Sicherheitsüberlegungen für den Zielzonenbeschleuniger für App Service

  • Artikel

Dieser Artikel enthält Überlegungen und Empfehlungen zum Entwurf der Sicherheit, die Sie bei der Verwendung des Azure App Service-Zielzonenbeschleunigers anwenden können. Sicherheit für Anwendungsgeheimnisse, Netzwerkisolation und Überprüfung auf Sicherheitsrisiken sind einige der in diesem Artikel behandelten Aspekte.

Erfahren Sie mehr über den Sicherheitsentwurfsbereich.

Überlegungen zum Entwurf

Berücksichtigen Sie bei der Vorbereitung einer Bereitstellung von App Service die folgenden Überlegungen:

  • Anforderungen: Überprüfen Sie Ihre Sicherheitsanforderungen, um festzustellen, ob Ihre Webanwendungen auf gemeinsamer Netzwerkinfrastruktur ausgeführt werden können oder ob die vollständige Netzwerk-/virtuelle Computerisolation erforderlich ist, die in App Service-Umgebungen zur Verfügung steht.

  • Authentifizierung und Autorisierung: Sie müssen die Authentifizierung und Autorisierung für Ihre App Service Lösung ordnungsgemäß konfigurieren, um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf die App und ihre Ressourcen haben. Dazu können Sie Microsoft Entra ID verwenden, das eine skalierbare Lösung mit erweiterter Sicherheit für die Verwaltung von Benutzeridentitäten und den Zugriff auf Ihre App bietet.

  • Netzwerksicherheit: App Service enthält mehrere integrierte Features, die den Schutz Ihrer App und ihrer Ressourcen vor netzwerkbasierten Angriffen unterstützen. Zu diesen Features gehören Unterstützung für SSL/TLS, IP-Firewallregeln und DDoS-Schutz (Distributed Denial of Service). Sie müssen diese Features ordnungsgemäß konfigurieren, um sicherzustellen, dass Ihre App vor externen Bedrohungen geschützt ist.

  • Anwendungssicherheit: Sie müssen sicherstellen, dass die App selbst sicher ist und bewährte Methoden zum Schutz vertraulicher Daten sowie zum Verhindern allgemeiner Sicherheitsrisiken wie SQL-Einschleusung und Cross-Site Scripting (XSS) beinhaltet. Sie können dieses Ziel durch eine Kombination aus sicheren Programmierpraktiken, regelmäßigen Sicherheitstests und der Verwendung von Tools wie Azure Security Center erreichen, um potenzielle Bedrohungen zu überwachen.

  • Datensicherheit: Außerdem müssen Sie die Daten, die von Ihrer App gespeichert und verarbeitet werden, ordnungsgemäß schützen. Mithilfe von Azure-Diensten wie Azure Key Vault können Sie ein Maß an Schutz für Ihre Daten erreichen, das einen Speicher mit erweiterter Sicherheit für vertrauliche Daten wie Kryptoschlüssel und Kennwörter zur Verfügung stellt. Darüber hinaus müssen Sie Daten während der Übertragung und im Ruhezustand verschlüsseln und regelmäßig sichern sowie Ihre Prozesse zur Datenwiederherstellung regelmäßig testen.

Die bewährten Methoden für Authentifizierung und Autorisierung, Netzwerksicherheit, Anwendungssicherheit und Datensicherheit können Ihnen dabei helfen, sicherzustellen, dass Ihre App und ihre Ressourcen vor potenziellen Bedrohungen geschützt sind.

Entwurfsempfehlungen

Berücksichtigen Sie bei der Vorbereitung ihrer App Service-Bereitstellung die folgenden Empfehlungen:

  • Speichern Sie Anwendungsgeheimnisse (Datenbankanmeldeinformationen, API-Token und private Schlüssel) in Key Vault, und konfigurieren Sie den Zugriff Ihrer App Service-App darauf mithilfe einer Managed Identity. Informationen dazu, wann Key Vault und wann Azure App Configuration verwendet werden sollen, finden Sie unter Zentrale App-Konfiguration und Sicherheit.
  • Aktivieren Sie die ursprungsübergreifende Ressourcenfreigabe (Cross-Origin Resource Sharing, CORS) in App Services oder mithilfe Ihrer eigenen CORS-Hilfsprogramme. CORS gibt Ursprünge an, aus denen Benutzerbrowser das Laden von Ressourcen zulassen sollen.
  • Aktivieren Sie beim Bereitstellen containerisierter Webanwendungen in App Services Azure Defender für Containerregistrierungen, um Bilder automatisch auf Sicherheitsrisiken zu überprüfen.
  • Aktivieren Sie Azure Defender für App Service, um die Sicherheit Ihrer Webanwendungen zu bewerten, Bedrohungen zu erkennen und Warnungen zu erhalten, wenn potenzielle Bedrohungen erkannt werden, damit Sie Maßnahmen zum Schutz Ihrer Ressourcen ergreifen können.
  • Verwenden Sie private Endpunkte, um privat über Ihr VNet auf Azure-Dienste zuzugreifen.
  • Wenn Sie mit vertraulichen Daten arbeiten, stellen Sie sicher, dass die Daten sicher zwischen der App und ihren Clients übertragen werden. App Service unterstützt sichere HTTPS-Verbindungen, die Daten während der Übertragung verschlüsseln und verhindern, dass sie von Dritten abgefangen werden.
  • App Service bietet verwaltete SSL-Zertifikate, eine bequeme Möglichkeit zur Nutzung vertrauenswürdiger SSL-Zertifikate. SSL-Zertifikate ermöglichen einer App die Verwendung von HTTPS zum Verschlüsseln von Daten während der Übertragung und helfen, sicherzustellen, dass Daten sicher übertragen werden.
  • Verwenden Sie eine Web Application Firewall (WAF) wie Azure Front Door oder Azure Application Gateway, um Ihre Web-Apps vor häufigen Webrisiken wie SQL-Einschleusung und XSS-Angriffen zu schützen.

Wenn Sie App Service verwenden, ist Sicherheit ein wichtiger Aspekt. Indem Sie den Zugriff sorgfältig verwalten, Netzwerksicherheitskontrollen implementieren, Ihre Daten und Ihre Apps schützen, können Sie sicherstellen, dass Ihre App Service-Ressourcen sicher und vor potenziellen Bedrohungen geschützt sind.