Als Cloud Computing zum ersten Mal populär wurde, galt es als eine Möglichkeit, sowohl Reibungsverluste als auch Kosten zu reduzieren. Es war viel schneller und kostengünstiger, eine virtuelle Maschine in der Cloud einzurichten, als darauf zu warten, dass ein physischer Server genehmigt, bestellt, geliefert und eingerichtet wurde.
SEHEN: Verwenden Sie diese Vorlage für Zugriffsverwaltungsrichtlinien von TechRepublic Premium, um sichere Richtlinien rund um den Benutzerzugriff zu erstellen.
Jetzt ist Cloud Computing leistungsstark und robust genug, um geschäftskritische Arbeitslasten auszuführen – vorausgesetzt, Sie wissen, wie man skalierbare Anwendungen entwirft, Cloud-Dienste für deren Unterstützung konfiguriert und die in jedem komplexen System unvermeidlichen Ausfälle bewältigt.
Springen zu:
Vermeiden Sie Sicherheitslücken beim Erstellen von Apps auf Azure
Wenn Sie Anwendungen auf Azure erstellen, verfügt Microsoft über ein Well-Architected Framework, das Sie beim Entwerfen und Ausführen Ihrer App im Hinblick auf Zuverlässigkeit, Sicherheit, Leistungseffizienz und effektive Abläufe unterstützt. Es bietet sogar ein Quiz, mit dem Sie beurteilen können, ob Sie alles abgedeckt haben.
Es gibt auch eine wachsende Zahl von Tools und Diensten, die dabei helfen, die Anwendungen, die Sie auf Azure ausführen, zuverlässiger und sicherer zu machen. Diese Tools reichen vom Azure Chaos Studio-Dienst, mit dem Sie testen können, wie Ihre App mit Fehlern umgeht, bis zum Open-Source-OneFuzz-Projekt, das nach Fehlern in Ihrem Code sucht.
Wenn Sie Container verwenden, ist die Standardkonfiguration für .NET 8 Linux-Container jetzt „rootless“, und es ist nur eine Codezeile erforderlich, um Ihre App als Standardbenutzer statt als Benutzer mit Root-Zugriff auszuführen. Dadurch soll sichergestellt werden, dass Angreifer keine Dateien ändern oder ihren eigenen Code installieren und ausführen können, wenn sie in Ihre App gelangen.
Sperren Sie Ihre Apps
Beim Schreiben Ihrer Bewerbung müssen Sie nicht nur Sicherheitslücken vermeiden, sondern auch sicherstellen, dass Sie nur den richtigen Personen Zugriff gewähren.
Sie können Sperren auf jede Azure-Ressource oder sogar auf ein gesamtes Azure-Abonnement anwenden und so sicherstellen, dass diese nicht gelöscht oder sogar geändert werden können. Da sich Sperren jedoch auf die Azure-Steuerungsebene und nicht auf die Azure-Datenebene auswirken, kann eine Datenbank, die gegen Änderungen gesperrt ist, weiterhin Daten erstellen, aktualisieren und löschen, sodass Ihre Anwendung weiterhin ordnungsgemäß funktioniert.
Für ältere Anwendungen, die keine detaillierten Optionen zum Verwalten der Verwendung von Anmeldeinformationen haben, bietet Azure Active Directory eine neue Option, die Ihnen beim Schutz dieser Anmeldeinformationen hilft. Auf diese Weise kann ein Angreifer keine Änderungen vornehmen, die es ihm ermöglichen könnten, die Kontrolle über eine wichtige Unternehmensanwendung zu übernehmen und Anmeldeinformationen zu erhalten, um sich in Ihrem Netzwerk zu bewegen und andere Systeme anzugreifen.
Ungefähr 70 % aller Datenschutzverletzungen beginnen mit einem Angriff auf Webanwendungen. Sie müssen daher sicherstellen, dass Angreifer diese nicht als Sprungbrett für andere Ressourcen nutzen können.
SEHEN: Entdecken Sie, wie BYOD und persönliche Anwendungen zu Datenschutzverletzungen führen können.
Die neue Eigenschaftssperrfunktion für App-Instanzen deckt die Signierung von Anmeldeinformationen mit SAML und OpenID Connect ab. Dies bedeutet, dass Sie Single Sign-On anbieten können, mit dem sich Benutzer bei Azure AD anmelden und Zugriff auf mehrere Anwendungen erhalten können.
Außerdem werden die mit einem öffentlichen Schlüssel erstellten Token verschlüsselt, sodass Apps, die diese Token verwenden möchten, über den richtigen privaten Schlüssel verfügen müssen, bevor sie diese Token für den aktuell angemeldeten Benutzer verwenden können. Dadurch wird es schwieriger, Token zu stehlen und an ihn weiterzugeben Zugang erhalten.
Moderne Anwendungen verfügen normalerweise bereits über solche Schutzmaßnahmen. Wenn Sie eine Legacy-Anwendung ausführen, die nicht zum Schutz dieser Anmeldeflüsse entwickelt wurde, können Sie mithilfe von Azure AD verhindern, dass die zum Signieren von Token, Verschlüsseln oder Überprüfen von Token verwendeten Anmeldeinformationen geändert werden. Selbst wenn ein Angreifer also Zugriff auf die Anwendung erhält, kann er legitime Administratoren nicht blockieren und übernehmen.
Möglicherweise möchten Sie sich auch die Berechtigungen ansehen, die Benutzer für Anwendungen haben, die sie auf Ihrem Azure AD-Mandanten installieren oder registrieren, und was jeder mit Gastzugriff sieht.
Schauen Sie sich Ihr Netzwerk an
Wenn bei Ihrer Cloud-App ein Problem auftritt, liegt es manchmal an einem Netzwerkproblem und manchmal liegt es daran, wie Sie die Netzwerkoptionen konfiguriert haben.
Azure Virtual Network Manager ist ein neues Tool zum Gruppieren von Netzwerkressourcen, zum Konfigurieren der Konnektivität und Sicherheit für diese Ressourcen und zum automatischen Bereitstellen dieser Konfigurationen für die richtigen Netzwerkgruppen. Gleichzeitig ermöglicht es Ausnahmen für Ressourcen, die beispielsweise eingehenden Secure Shell-Verkehr benötigen, den Sie normalerweise blockieren würden.
Sie können damit allgemeine Netzwerktopologien wie einen Hub-and-Spoke erstellen, der mehrere virtuelle Netzwerke mit dem virtuellen Hub-Netzwerk verbindet, das Ihre Azure Firewall- oder ExpressRoute-Verbindung enthält. Der Azure Virtual Network Manager fügt außerdem automatisch neue virtuelle Netzwerke hinzu, die eine Verbindung zu dieser Ressource oder (bald) einem Mesh herstellen müssen, über das Ihre virtuellen Netzwerke miteinander kommunizieren können.
Azure Network Watcher verfügt bereits über eine Reihe von Tools, mit denen Sie Ihr Netzwerk überwachen und Probleme aufspüren können, die sich auf Ihre VMs oder Ihr virtuelles Netzwerk auswirken könnten. Es kann eine Live-Topologiekarte erstellen, die mehrere Azure-Abonnements, Regionen und Ressourcengruppen abdeckt, sowie Konnektivität, Paketverlust und Latenz für VMs in der Cloud und in Ihrer eigenen Infrastruktur überwachen.
Wenn Sie jedoch über mehrere Tools zum Auffinden spezifischer Probleme verfügen, müssen Sie wissen, wonach Sie suchen. Das neue Tool zur Fehlerbehebung bei Verbindungen in Network Watcher führt diese Tools aus und meldet Netzwerk-Hops, Latenz, Speicher- und CPU-Auslastung sowie die Frage, ob eine Verbindung hergestellt werden konnte und, wenn nicht, ob dies an DNS, Netzwerk-Routing-Regeln oder Netzwerksicherheit liegt Regeln oder die Firewall-Konfiguration.
Sie können Network Watcher auch verwenden, um andere Tools wie eine Paketerfassungssitzung oder Azure Traffic Analytics auszuführen, mit denen Sie den Netzwerkfluss in Ihrer Anwendung visualisieren können. Azure Traffic Analytics kann sogar die Topologie des Netzwerks abbilden, sodass Sie sehen können, welche Ressourcen sich in welchem Subnetz befinden und zu welchem virtuellen Netzwerk jedes Subnetz gehört.
Wenn Sie die Netzwerksicherheitsgruppen von Network Watcher verwenden, können Sie Traffic Analytics verwenden, um die Flussprotokolle zu verstehen, die den ein- und ausgehenden Datenverkehr verfolgen, um nach Verkehrs-Hotspots zu suchen oder einfach nur zu sehen, wo auf der Welt Ihr Netzwerkverkehr herkommt und ob dies übereinstimmt was du erwartest.
Sie können damit auch überprüfen, ob Sie private Links anstelle öffentlicher IP-Verbindungen verwenden, um vertrauliche Ressourcen wie Azure Key Vault zu erreichen – ein Fehler, der überraschend leicht passieren kann, wenn Sie einen öffentlichen DNS-Server anstelle des Azure DNS-Servers verwenden. Die richtige Netzwerkkonfiguration ist ein wichtiger Teil der Sicherheit Ihrer Apps in der Cloud.
