Armazenar segredos do Serviço de Aplicativo do Azure no Cofre da Chave do Azure

Hoy voy a mostrar cómo almacenar los secretos de configuración de Azure App ServiceAzure App Service es una plataforma de Microsoft que permite desarrollar y alojar aplicaciones web y móviles en la nube. Ofrece soporte para varios lenguajes de programación, como .NET, Java, PHP y Python. Con características como escalado automático, integración continua y seguridad avanzada, Azure App Service facilita a los desarrolladores la construcción de aplicaciones robustas y escalables sin preocuparse por la infraestructura subyacente.... sobre Azure Key VaultAzure Key Vault es un servicio de Microsoft Azure diseñado para almacenar y gestionar secretos, claves de cifrado y certificados de manera segura. Permite a las organizaciones proteger información sensible, controlando el acceso a través de políticas y autenticación. Con la integración de Azure Active Directory, facilita la gestión de identidades y permisos, garantizando que solo los usuarios autorizados puedan acceder a los datos críticos. Ideal para mejorar la seguridad.... Neste exemplo, Vou usar um Plataforma DNN sitio web basado en Azure App Service utilizando una base de dadosUm banco de dados é um conjunto organizado de informações que permite armazenar, Gerencie e recupere dados com eficiência. Usado em várias aplicações, De sistemas corporativos a plataformas online, Os bancos de dados podem ser relacionais ou não relacionais. O design adequado é fundamental para otimizar o desempenho e garantir a integridade das informações, facilitando assim a tomada de decisão informada em diferentes contextos.... SQL, que almacena la cadena de conexión de la base de datos SQL en Azure Key Vault. No cambiaré la base de código de la aplicación para acceder a Azure Key Vault de ninguna manera. Aprovecharemos la función de identidad administrada de App Service para recuperar automáticamente los secretos de Key Vault.

Aprovisionar Azure Key Vault

1. Aprovisionar Azure Key Vault

   

2. Para esta demonstração, cambiaremos el modelo de permisos al nuevo control de acceso basado en roles de Azure (RBAC). Actualmente está en versión preliminar.

   

3. Dependiendo de su implementación, cambie la Red como desee. Para esta demonstração, lo dejaremos como punto de conexión público para que coincida con la configuración de App Service.

   

4. Clique no Revisar + Crio botón para iniciar la implementación

5. Una vez creado, agréguese a la función “Administrador de Key Vault (versión preliminar)” a través del Control de acceso (IAM). Ahora puedes empezar a gestionar secretos.

   

Agregar la cadena de conexión a los secretos de Key Vault

1. Agregar un nuevo secreto a Key Vault

   

2. Especifique el secreto de tipo “Manual”, asígnele un nombre y establezca el valor en la cadena de conexión de la Base de datos SQL actual almacenada en la aplicación web.config

   

3. Haga clic en Crear. Una vez creado, haga clic en el secreto para ver los detalles del secreto y luego haga clic nuevamente en la versión actual

4. Junto al Identificador secreto, haga clic en el botón Copiar al portapapeles

   

Agregar la referencia del identificador secreto a la configuración de Azure App Service

1. Abra la configuración de App Service y agregue una nueva configuración de Cadena de conexión
2. Escriba el nombre de la cadena de conexión (“SiteSqlServer” para la plataforma DNN) y establezca el valor “@ Microsoft.KeyVault (SecretUri = VALUE_FROM_CLIPBOARD)”, donde VALUE_FROM_CLIPBOARD es el del paso 4 de la sección anterior.

3. Haga clic en Guardar para guardar la configuración de la aplicación.

   

Permitir que App Service acceda a Key Vault

1. En App Service nuevamente, haga clic en Identidad para habilitar la identidad asignada por el sistema.

2. Haga clic en guardar después de activar “ativado” O estado

   

3. Clique no botão “Asignaciones de roles” install-pbi-2-5252226 “Agregar asignación de roles (vista prévia)”

   

4. En la asignación de roles, elija el alcance “Key Vault”, suscriba la suscripción donde creó el Key Vault en los pasos anteriores y el nombre del recurso de Key Vault. Para el rol, apenas selecione “Usuario de Key Vault Secrets (vista prévia)”

   

5. Finalmente, vaya al archivo web.config del sitio web de su plataforma DNN y borre el contenido de la cadena de conexión.

   

6. Visite el sitio web y verifique que se cargue correctamente. Agora, la cadena de conexión se almacena de forma segura en Azure Key Vault y ya no se almacena en el sistema de archivos.

Problemas conocidos

1. ERRO: Aparece un error “Palabra clave no admitida: ‘@ microsoft.keyvault (secreturi'”. He experimentado que los permisos de RBAC pueden tardar uno o dos minutos en aplicarse, así que intente después de unos minutos. También intente reiniciar el La aplicación pensó en el portal de App Service, por lo que no se almacena nada en caché.

   

2. Al verificar los registros de DNN log4net, ve muchos errores de un proceso que intenta inicializar una conexión de base de datos con una cadena de conexión no válida durante el proceso de inicialización de DNN. Este error está ocurriendo actualmente en las versiones 9.7.2 o anteriores con una solicitud de extracción pendiente para solucionarlo https://github.com/dnnsoftware/Dnn.Platform/issues/4227
3. IMPORTANTE: si planea usar la función de copia de seguridad de Azure App Service, no use este método para almacenar cadenas de conexión de la base de datos SQL en Azure Key Vault, ya que la función de copia de seguridad de App Service no las admite. https://stackoverflow.com/questions/56101504/backingup-azure-webapp-when-connection-string-is-injected-through-keyvault

Eu espero que isso ajude!