Archiviazione dei segreti del servizio app di Azure nell'insieme di credenziali delle chiavi di Azure

Hoy voy a mostrar cómo almacenar los secretos de configuración de Servizio app di AzureAzure App Service es una plataforma de Microsoft que permite desarrollar y alojar aplicaciones web y móviles en la nube. Ofrece soporte para varios lenguajes de programación, como .NET, Giava, PHP y Python. Con características como escalado automático, integración continua y seguridad avanzada, Azure App Service facilita a los desarrolladores la construcción de aplicaciones robustas y escalables sin preocuparse por la infraestructura subyacente.... Su Azure Key VaultAzure Key Vault es un servicio de Microsoft Azure diseñado para almacenar y gestionar secretos, claves de cifrado y certificados de manera segura. Permite a las organizaciones proteger información sensible, controlando el acceso a través de políticas y autenticación. Con la integración de Azure Active Directory, facilita la gestión de identidades y permisos, garantizando que solo los usuarios autorizados puedan acceder a los datos críticos. Ideal para mejorar la seguridad.... In questo esempio, Userò un Plataforma DNN sitio web basado en Azure App Service utilizando una Banca datiUn database è un insieme organizzato di informazioni che consente di archiviare, Gestisci e recupera i dati in modo efficiente. Utilizzato in varie applicazioni, Dai sistemi aziendali alle piattaforme online, I database possono essere relazionali o non relazionali. Una progettazione corretta è fondamentale per ottimizzare le prestazioni e garantire l'integrità delle informazioni, facilitando così il processo decisionale informato in diversi contesti.... SQL, que almacena la cadena de conexión de la base de datos SQL en Azure Key Vault. No cambiaré la base de código de la aplicación para acceder a Azure Key Vault de ninguna manera. Aprovecharemos la función de identidad administrada de App Service para recuperar automáticamente los secretos de Key Vault.

Aprovisionar Azure Key Vault

1. Aprovisionar Azure Key Vault

   

2. Per questa dimostrazione, cambiaremos el modelo de permisos al nuevo control de acceso basado en roles de Azure (RBAC). Actualmente está en versión preliminar.

   

3. Dependiendo de su implementación, cambie la Red como desee. Per questa dimostrazione, lo dejaremos como punto de conexión público para que coincida con la configuración de App Service.

   

4. Clicca sul Revisar + Creare botón para iniciar la implementación

5. Una vez creado, agréguese a la función “Administrador de Key Vault (versión preliminar)” a través del Control de acceso (IAM). Ahora puedes empezar a gestionar secretos.

   

Agregar la cadena de conexión a los secretos de Key Vault

1. Agregar un nuevo secreto a Key Vault

   

2. Especifique el secreto de tipo “Manuale”, asígnele un nombre y establezca el valor en la cadena de conexión de la Base de datos SQL actual almacenada en la aplicación web.config

   

3. Haga clic en Crear. Una vez creado, haga clic en el secreto para ver los detalles del secreto y luego haga clic nuevamente en la versión actual

4. Junto al Identificador secreto, haga clic en el botón Copiar al portapapeles

   

Agregar la referencia del identificador secreto a la configuración de Azure App Service

1. Abra la configuración de App Service y agregue una nueva configuración de Cadena de conexión
2. Escriba el nombre de la cadena de conexión (“SiteSqlServer” para la plataforma DNN) y establezca el valor “@ Microsoft.KeyVault (SecretUri = VALUE_FROM_CLIPBOARD)”, donde VALUE_FROM_CLIPBOARD es el del paso 4 de la sección anterior.

3. Haga clic en Guardar para guardar la configuración de la aplicación.

   

Permitir que App Service acceda a Key Vault

1. En App Service nuevamente, haga clic en Identidad para habilitar la identidad asignada por el sistema.

2. Haga clic en guardar después de activar “attivato” lo stato

   

3. Fare clic sul pulsante “Asignaciones de roles” e quindi fare clic su “Agregar asignación de roles (anteprima)”

   

4. En la asignación de roles, elija el alcance “Key Vault”, suscriba la suscripción donde creó el Key Vault en los pasos anteriores y el nombre del recurso de Key Vault. Para el rol, basta selezionare “Usuario de Key Vault Secrets (anteprima)”

   

5. Finalmente, vaya al archivo web.config del sitio web de su plataforma DNN y borre el contenido de la cadena de conexión.

   

6. Visite el sitio web y verifique que se cargue correctamente. Ora, la cadena de conexión se almacena de forma segura en Azure Key Vault y ya no se almacena en el sistema de archivos.

Problemas conocidos

1. ERRORE: Aparece un error “Palabra clave no admitida: ‘@ microsoft.keyvault (secreturi'”. He experimentado que los permisos de RBAC pueden tardar uno o dos minutos en aplicarse, así que intente después de unos minutos. También intente reiniciar el La aplicación pensó en el portal de App Service, por lo que no se almacena nada en caché.

   

2. Al verificar los registros de DNN log4net, ve muchos errores de un proceso que intenta inicializar una conexión de base de datos con una cadena de conexión no válida durante el proceso de inicialización de DNN. Este error está ocurriendo actualmente en las versiones 9.7.2 o anteriores con una solicitud de extracción pendiente para solucionarlo https://github.com/dnnsoftware/Dnn.Platform/issues/4227
3. IMPORTANTE: si planea usar la función de copia de seguridad de Azure App Service, no use este método para almacenar cadenas de conexión de la base de datos SQL en Azure Key Vault, ya que la función de copia de seguridad de App Service no las admite. https://stackoverflow.com/questions/56101504/backingup-azure-webapp-when-connection-string-is-injected-through-keyvault

¡Espero que esto ayude!