我在 Azure 中运行了两个应用程序服务,一个是 Web 门户(受 JWT 登录保护的 CRM 类型的管理系统),另一个是用于控制对包含 Web 门户数据的数据库的访问的 API(因此,用户登录进入门户,门户查询API以便与数据库交互)。
由于数据库中保存了个人详细信息,我希望该系统尽可能安全。我正在使用 Azure 顾问和安全中心来帮助解决这个问题。
目前在我的面向公众的 Web 门户上标记的一个安全问题是,我需要限制对 Web 服务的访问,以符合各种安全协议,但最值得注意的是 ISO27001。我想遵守这一点,但我应该如何限制对公共网站的访问?已经存在用户必须登录的限制,我不能通过 IP 地址进行限制,因为我显然不知道哪个 IP 地址将发送登录凭据。
我错过了什么吗?