论】:
标签: security https web azure-web-app-service
【发布时间】:2017-07-21 23:38:06
【问题描述】:
正如document 提到的 Azure 应用服务中的安全级别:
基础设施和平台安全 - 您相信 Azure 拥有您在云中实际安全运行所需的服务。
应用程序安全性 - 您需要安全地设计应用程序本身。这包括如何与 Azure Active Directory 集成、如何管理证书以及如何确保可以安全地与不同的服务通信。
为了基础架构和平台安全,Azure 会隔离您的应用服务应用程序,并且敏感数据(例如 sql 连接字符串、appId、appSecret 等)的通信始终是加密的。此外,应用服务将提供威胁管理,保护应用服务资源免受恶意软件、DDoS、MITM 和其他威胁。
为了应用程序的安全性,您需要以安全的方式开发、管理您的应用程序。常见的威胁如下:
- SQL 注入
- 会话劫持
- 跨站点脚本
此外,您可以利用integration with Tinfoil Security 对您的应用执行渗透测试,并按照说明修复可能的漏洞。为了更好地理解它,您可以参考这个官方tutorial关于在Azure App Service中保护应用程序。
【讨论】: