다음을 통해 공유

App Service 랜딩 존 가속기에 대한 ID 및 액세스 관리 고려 사항

  • 아티클

이 문서에서는 Azure App Service 랜딩 존 가속기 사용 시 적용할 수 있는 ID 및 액세스 관리에 대한 디자인 고려 사항과 권장 사항을 제공합니다. 인증 및 앱 구성은 이 문서에서 설명하는 일부 고려 사항입니다.

ID 및 액세스 관리 디자인 영역에 대해 자세히 알아봅니다.

디자인 고려 사항

랜딩 존 가속기를 사용하여 App Service 솔루션을 배포하는 경우 주요 ID 및 액세스 관리에 대한 몇 가지 주요 고려 사항이 있습니다.

  • 앱 및 해당 데이터에 필요한 보안 및 격리 수준을 결정합니다. 퍼블릭 액세스를 사용하면 앱 URL이 있는 모든 사용자가 앱에 액세스할 수 있지만 프라이빗 액세스는 권한 있는 사용자 및 네트워크로만 액세스를 제한합니다.
  • 익명, 내부 회사 사용자, 소셜 계정, 기타 ID 공급자 또는 이러한 유형의 조합 등 App Service 솔루션에 필요한 인증 및 권한 부여 유형을 결정합니다.
  • App Service 솔루션이 Microsoft Entra ID로 보호되는 백 엔드 리소스에 연결할 때 시스템 할당 또는 사용자 할당 관리 ID 를 사용할지 여부를 결정합니다.
  • 기본 제공 역할이 기존 권한을 수정해야 하는 경우 최소 권한 원칙에 따라 사용자 지정 역할을 만드는 것이 좋습니다.
  • 키, 비밀, 인증서 및 애플리케이션 구성에 대한 향상된 보안 스토리지를 선택합니다.
    • 앱 구성을 사용하여 애플리케이션, 마이크로 서비스 및 서버리스 애플리케이션 간에 암호, 비밀 또는 키를 제외한 일반적인 구성 값을 공유합니다.
    • Azure Key Vault를 사용합니다. 암호, 연결 문자열, 키, 비밀 및 인증서의 향상된 보안 스토리지를 제공합니다. Key Vault를 사용하여 비밀을 저장한 다음, App Service 관리 ID를 통해 App Service 애플리케이션에서 액세스할 수 있습니다. 이렇게 하면 필요에 따라 애플리케이션에서 계속 액세스할 수 있으면서 비밀을 안전하게 유지할 수 있습니다.

디자인 권장 사항

다음 모범 사례를 App Service 배포에 통합해야 합니다.

  • App Service 솔루션에 인증이 필요한 경우:
    • 전체 App Service 솔루션에 대한 액세스를 인증된 사용자로 제한해야 하는 경우 익명 액세스를 사용하지 않도록 설정합니다.
    • 자체 인증 및 권한 부여 코드를 작성하는 대신 App Service의 기본 제공 인증 및 권한 부여 기능을 사용합니다.
    • 별도의 슬롯 또는 환경에 대해 별도의 애플리케이션 등록을 사용합니다.
    • App Service 솔루션이 내부 사용자 전용인 경우 보안 강화를 위해 클라이언트 인증서 인증을 사용합니다.
    • App Service 솔루션이 외부 사용자를 위한 경우 Azure AD B2C를 사용하여 소셜 계정 및 Microsoft Entra 계정에 인증합니다.
  • 가능하면 Azure 기본 제공 역할을 사용합니다. 이 역할은 읽기 전용 액세스가 필요한 사용자를 위한 읽기 권한자 역할과 리소스를 만들고 관리할 수 있어야 하는 사용자를 위한 기여자 역할 같이 특정 시나리오에 일반적으로 필요한 권한 세트를 제공하도록 디자인되었습니다.
    • 기본 제공 역할이 요구 사항을 충족하지 않는 경우 하나 이상 기본 제공 역할의 권한을 결합하여 사용자 지정 역할을 만들 수 있습니다. 이렇게 하면 최소 권한 원칙을 따르면서 사용자에게 필요한 정확한 권한 세트를 부여할 수 있습니다.
    • App Service 리소스를 정기적으로 모니터링하여 리소스가 보안 정책에 따라 사용되고 있는지 확인합니다. 이렇게 하면 무단 액세스 또는 변경 내용을 식별하고 적절한 조치를 취하는 데 도움이 될 수 있습니다.
  • 사용자, 그룹 및 서비스에 권한을 할당할 때 최소 권한 원칙을 사용합니다. 이 원칙은 특정 작업을 수행하는 데 필요한 최소 권한만 부여하며 추가로 부여하지 않아야 함을 나타냅니다. 이 참고 자료에 따르면 리소스에 대한 우발적이거나 악의적인 변경의 위험을 줄일 수 있습니다.
  • Microsoft Entra ID로 보호되는 향상된 보안 백 엔드 리소스를 사용하여 시스템 할당 관리 ID 를 사용하여 액세스합니다. 이렇게 하면 App Service 솔루션에서 액세스할 수 있는 리소스와 해당 리소스에 대한 권한을 제어할 수 있습니다.
  • 자동화된 배포를 위해 CI/CD 파이프라인에서 배포하는 데 필요한 최소 권한이 있는 서비스 주체를 설정합니다.
  • App Service에 대해 진단 로깅 AppServiceHTTPLogs 액세스 로그를 사용하도록 설정합니다. 이 자세한 로그를 사용하여 앱 문제를 진단하고 액세스 요청을 모니터링할 수 있습니다. 이 로그를 사용하도록 설정하면 구독 수준 이벤트에 대한 인사이트를 제공하는 Azure Monitor 활동 로그도 제공됩니다.
  • App Service에 대한 Azure 보안 기준의 관리권한 있는 액세스 섹션에 설명된 권장 사항을 따릅니다.

랜딩 존 가속기에 대한 ID 및 액세스 관리의 목표는 배포된 앱과 관련 리소스가 안전하고 권한 있는 사용자만 액세스할 수 있도록 하는 것입니다. 이렇게 하면 중요한 데이터를 보호하고 앱과 해당 리소스의 오용을 방지할 수 있습니다.