Almacenamiento de secretos de Azure App Service en Azure Key Vault

Hoy voy a mostrar cómo almacenar los secretos de configuración de Azure App ServiceAzure App Service es una plataforma de Microsoft que permite desarrollar y alojar aplicaciones web y móviles en la nube. Ofrece soporte para varios lenguajes de programación, como .NET, Java, PHP y Python. Con características como escalado automático, integración continua y seguridad avanzada, Azure App Service facilita a los desarrolladores la construcción de aplicaciones robustas y escalables sin preocuparse por la infraestructura subyacente.... en Azure Key VaultAzure Key Vault es un servicio de Microsoft Azure diseñado para almacenar y gestionar secretos, claves de cifrado y certificados de manera segura. Permite a las organizaciones proteger información sensible, controlando el acceso a través de políticas y autenticación. Con la integración de Azure Active Directory, facilita la gestión de identidades y permisos, garantizando que solo los usuarios autorizados puedan acceder a los datos críticos. Ideal para mejorar la seguridad.... En este ejemplo, voy a usar un Plataforma DNN sitio web basado en Azure App Service utilizando una base de datosUna base de datos es un conjunto organizado de información que permite almacenar, gestionar y recuperar datos de manera eficiente. Utilizadas en diversas aplicaciones, desde sistemas empresariales hasta plataformas en línea, las bases de datos pueden ser relacionales o no relacionales. Su diseño adecuado es fundamental para optimizar el rendimiento y garantizar la integridad de la información, facilitando así la toma de decisiones informadas en diferentes contextos.... SQL, que almacena la cadena de conexión de la base de datos SQL en Azure Key Vault. No cambiaré la base de código de la aplicación para acceder a Azure Key Vault de ninguna manera. Aprovecharemos la función de identidad administrada de App Service para recuperar automáticamente los secretos de Key Vault.

Aprovisionar Azure Key Vault

1. Aprovisionar Azure Key Vault

   

2. Para esta demostración, cambiaremos el modelo de permisos al nuevo control de acceso basado en roles de Azure (RBAC). Actualmente está en versión preliminar.

   

3. Dependiendo de su implementación, cambie la Red como desee. Para esta demostración, lo dejaremos como punto de conexión público para que coincida con la configuración de App Service.

   

4. Haga clic en el Revisar + Crear botón para iniciar la implementación

5. Una vez creado, agréguese a la función «Administrador de Key Vault (versión preliminar)» a través del Control de acceso (IAM). Ahora puedes empezar a gestionar secretos.

   

Agregar la cadena de conexión a los secretos de Key Vault

1. Agregar un nuevo secreto a Key Vault

   

2. Especifique el secreto de tipo «Manual», asígnele un nombre y establezca el valor en la cadena de conexión de la Base de datos SQL actual almacenada en la aplicación web.config

   

3. Haga clic en Crear. Una vez creado, haga clic en el secreto para ver los detalles del secreto y luego haga clic nuevamente en la versión actual

4. Junto al Identificador secreto, haga clic en el botón Copiar al portapapeles

   

Agregar la referencia del identificador secreto a la configuración de Azure App Service

1. Abra la configuración de App Service y agregue una nueva configuración de Cadena de conexión
2. Escriba el nombre de la cadena de conexión («SiteSqlServer» para la plataforma DNN) y establezca el valor «@ Microsoft.KeyVault (SecretUri = VALUE_FROM_CLIPBOARD)», donde VALUE_FROM_CLIPBOARD es el del paso 4 de la sección anterior.

3. Haga clic en Guardar para guardar la configuración de la aplicación.

   

Permitir que App Service acceda a Key Vault

1. En App Service nuevamente, haga clic en Identidad para habilitar la identidad asignada por el sistema.

2. Haga clic en guardar después de activar «Activado» el estado

   

3. Haga clic en el botón «Asignaciones de roles» y luego haga clic en «Agregar asignación de roles (vista previa)»

   

4. En la asignación de roles, elija el alcance «Key Vault», suscriba la suscripción donde creó el Key Vault en los pasos anteriores y el nombre del recurso de Key Vault. Para el rol, simplemente seleccione «Usuario de Key Vault Secrets (vista previa)»

   

5. Finalmente, vaya al archivo web.config del sitio web de su plataforma DNN y borre el contenido de la cadena de conexión.

   

6. Visite el sitio web y verifique que se cargue correctamente. Ahora, la cadena de conexión se almacena de forma segura en Azure Key Vault y ya no se almacena en el sistema de archivos.

Problemas conocidos

1. ERROR: Aparece un error «Palabra clave no admitida: ‘@ microsoft.keyvault (secreturi'». He experimentado que los permisos de RBAC pueden tardar uno o dos minutos en aplicarse, así que intente después de unos minutos. También intente reiniciar el La aplicación pensó en el portal de App Service, por lo que no se almacena nada en caché.

   

2. Al verificar los registros de DNN log4net, ve muchos errores de un proceso que intenta inicializar una conexión de base de datos con una cadena de conexión no válida durante el proceso de inicialización de DNN. Este error está ocurriendo actualmente en las versiones 9.7.2 o anteriores con una solicitud de extracción pendiente para solucionarlo https://github.com/dnnsoftware/Dnn.Platform/issues/4227
3. IMPORTANTE: si planea usar la función de copia de seguridad de Azure App Service, no use este método para almacenar cadenas de conexión de la base de datos SQL en Azure Key Vault, ya que la función de copia de seguridad de App Service no las admite. https://stackoverflow.com/questions/56101504/backingup-azure-webapp-when-connection-string-is-injected-through-keyvault

¡Espero que esto ayude!