Azure Functions とセキュリティ
Azure Functions は、アプリケーションを実行するために必要な継続的に更新されるすべてのインフラストラクチャとリソースを提供する、オンデマンドで利用できるクラウド サービスです。 Functions を使用すると、コードの記述と保守するインフラストラクチャが少なくなり、コストを節約できます。 クラウド インフラストラクチャによって、アプリケーションの安全な実行を維持するために必要な最新のリソースがすべて提供されるので、サーバーのデプロイや管理について心配する必要はありません。
ネットワークのセキュリティに関連する詳細については、「Azure Functions のセキュリティ保護」を参照してください。
以下のセクションでは、Azure Functions とセキュリティに固有の設計上の考慮事項のチェックリストと推奨事項について説明します。
設計に関する考慮事項のチェックリスト
セキュリティを念頭に置いてワークロードを設計し、Azure Functions を構成しましたか?
- Azure Functions で HTTP トリガーが必要であるかどうかを評価します。
- 他のコードと同様に Azure Functions のコードを扱います。
- 「Azure Functions のセキュリティ保護」のガイダンスを使用します。
- ファサードとして機能する Azure Functions プロキシの使用を検討します。
設計上の考慮事項に関する推奨事項
次の表は、設計上の考慮事項に関する推奨事項と Azure Functions に関連する説明を示しています。
| Azure Functions の設計に関する推奨事項 | 説明 |
|---|---|
| Azure Functions で HTTP トリガーが必要であるかどうかを評価します。 | Azure Functions では、複数の特定のトリガーとバインドがサポートされています。 これには、Azure Blob Storage、Azure Cosmos DB、Azure Service Busなどが含まれます。 HTTP トリガーが必要な場合は、他の Web アプリケーションと同様に、その HTTP エンドポイントを保護することを検討してください。 一般的な保護対策には、 プライベート エンドポイント接続 またはサービス エンドポイントを使用して、特定の Azure 仮想ネットワークの内部に HTTP エンドポイント を保持することが含まれます。 詳細については、「Azure Functions ネットワーク オプション」のガイダンスを使用することを検討してください。 Functions HTTP エンドポイントがインターネットに公開される場合は、Web アプリケーション ファイアウォール (WAF) の背後にあるエンドポイントをセキュリティで保護することをお勧めします。 |
| 他のコードと同様に Azure Functions のコードを扱います。 | Azure Functions のコードを CI/CD パイプラインと統合されたコード スキャン ツールの対象とします。 |
| 「Azure Functions のセキュリティ保護」のガイダンスを使用します。 | このガイダンスでは、運用、デプロイ、ネットワーク セキュリティなどのセキュリティに関する主な懸念に対処しています。 |
| ファサードとして機能する Azure Functions プロキシの使用を検討します。 | Functions プロキシでは、受信した要求と応答を検査および変更できます。 |
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示