Einführung
Die kundenorientierte E-Commerce-Anwendung von Contoso Retail wird auf Azure App Service ausgeführt und wird direkt im öffentlichen Internet verfügbar gemacht. Ein kürzlich durchgeführter Penetrationstest ergab drei Sicherheitslücken, die in der derzeitigen Bereitstellung noch nicht behoben sind. Die Anwendung hat keine Authentifizierungserzwingung auf Plattformebene – jede nicht authentifizierte Anforderung erreicht den Anwendungscode. Der App-Dienst akzeptiert eingehenden Datenverkehr von jeder Quell-IP-Adresse, was bedeutet, dass ein Angreifer, der den Hostnamen des App-Diensts erkennt, alle sicherheitsrelevanten Steuerelemente umgehen kann, die davor platziert sind. Die Anwendung wird nicht durch eine Web Application Firewall geschützt, und der Penetrationstest zeigte einen erfolgreichen SQL-Injection-Angriff auf den Endpunkt der Produktsuche.
Diese drei Lücken bilden ein mehrschichtiges Problem. Wenn nur eines davon geschlossen wird und die anderen nicht, bleibt ein erhebliches Risiko bestehen. Die Authentifizierung auf Plattformebene verhindert nicht, dass ein Angreifer eine Web Application Firewall (WAF) umgeht, indem er den App Service direkt angreift. Eine VOR der Anwendung platzierte WAF bietet keinen Schutz, wenn die Anwendung weiterhin direkten Datenverkehr aus dem Internet akzeptiert. Jede Ebene hängt von den anderen ab, um effektiv zu sein.
In diesem Modul bearbeiten Sie jede der drei Ebenen in der reihenfolge. Sie sichern zunächst die App Service-Plattform selbst – konfigurieren die Authentifizierung mit Microsoft Entra ID, Zuweisen einer verwalteten Identität für ausgehende Dienstaufrufe, Erzwingen von HTTPS und Anwenden von Zugriffsbeschränkungen und Netzwerksteuerelementen, die einschränken, wo eingehender Datenverkehr entstehen kann. Anschließend konfigurieren Sie eine Web Application Firewall Richtlinie auf dem Anwendungsgateway. Wählen Sie dann verwaltete Regelsätze aus, legen Sie WAF-Modi fest, und definieren Sie Ausschlüsse und benutzerdefinierte Regeln. Schließlich verbinden Sie die beiden Komponenten so, dass der gesamte eingehende Datenverkehr die WAF-Inspektion durchläuft, bevor Sie App Service erreichen. Außerdem erfahren Sie, wie Sie WAF-Protokolle überwachen und die Richtlinie optimieren, um False Positive-Ergebnisse zu reduzieren.
Lernziele
Nach Abschluss dieses Moduls werden Sie zu Folgendem in der Lage sein:
- Implementieren von Authentifizierungs-, verwalteten Identitäts- und Netzwerksteuerelementen für Azure App Service
- Konfigurieren von Web Application Firewall Richtlinien einschließlich verwalteter Regelsätze und benutzerdefinierter Regeln
- Integrieren von Web Application Firewall in App Service zum Erzwingen des Edge-Layer-Schutzes