Überlegungen zur Identitäts- und Zugriffsverwaltung für den App Service-Zielzonenbeschleuniger

  • Artikel

Dieser Artikel enthält Überlegungen und Empfehlungen zum Entwurf der Identitäts- und Zugriffsverwaltung, die Sie bei der Verwendung des Azure App Service-Zielzonenbeschleunigers anwenden können. Authentifizierung und App-Konfiguration sind einige der Überlegungen, die in diesem Artikel erörtert werden.

Erfahren Sie mehr über den Entwurfsbereich für die Identitäts- und Zugriffsverwaltung.

Überlegungen zum Entwurf

Wenn Sie den Zielzonenbeschleuniger verwenden, um eine App Service-Lösung bereitzustellen, müssen Sie einige wichtige Überlegungen zur Identitäts- und Zugriffsverwaltung berücksichtigen:

  • Bestimmen Sie die erforderliche Sicherheits- und Isolationsstufe für die App und die zugehörigen Daten. Der öffentliche Zugriff ermöglicht jedem Benutzer, der über die App-URL verfügt, den Zugriff auf die App. Beim privaten Zugriff wird der Zugriff dagegen auf autorisierte Benutzer und Netzwerke beschränkt.
  • Bestimmen Sie den erforderlichen Authentifizierungs- und Autorisierungstyp für Ihre App Service-Lösung: anonymer Zugriff, interne Unternehmensbenutzer, Social Media-Konten, andere Identitätsanbieter oder eine Kombination dieser Typen.
  • Entscheiden Sie, ob systemseitig oder benutzerseitig zugewiesene verwaltete Identitäten verwendet werden sollen, wenn Ihre App Service-Lösung eine Verbindung mit Back-End-Ressourcen herstellt, die durch Microsoft Entra ID geschützt sind.
  • Erwägen Sie, benutzerdefinierte Rollen nach dem Prinzip der geringsten Rechte zu erstellen, wenn die vordefinierten Rollen Änderungen an vorhandenen Berechtigungen erfordern.
  • Wählen Sie Speicher mit erhöhter Sicherheit für Schlüssel, Geheimnisse, Zertifikate und Anwendungskonfiguration aus.
    • Verwenden Sie App Configuration, um häufig verwendete Konfigurationswerte, bei denen es sich nicht um Kennwörter, Geheimnisse oder Schlüssel handelt, zwischen Anwendungen, Microservices und serverlosen Anwendungen zu teilen.
    • Verwenden Sie Azure Key Vault. Key Vault stellt einen Speicher mit erhöhter Sicherheit für Kennwörter, Verbindungszeichenfolgen, Schlüssel, Geheimnisse und Zertifikate bereit. Sie können Key Vault verwenden, um Ihre Geheimnisse zu speichern, und dann in ihrer App Service-Anwendung über eine verwaltete App Service-Identität darauf zugreifen. So sind Ihre Geheimnisse geschützt, und bei Bedarf kann trotzdem über Ihre Anwendung auf sie zugegriffen werden.

Entwurfsempfehlungen

Befolgen Sie bei Ihren App Service-Bereitstellungen die folgenden bewährten Methoden:

  • Wenn die App Service-Lösung eine Authentifizierung erfordert:
    • Wenn Sie den Zugriff auf die gesamte App Service-Lösung auf authentifizierte Benutzer beschränken müssen, deaktivieren Sie den anonymen Zugriff.
    • Verwenden Sie die integrierten Authentifizierungs- und Autorisierungsfunktionen von App Service, anstatt eigenen Authentifizierungs- und Autorisierungscode zu schreiben.
    • Verwenden Sie separate Anwendungsregistrierungen für separate Slots oder Umgebungen.
    • Wenn die App Service-Lösung nur für interne Benutzer vorgesehen ist, verwenden Sie die Authentifizierung mit Clientzertifikaten, um die Sicherheit zu erhöhen.
    • Wenn die App Service-Lösung für externe Benutzer*innen vorgesehen ist, verwenden Sie Azure AD B2C für die Authentifizierung bei Social Media-Konten und Microsoft Entra-Konten.
  • Verwenden Sie nach Möglichkeit integrierte Azure-Rollen. Diese Rollen stellen Berechtigungen bereit, die im Allgemeinen für bestimmte Szenarien benötigt werden, z. B. die Rolle „Leser“ für Benutzer, die schreibgeschützten Zugriff benötigen, und die Rolle „Mitwirkender“ für Benutzer, die in der Lage sein müssen, Ressourcen zu erstellen und zu verwalten.
    • Falls die integrierten Rollen nicht Ihren Anforderungen entsprechen, können Sie benutzerdefinierte Rollen erstellen, indem Sie die Berechtigungen aus einer oder mehreren integrierten Rollen kombinieren. Auf diese Weise können Sie den genauen Satz von Berechtigungen gewähren, die Ihre Benutzer benötigen, und dennoch das Prinzip der geringsten Rechte befolgen.
    • Überwachen Sie Ihre App Service-Ressourcen regelmäßig, um sicherzustellen, dass sie in Übereinstimmung mit Ihren Sicherheitsrichtlinien verwendet werden. Dadurch können Sie nicht autorisierte Zugriffe oder Änderungen identifizieren und geeignete Maßnahmen ergreifen.
  • Wenden Sie das Prinzip der geringsten Rechte an, wenn Sie Benutzern, Gruppen und Diensten Berechtigungen zuweisen. Dieses Prinzip besagt, dass Sie nur die Mindestberechtigungen erteilen sollten, die zum Ausführen der jeweiligen Aufgabe erforderlich sind. Wenn Sie dieses Prinzip befolgen, können Sie das Risiko versehentlicher oder böswilliger Änderungen an Ihren Ressourcen verringern.
  • Verwenden Sie systemseitig zugewiesene verwaltete Identitäten, um mit erhöhter Sicherheit auf Back-End-Ressourcen zuzugreifen, die durch Microsoft Entra ID geschützt sind. So können Sie steuern, auf welche Ressourcen die App Service-Lösung Zugriff hat und welche Berechtigungen sie für diese Ressourcen besitzt.
  • Richten Sie für die automatisierte Bereitstellung einen Dienstprinzipal ein, der über die mindestens erforderlichen Berechtigungen für die Bereitstellung über die CI/CD-Pipeline (Continuous Integration und Continuous Delivery) verfügt.
  • Aktivieren Sie in der Diagnoseprotokollierung appServiceHTTPLogs-Zugriffsprotokolle für App Service. Sie können diese detaillierten Protokolle verwenden, um Probleme mit Ihrer App zu diagnostizieren und Zugriffsanforderungen zu überwachen. Wenn Sie diese Protokolle aktivieren, erhalten Sie auch ein Azure Monitor-Aktivitätsprotokoll, das Ihnen Erkenntnisse zu Ereignissen auf Abonnementebene liefert.
  • Befolgen Sie die Empfehlungen, die in den Abschnitten Identitätsverwaltung und Privilegierter Zugriff der Azure-Sicherheitsbaseline für App Service beschrieben sind.

Durch die Identitäts- und Zugriffsverwaltung für den Zielzonenbeschleuniger soll sichergestellt werden, dass die bereitgestellte App und die zugehörigen Ressourcen sicher und nur für autorisierte Benutzer zugänglich sind. Auf diese Weise können Sie vertrauliche Daten schützen sowie den Missbrauch der App und ihrer Ressourcen verhindern.