Bonnes pratiques pour le déploiement des mots de passe et d’autres données sensibles sur ASP.NET et Azure App Service

par Rick Anderson

Nous vous recommandons d’utiliser l’option d’authentification sécurisée la plus sécurisée. Pour les services Azure, l’authentification la plus sécurisée est Identités managées. Pour de nombreuses applications, l’option la plus sécurisée consiste à utiliser Azure Key Vault.

Évitez l’octroi des informations d’identification de mot de passe du propriétaire de la ressource, car elle :

• Cela expose le mot de passe de l’utilisateur au client.
• Cela peut constituer un risque de sécurité significatif.
• Cela doit être utilisé uniquement lorsque les autres flux d’authentification sont impossibles.

Les identités managées sont un moyen sécurisé de s’authentifier auprès de services sans avoir à stocker les informations d’identification dans le code, les variables d’environnement ou les fichiers de configuration. Les identités managées sont disponibles pour les services Azure et peuvent être utilisées avec Azure SQL, Stockage Azure et d’autres services Azure :

• Identités managées dans Microsoft Entra pour Azure SQL
• Identités managées pour App Service et Azure Functions
• Flux d’authentification sécurisés

Quand l’application est déployée sur un serveur de test, une variable d’environnement peut être utilisée pour définir la chaîne de connexion à un serveur de base de données de test. Pour plus d’informations, consultez Configuration. Une variable d’environnement ne doit JAMAIS être utilisée pour stocker une chaîne de connexion de production.

Pour plus d’informations, consultez l’article suivant :

• Recommandations relatives aux meilleures pratiques liées aux identités managées
• Connexion de votre application à des ressources sans gérer les informations d’identification dans votre code
• Services Azure qui peuvent utiliser des identités managées pour accéder à d’autres services
• Bonne pratique actuelle en matière de sécurité IETF OAuth 2.0