Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Azure Application Gateway ist ein Lastenausgleich für Webdatenverkehr, mit dem Sie eingehenden Datenverkehr für Ihre Webanwendungen verwalten können. Als wichtige Komponente in Ihrer Netzwerkinfrastruktur verarbeitet Das Anwendungsgateway eingehende Anforderungen und leitet sie an Back-End-Dienste weiter, wodurch es unerlässlich ist, geeignete Sicherheitsmaßnahmen zum Schutz vor Bedrohungen zu implementieren und die Einhaltung der Sicherheitsanforderungen der Organisation sicherzustellen.
Dieser Artikel enthält Anleitungen zur optimalen Sicherung Ihrer Azure Application Gateway-Bereitstellung.
Netzwerksicherheit
Die Netzwerksicherheit für Das Anwendungsgateway umfasst die Steuerung des Datenverkehrsflusses, die Implementierung der richtigen Segmentierung und die Sicherung der Kommunikation zwischen Clients und Back-End-Diensten.
Bereitstellen in einem dedizierten Subnetz: Platzieren Sie Ihr Anwendungsgateway in einem dedizierten Subnetz in Ihrem virtuellen Netzwerk, um die Netzwerkisolation bereitzustellen und eine präzise Datenverkehrskontrolle zu ermöglichen. Diese Trennung hilft dabei, potenzielle Sicherheitsvorfälle zu enthalten und gezielte Sicherheitsrichtlinien zu ermöglichen.
Wenden Sie Netzwerksicherheitsgruppen an: Verwenden Sie Netzwerksicherheitsgruppen (Network Security Groups, NSGs), um den Datenverkehr nach Port, Protokoll, Quell-IP-Adresse oder Ziel-IP-Adresse einzuschränken. Erstellen Sie NSG-Regeln, um den Zugriff auf nur erforderliche Ports zu beschränken und den Zugriff auf Verwaltungsports von nicht vertrauenswürdigen Netzwerken zu verhindern. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppen.
Konfigurieren privater Endpunkte: Stellen Sie private Endpunkte für Ihr Anwendungsgateway bereit, wenn sie unterstützt werden, um private Zugriffspunkte einzurichten, die die Gefährdung des öffentlichen Internets vermeiden. Dadurch wird ihre Angriffsfläche reduziert, indem der Datenverkehr in Ihrem virtuellen Netzwerk beibehalten wird. Weitere Informationen finden Sie unter Konfigurieren des privaten Azure-Anwendungsgateways (Vorschau).
DDoS-Schutz aktivieren: Bereitstellen von Azure DDoS-Netzwerkschutz im virtuellen Netzwerk, das Ihr Anwendungsgateway hostet, um vor großen DDoS-Angriffen zu schützen. Dies bietet erweiterte DDoS-Entschärfungsfunktionen, einschließlich adaptiver Optimierungs- und Angriffsbenachrichtigungen. Weitere Informationen finden Sie unter Schützen Ihres Anwendungsgateways mit Azure DDoS Network Protection.
Implementieren Sie die richtige Infrastrukturkonfiguration: Befolgen Sie das empfohlene Infrastruktursetup von Azure, um sicherzustellen, dass Ihr Anwendungsgateway mit bewährten Sicherheitsmethoden bereitgestellt wird. Dies umfasst die richtige Subnetzgröße, Routingtabellenkonfiguration und Netzwerkabhängigkeiten. Weitere Informationen finden Sie unter Konfiguration der Application Gateway-Infrastruktur.
Webanwendungsschutz
Die Webanwendungsfirewall bietet einen wesentlichen Schutz vor häufigen Sicherheitsrisiken und Angriffen auf Ihre Anwendungen.
Bereitstellen der Webanwendungsfirewall: Aktivieren Sie WAF auf Ihrem Anwendungsgateway, um vor OWASP Top 10-Bedrohungen wie SQL-Einfügung, websiteübergreifendes Skripting und anderen gängigen Webangriffen zu schützen. Starten Sie im Erkennungsmodus, um Datenverkehrsmuster zu verstehen, und wechseln Sie dann zum Verhinderungsmodus, um Bedrohungen aktiv zu blockieren. Weitere Informationen finden Sie unter Was ist die Azure-Webanwendungsfirewall im Azure-Anwendungsgateway?
Konfigurieren von benutzerdefinierten WAF-Regeln: Erstellen Sie benutzerdefinierte Regeln, um bestimmte Bedrohungen für Ihre Anwendungen zu behandeln, einschließlich Ratelimitierung, IP-Blockierung und Geofilterung. Benutzerdefinierte Regeln bieten einen gezielten Schutz über verwaltete Regelsätze hinaus. Weitere Informationen finden Sie unter Erstellen und Verwenden von benutzerdefinierten v2-Regeln.
Botschutz aktivieren: Verwenden Sie die verwaltete Bot-Schutzregel, um böswillige Bots zu identifizieren und zu blockieren und gleichzeitig legitimen Datenverkehr von Suchmaschinen und Überwachungstools zuzulassen. Weitere Informationen finden Sie unter Konfigurieren des Bot-Schutzes.
Implementieren Sie die Ratebegrenzung: Konfigurieren Sie Regeln zum Einschränken von Raten, um Missbrauch und DDoS-Angriffe zu verhindern, indem Sie die Anzahl der Anforderungen steuern, die von einzelnen IP-Adressen innerhalb der angegebenen Zeitfenster zulässig sind. Weitere Informationen finden Sie in der Übersicht zur Ratenbegrenzung.
Identitäts- und Zugriffsverwaltung
Die richtigen Authentifizierungs- und Autorisierungskontrollen stellen sicher, dass nur autorisierte Benutzer und Systeme auf Ihr Anwendungsgateway und ihre Konfiguration zugreifen können.
Konfigurieren der gegenseitigen Authentifizierung: Implementieren sie die gegenseitige TLS-Authentifizierung, um Clientzertifikate zu überprüfen und eine zusätzliche Sicherheitsebene für vertrauliche Anwendungen bereitzustellen. Dadurch wird sichergestellt, dass sowohl der Client als auch der Server sich gegenseitig authentifizieren. Weitere Informationen finden Sie unter Konfigurieren der gegenseitigen Authentifizierung mit dem Anwendungsgateway über das Portal.
Verwenden Sie Azure RBAC für den Verwaltungszugriff: Wenden Sie die rollenbasierte Zugriffssteuerung an, um einzuschränken, wer Anwendungsgatewaykonfigurationen ändern kann. Weisen Sie Benutzern und Dienstkonten die erforderlichen Mindestberechtigungen zu. Weitere Informationen finden Sie unter Integrierte Azure-Rollen.
Datenschutz
Der Datenschutz für das Anwendungsgateway konzentriert sich auf die Sicherung von Daten während der Übertragung und der ordnungsgemäßen Verwaltung von Zertifikaten und geheimen Schlüsseln.
Aktivieren Sie die TLS-Verschlüsselung: Konfigurieren Sie die TLS-Beendigung, um Daten während der Übertragung zwischen Clients und Ihrem Anwendungsgateway zu verschlüsseln. Stellen Sie sicher, dass Sie die neueste Version verwenden, um vor bekannten Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Übersicht über TLS-Beendigung und End-to-End TLS mit Anwendungsgateway.
Speichern Sie Zertifikate in Azure Key Vault: Verwenden Sie Azure Key Vault, um Ihre TLS-Zertifikate sicher zu speichern und zu verwalten, anstatt sie in Konfigurationsdateien einzubetten. Dies ermöglicht die automatische Zertifikatrotation und die zentrale Verwaltung von Geheimnissen. Weitere Informationen finden Sie unter TLS-Terminierung mit Key Vault-Zertifikaten.
Konfigurieren der sicheren Zertifikatverwaltung: Richten Sie die automatische Erneuerung von Zertifikaten in Azure Key Vault ein, basierend auf einem definierten Zeitplan oder kurz vor dem Ablauf. Stellen Sie sicher, dass die Zertifikatgenerierung sicherheitsstandards mit ausreichenden Schlüsselgrößen und geeigneten Gültigkeitszeiträumen entspricht. Weitere Informationen finden Sie unter Konfigurieren eines Anwendungsgateways mit TLS-Beendigung über das Azure-Portal.
Implementieren Sie HTTP in HTTPS-Umleitung: Konfigurieren Sie die automatische Umleitung von HTTP zu HTTPS, um sicherzustellen, dass der gesamte Datenverkehr verschlüsselt ist. Dadurch wird verhindert, dass vertrauliche Daten in Nur-Text übertragen werden. Weitere Informationen finden Sie unter Erstellen eines Anwendungsgateways mit HTTP zu HTTPS-Umleitung mithilfe des Azure-Portals.
Konfigurieren sie End-to-End-TLS: Aktivieren Sie die TLS-Verschlüsselung zwischen Anwendungsgateway und Back-End-Servern für maximalen Datenschutz über den gesamten Kommunikationspfad. Weitere Informationen finden Sie unter Übersicht über TLS-Beendigung und End-to-End TLS mit Anwendungsgateway.
Überwachung und Bedrohungserkennung
Die Protokollierung und Überwachung bieten Einblicke in Anwendungsgateway-Vorgänge und helfen bei der Erkennung potenzieller Sicherheitsbedrohungen.
Diagnoseprotokollierung aktivieren: Konfigurieren Sie Azure-Ressourcenprotokolle, um detaillierte Informationen zu Anwendungsgatewayvorgängen zu erfassen, einschließlich Zugriffsmustern, Leistungsmetriken und Sicherheitsereignissen. Senden Sie diese Protokolle an einen Log Analytics-Arbeitsbereich oder ein Speicherkonto für die Analyse. Weitere Informationen finden Sie unter Backend-Integrität und Diagnoseprotokolle für das Anwendungsgateway.
Konfigurieren von benutzerdefinierten Integritätssonden: Richten Sie benutzerdefinierte Integritätssonden ein, um die Back-End-Serverintegrität effektiver zu überwachen als Standardsonden. Benutzerdefinierte Probes können Probleme auf Anwendungsebene erkennen und sicherstellen, dass datenverkehr nur gesunde Server erreicht. Weitere Informationen finden Sie unter der Übersicht von Application Gateway Health Probes.
Einrichten der Überwachung und Warnung: Erstellen Sie Warnungen basierend auf Anwendungsgatewaymetriken und Protokollen, um ungewöhnliche Datenverkehrsmuster, fehlgeschlagene Authentifizierungsversuche oder Leistungsanomalien zu erkennen, die Sicherheitsprobleme angeben können. Verwenden Sie Azure Monitor, um die geplante Leistung zu ermitteln und Abweichungen zu identifizieren.
Implementieren Sie die zentrale Protokollverwaltung: Integrieren Sie Anwendungsgatewayprotokolle in Ihr SIEM-System (Security Information and Event Management), um Ereignisse in Ihrer Infrastruktur zu korrelieren und automatisierte Bedrohungserkennung und -reaktion zu ermöglichen.
Überwachen der Back-End-Integrität: Verwenden Sie das Back-End-Integritätsfeature, um den Status Ihrer Back-End-Server kontinuierlich zu überwachen und potenzielle Sicherheits- oder Verfügbarkeitsprobleme schnell zu identifizieren. Weitere Informationen finden Sie unter Anzeigen des Back-End-Status über das Portal.
Vermögensverwaltung
Das Asset-Management stellt sicher, dass Ihre Anwendungsgateway-Konfigurationen ordnungsgemäß überwacht werden und den Organisationsrichtlinien entsprechen.
Implementieren Sie die Azure-Richtlinienverwaltung: Verwenden Sie die Azure-Richtlinienverwaltung zum Überwachen und Erzwingen von Konfigurationen in Ihren Anwendungsgatewaybereitstellungen. Erstellen Sie Richtlinien, die unsichere Konfigurationen verhindern und die Einhaltung von Sicherheitsstandards sicherstellen. Weitere Informationen finden Sie in den integrierten Azure-Richtliniendefinitionen für Azure-Netzwerkdienste.
Überwachen der Konfigurationscompliance: Verwenden Sie Microsoft Defender für Cloud, um Ihre Anwendungsgatewaykonfigurationen kontinuierlich zu überwachen und Warnungen zu erhalten, wenn Abweichungen von Sicherheitsgrundwerten erkannt werden. Richten Sie nach Möglichkeit eine automatisierte Wartung ein, um einen konsistenten Sicherheitsstatus aufrechtzuerhalten.
Nächste Schritte
- Weitere Informationen zur Azure-Sicherheitsarchitektur und zum Design
- Überprüfen der Sicherheit im Microsoft Cloud Adoption Framework
- Erkunden der Webanwendungsfirewall auf dem Azure-Anwendungsgateway