Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure App Service bietet eine Plattform-as-a-Service(PaaS)-Umgebung, mit der Sie Web-Apps, mobile App-Back-Ends, RESTful-APIs und Funktions-Apps erstellen, bereitstellen und skalieren können. Bei der Bereitstellung dieses Diensts ist es wichtig, bewährte Methoden zur Sicherheit zu befolgen, um Ihre Anwendungen, Daten und Infrastruktur zu schützen.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer Azure App Service-Bereitstellung.
Azure App Service sichert und schützt seine Plattformkomponenten aktiv, einschließlich azure virtual machines (VMs), Speicher, Netzwerkverbindungen, Webframeworks sowie Verwaltungs- und Integrationsfeatures. Der App-Dienst wird kontinuierlichen, strengen Compliance-Prüfungen unterzogen, um folgendes sicherzustellen:
- Jede App ist von anderen Azure-Apps und -Ressourcen getrennt.
- Regelmäßige Updates von VMs und Laufzeitsoftware beheben neu entdeckte Sicherheitsrisiken.
- Die Kommunikation von geheimen Schlüsseln und Verbindungszeichenfolgen zwischen Apps und anderen Azure-Ressourcen wie Azure SQL-Datenbank erfolgt nur innerhalb von Azure, ohne Netzwerkgrenzen zu überschreiten. Gespeicherte geheime Schlüssel werden immer verschlüsselt.
- Alle Kommunikationen über App Service-Konnektivitätsfeatures wie Hybridverbindung werden verschlüsselt.
- Alle Verbindungen über Remoteverwaltungstools wie Azure PowerShell, Azure CLI, Azure SDKs und REST-APIs werden verschlüsselt.
- Kontinuierliches Bedrohungsmanagement schützt die Infrastruktur und Plattform vor Schadsoftware, verteilten Denial-of-Service (DDoS) und Man-in-the-Middle-Angriffen und anderen Bedrohungen.
Weitere Informationen zur Infrastruktur- und Plattformsicherheit in Azure finden Sie im Azure Trust Center.
Netzwerksicherheit
Der App-Dienst unterstützt viele Netzwerksicherheitsfeatures, um Ihre Anwendungen zu sperren und unbefugten Zugriff zu verhindern.
Konfigurieren privater Endpunkte: Beseitigen Sie die Gefährdung des öffentlichen Internets, indem Sie den Datenverkehr über Ihr virtuelles Netzwerk über Azure Private Link an Ihren App-Dienst weiterleiten, um eine sichere Konnektivität für Clients in Ihren privaten Netzwerken sicherzustellen. Siehe Verwenden privater Endpunkte für Azure App Service.
Implementieren Sie die Integration virtueller Netzwerke: Sichern Sie Ihren ausgehenden Datenverkehr, indem Sie Es Ihrer App ermöglichen, auf Ressourcen in oder über ein virtuelles Azure-Netzwerk zuzugreifen und gleichzeitig die Isolation vom öffentlichen Internet aufrechtzuerhalten. Siehe Integrieren Ihrer App in ein virtuelles Azure-Netzwerk.
Konfigurieren von IP-Zugriffsbeschränkungen: Beschränken Sie den Zugriff auf Ihre App, indem Sie eine Zulassungsliste mit IP-Adressen und Subnetzen definieren, die auf Ihre Anwendung zugreifen können, und den gesamten anderen Datenverkehr blockieren. Sie können einzelne IP-Adressen oder Bereiche definieren, die durch Subnetzmasken definiert sind, und dynamische IP-Einschränkungen über web.config Dateien in Windows-Apps konfigurieren. Siehe Einrichten von Zugriffsbeschränkungen für Azure App Service.
Einrichten von Dienstendpunkteinschränkungen: Sperren Sie den eingehenden Zugriff auf Ihre App von bestimmten Subnetzen in Ihren virtuellen Netzwerken mithilfe von Dienstendpunkten, die zusammen mit IP-Zugriffsbeschränkungen zusammenarbeiten, um Filter auf Netzwerkebene bereitzustellen. Siehe Azure App Service-Zugriffsbeschränkungen.
Verwenden Sie die Webanwendungsfirewall: Verbessern Sie den Schutz vor allgemeinen Sicherheitsrisiken und Angriffen im Web, indem Sie Azure Front Door oder Anwendungsgateway mit Den Funktionen der Webanwendungsfirewall vor Ihrem App-Dienst implementieren. Siehe Azure Web Application Firewall im Azure-Anwendungsgateway.
Identitäts- und Zugriffsverwaltung
Die ordnungsgemäße Verwaltung von Identitäten und Zugriffssteuerungen ist unerlässlich, um Ihre Azure App Service-Bereitstellungen vor unbefugter Verwendung und potenziellem Diebstahl von Anmeldeinformationen zu schützen.
Aktivieren Sie verwaltete Identitäten für ausgehende Anforderungen: Authentifizieren Sie sich sicher von Ihrer App aus, ohne Anmeldeinformationen in Ihrem Code oder Ihrer Konfiguration mithilfe verwalteter Identitäten zu speichern, ohne dass Dienstprinzipale und Verbindungszeichenfolgen verwaltet werden müssen. Verwaltete Identitäten stellen eine automatisch verwaltete Identität in Microsoft Entra-ID für Ihre App bereit, die verwendet werden kann, wenn ausgehende Anforderungen an andere Azure-Dienste wie Azure SQL-Datenbank, Azure Key Vault und Azure Storage gesendet werden. Der App-Dienst unterstützt sowohl vom System zugewiesene als auch vom Benutzer zugewiesene verwaltete Identitäten. Siehe Verwenden von verwalteten Identitäten für App Service und Azure-Funktionen.
Konfigurieren sie Authentifizierung und Autorisierung: Implementieren Sie die App-Dienstauthentifizierung/Autorisierung, um Ihre Anwendung mit Microsoft Entra ID oder anderen Identitätsanbietern zu schützen, um nicht autorisierten Zugriff zu verhindern, ohne benutzerdefinierten Authentifizierungscode zu schreiben. Das integrierte Authentifizierungsmodul verarbeitet Webanforderungen, bevor sie an Ihren Anwendungscode übergeben werden, und unterstützt mehrere Anbieter, einschließlich Microsoft Entra ID, Microsoft-Konten, Facebook, Google und X. Siehe Authentifizierung und Autorisierung in Azure App Service.
Implementieren Sie die rollenbasierte Zugriffssteuerung für Verwaltungsvorgänge: Steuern Sie, wer Ihre App Service-Ressourcen (Verwaltungsebene) verwalten und konfigurieren kann, indem Sie den Benutzern und Dienstprinzipalen nach dem Prinzip der geringsten Berechtigungen die mindestens erforderlichen Azure RBAC-Berechtigungen zuweisen. Dies steuert den administrativen Zugriff auf Vorgänge wie das Erstellen von Apps, das Ändern von Konfigurationseinstellungen und die Verwaltung von Bereitstellungen – getrennt von der Authentifizierung auf Anwendungsebene (Easy Auth) oder der App-zu-Ressource-Authentifizierung (verwaltete Identitäten). Siehe integrierte Rollen für Azure.
Implementieren Sie die On-Behalf-Authentifizierung: Delegieren Sie den Remote-Zugriff auf Ressourcen im Namen von Benutzern mit Microsoft Entra ID als Anbieter der Authentifizierung. Ihre App Service-App kann delegierte Anmeldung an Diensten wie Microsoft Graph oder Remote-App Service-API-Apps durchführen. Ein End-to-End-Tutorial finden Sie unter Authentifizieren und Autorisieren von Benutzern in Azure App Service.
Aktivieren der gegenseitigen TLS-Authentifizierung: Clientzertifikate für zusätzliche Sicherheit erforderlich, wenn Ihre Anwendung die Clientidentität überprüfen muss, insbesondere für B2B-Szenarien oder interne Anwendungen. Siehe Konfigurieren der gegenseitigen TLS-Authentifizierung für Azure App Service.
Datenschutz
Der Schutz von Daten während der Übertragung und im Ruhezustand ist entscheidend für die Wahrung der Vertraulichkeit und Integrität Ihrer Anwendungen und ihrer Daten.
Erzwingen von HTTPS: Leiten Sie den gesamten HTTP-Datenverkehr an HTTPS um, indem Sie den NUR-HTTPS-Modus aktivieren und sicherstellen, dass die gesamte Kommunikation zwischen Clients und Ihrer App verschlüsselt ist. Standardmäßig erzwingt App Service eine Umleitung von HTTP-Anforderungen an HTTPS, und der Standarddomänenname
<app_name>.azurewebsites.netIhrer App ist bereits über HTTPS zugänglich. Weitere Informationen finden Sie unter "Konfigurieren allgemeiner Einstellungen".Tls-Version konfigurieren: Verwenden Sie moderne TLS-Protokolle, indem Sie die mindeste TLS-Version auf 1.2 oder höher konfigurieren und veraltete, unsichere Protokolle deaktivieren, um potenzielle Sicherheitsrisiken zu verhindern. Der App-Dienst unterstützt TLS 1.3 (neueste), TLS 1.2 (Standard minimum) und TLS 1.1/1.0 (nur aus Gründen der Abwärtskompatibilität). Konfigurieren Sie die minimale TLS-Version sowohl für Ihre Web-App als auch für die SCM-Website. Weitere Informationen finden Sie unter "Konfigurieren allgemeiner Einstellungen".
Verwalten von TLS/SSL-Zertifikaten: Sichern Sie benutzerdefinierte Domänen mithilfe ordnungsgemäß konfigurierter TLS/SSL-Zertifikate, um vertrauenswürdige Verbindungen herzustellen. App Service unterstützt mehrere Zertifikattypen: kostenlose von App Service verwaltete Zertifikate, App Service-Zertifikate, Zertifikate von Drittanbietern und Zertifikate, die aus Azure Key Vault importiert wurden. Wenn Sie eine benutzerdefinierte Domäne konfigurieren, sichern Sie sie mit einem TLS/SSL-Zertifikat, damit Browser sichere HTTPS-Verbindungen herstellen können. Siehe Hinzufügen und Verwalten von TLS/SSL-Zertifikaten in Azure App Service.
Speichern Sie geheime Schlüssel im Key Vault: Schützen Sie vertrauliche Konfigurationswerte wie Datenbankanmeldeinformationen, API-Token und private Schlüssel, indem Sie sie in Azure Key Vault speichern und mit verwalteten Identitäten darauf zugreifen, anstatt sie in Anwendungseinstellungen oder Code zu speichern. Ihre App Service-App kann mithilfe der verwalteten Identitätsauthentifizierung sicher auf Key Vault zugreifen. Siehe Verwendung von Key Vault-Referenzen für App Service und Azure Functions.
Verschlüsseln von Anwendungseinstellungen: Verwenden Sie verschlüsselte App-Einstellungen und Verbindungszeichenfolgen, anstatt geheime Schlüssel in Code- oder Konfigurationsdateien zu speichern. App Service speichert diese Werte in Azure verschlüsselt und entschlüsselt sie unmittelbar vor dem Einfügen in den Prozessspeicher Ihrer App, wenn die App gestartet wird, wobei Verschlüsselungsschlüssel regelmäßig gedreht werden. Greifen Sie auf diese Werte als Umgebungsvariablen zu, indem Sie Standardmuster für Ihre Programmiersprache verwenden. Weitere Informationen finden Sie unter "Konfigurieren von App-Einstellungen".
Sichere Remoteverbindungen: Verwenden Sie beim Zugriff auf Remoteressourcen immer verschlüsselte Verbindungen, auch wenn die Back-End-Ressource unverschlüsselte Verbindungen zulässt. Für Azure-Ressourcen wie Azure SQL-Datenbank und Azure Storage bleiben Verbindungen in Azure und überschreiten keine Netzwerkgrenzen. Verwenden Sie für virtuelle Netzwerkressourcen die Integration des virtuellen Netzwerks mit Point-to-Site-VPN. Verwenden Sie für lokale Ressourcen Hybridverbindungen mit TLS 1.2 oder virtuelle Netzwerkintegration mit Standort-zu-Standort-VPN. Stellen Sie sicher, dass Back-End-Azure-Dienste nur den kleinsten möglichen Satz von IP-Adressen aus Ihrer App zulassen. Siehe Ermitteln der ausgehenden IP-Adressen.
Protokollierung und Überwachung
Die Implementierung einer umfassenden Protokollierung und Überwachung ist unerlässlich, um potenzielle Sicherheitsbedrohungen zu erkennen und Probleme mit Ihrer Azure App Service-Bereitstellung zu beheben.
Diagnoseprotokollierung aktivieren: Konfigurieren Sie Die Diagnoseprotokolle von Azure App Service zum Nachverfolgen von Anwendungsfehlern, Webserverprotokollen, Fehleranforderungsablaufverfolgungen und detaillierte Fehlermeldungen, um Sicherheitsprobleme zu identifizieren und Probleme zu beheben. Siehe Aktivieren der Diagnoseprotokollierung für Apps in Azure App Service.
Integration in Azure Monitor: Richten Sie Azure Monitor ein, um Protokolle und Metriken von Ihrem App Service zu sammeln und zu analysieren, wodurch umfassende Überwachung und Warnung für Sicherheitsereignisse und Leistungsprobleme ermöglicht wird. Siehe Überwachen von Apps in Azure App Service.
Konfigurieren von Application Insights: Implementieren Sie Application Insights, um detaillierte Einblicke in die Anwendungsleistung, Nutzungsmuster und potenzielle Sicherheitsprobleme mit Echtzeitüberwachungs- und Analysefunktionen zu erhalten. Siehe Überwachen der Leistung von Azure App Service.
Einrichten von Sicherheitswarnungen: Erstellen Sie benutzerdefinierte Warnungen, um Sie über ungewöhnliche Nutzungsmuster, potenzielle Sicherheitsverletzungen oder Dienstunterbrechungen zu informieren, die Sich auf Ihre App Service-Ressourcen auswirken. Siehe Erstellen, Anzeigen und Verwalten von metrischen Warnungen mithilfe von Azure Monitor.
Aktivieren Sie Integritätsprüfungen: Konfigurieren Sie Integritätsprüfungen, um den Betriebsstatus Ihrer Anwendung zu überwachen und Probleme nach Möglichkeit automatisch zu beheben. Weitere Informationen finden Sie unter Überwachen von App Service-Instanzen mit der Integritätsprüfung.
Compliance und Governance
Die Schaffung einer ordnungsgemäßen Governance und die Sicherstellung der Einhaltung relevanter Standards ist entscheidend für den sicheren Betrieb von Azure App Service-Anwendungen.
Implementieren sie Azure-Richtlinie: Erzwingen Sie organisationsweite Sicherheitsstandards für Ihre App Service-Bereitstellungen, indem Sie Azure-Richtliniendefinitionen erstellen und zuweisen, die Complianceanforderungen überwachen und erzwingen. Siehe Kontrollen für die regulatorische Compliance von Azure Policy für Azure App Service.
Überprüfen Sie Sicherheitsempfehlungen: Bewerten Sie ihren App Service-Sicherheitsstatus regelmäßig mithilfe von Microsoft Defender für Cloud, um Sicherheitsrisiken und Fehlkonfigurationen zu identifizieren und zu beheben. Siehe Schützen Ihrer Azure App Service-Web-Apps und -APIs.
Durchführen von Sicherheitsbewertungen: Führen Sie regelmäßige Sicherheitsbewertungen und Penetrationstests Ihrer App Service-Anwendungen durch, um potenzielle Sicherheitsrisiken und Sicherheitsschwächen zu identifizieren. Siehe Microsoft Cloud Security Benchmark.
Einhaltung gesetzlicher Vorschriften: Konfigurieren Sie Ihre App Service-Bereitstellungen gemäß den geltenden gesetzlichen Vorschriften für Ihre Branche und Region, insbesondere im Hinblick auf Datenschutz und Datenschutz. Siehe Dokumentation zur Azure-Compliance.
Implementieren sie sichere DevOps-Methoden: Einrichten sicherer CI/CD-Pipelines für die Bereitstellung von Anwendungen im App Service, einschließlich Codeüberprüfungen, Abhängigkeitsprüfungen und automatisierter Sicherheitstests. Siehe DevSecOps in Azure.
Sicherung und Wiederherstellung
Die Implementierung robuster Sicherungs- und Wiederherstellungsmechanismen ist für die Sicherstellung der Geschäftskontinuität und des Datenschutzes in Ihren Azure App Service-Bereitstellungen unerlässlich.
Aktivieren Sie automatisierte Sicherungen: Konfigurieren Sie geplante Sicherungen für Ihre App Service-Anwendungen, um sicherzustellen, dass Sie Ihre Anwendungen und Daten bei versehentlichem Löschen, Beschädigung oder anderen Fehlern wiederherstellen können. Siehe Sichern und Wiederherstellen Ihrer App in Azure App Service.
Konfigurieren sie die Aufbewahrung von Sicherungen: Legen Sie geeignete Aufbewahrungszeiträume für Ihre Sicherungen basierend auf Ihren Geschäftlichen Anforderungen und Complianceanforderungen fest, um sicherzustellen, dass wichtige Daten für die erforderliche Dauer aufbewahrt werden. Siehe Sichern und Wiederherstellen Ihrer App in Azure App Service.
Implementieren Von Bereitstellungen mit mehreren Regionen: Stellen Sie Ihre kritischen Anwendungen in mehreren Regionen bereit, um hohe Verfügbarkeits- und Notfallwiederherstellungsfunktionen bei regionalen Ausfallen bereitzustellen. Siehe Lernprogramm: Erstellen einer hochverwendigen Multi-Region-App in App Service.
Testen Sie die Wiederherstellung der Sicherung: Testen Sie ihren Sicherungswiederherstellungsprozess regelmäßig, um sicherzustellen, dass Sicherungen gültig sind und bei Bedarf erfolgreich wiederhergestellt werden können, und überprüfen Sie dabei sowohl die Anwendungsfunktionalität als auch die Datenintegrität. Siehe "Wiederherstellen einer App aus einer Sicherung".
Dokumentwiederherstellungsverfahren: Erstellen und verwalten Sie umfassende Dokumentationen für Wiederherstellungsverfahren, um eine schnelle und effektive Reaktion während Dienstunterbrechungen oder Katastrophen sicherzustellen.
Dienstspezifische Sicherheit
Azure App Service weist eindeutige Sicherheitsüberlegungen auf, die berücksichtigt werden sollten, um die Gesamtsicherheit Ihrer Webanwendungen sicherzustellen.
Standardauthentifizierung deaktivieren: Deaktivieren Sie die grundlegende Benutzernamen- und Kennwortauthentifizierung für FTP- und SCM-Endpunkte zugunsten der microsoft Entra ID-basierten Authentifizierung, die OAuth 2.0 tokenbasierte Authentifizierung mit verbesserter Sicherheit bereitstellt. Siehe Deaktivieren der Standardauthentifizierung in Azure App Service-Bereitstellungen.
Sichere FTP/FTPS-Bereitstellungen: Ftp-Zugriff deaktivieren oder FTPS-Modus erzwingen, wenn FTP für Bereitstellungen verwendet wird, um zu verhindern, dass Anmeldeinformationen und Inhalte in Klartext übertragen werden. Neue Apps sind so eingestellt, dass nur FTPS standardmäßig akzeptiert wird. Siehe Bereitstellen Ihrer App für Azure App Service mithilfe von FTP/S.
Erzielen Sie eine vollständige Netzwerkisolation: Verwenden Sie die App-Dienstumgebung, um Ihre Apps in einer dedizierten App Service-Umgebung in Ihrer eigenen Azure Virtual Network-Instanz auszuführen. Dies bietet vollständige Netzwerkisolation von der freigegebenen Infrastruktur mit dedizierten öffentlichen Endpunkten, ILB-Optionen (Internal Load Balancer) für internexklusive Zugriffe und die Möglichkeit, eine ILB hinter einer Webanwendungsfirewall speziell zum Schutz auf Unternehmensebene zu verwenden. Siehe Einführung in Azure App Service-Umgebungen.
Implementieren des DDoS-Schutzes: Verwenden Sie eine Webanwendungsfirewall (WAF) und azure DDoS-Schutz, um sich vor neuen DDoS-Angriffen zu schützen. Stellen Sie Azure Front Door mit einem WAF für den Schutz auf Plattformebene vor DDoS-Angriffen auf Netzwerkebene bereit. Siehe Azure DDoS Protection und Azure Front Door mit WAF.