Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Von Bedeutung
Hinweis zur Einstellung: Dieser Artikel ist veraltet und wird nicht mehr aktualisiert. Um sicherzustellen, dass nur die besten Anleitungen angezeigt werden, wird dieser Artikel im Mai 2026 gelöscht.
Alternative Anleitungen finden Sie unter Integrationsarchitektur Anleitung im Azure Architecture Center.
Wenn Sie diese Anleitung speichern möchten, können Sie Download a PDF unten links auf dieser Seite auswählen oder die Dateien aus GitHub herunterladen.
Gute Sicherheit ist der Eckpfeiler jeder Azure Anwendung. Azure Integrationsdienste stellen eine besondere Herausforderung dar, da es viele Ressourcen gibt, aus denen eine Anwendung besteht, und jede dieser Ressourcen hat eigene Sicherheitsaspekte. Um sicherzustellen, dass Sie die besonderen Aspekte der einzelnen Dienste verstehen, lesen Sie die folgenden Sicherheitsgrundwerte:
Entwurfsüberlegungen
Beim Entwerfen Ihres Sicherheitsmodells gibt es zwei verschiedene Entwurfsbereiche: Entwurfszeitsicherheit und Laufzeitsicherheit.
Design-time security umfasst den Zugriff auf die Verwaltung und Erstellung von Azure Ressourcen über das Azure-Portal oder die Resource Manager-API. Innerhalb Azure verwenden wir Microsoft Entra ID und rollenbasierte Zugriffssteuerung (RBAC).
Run-Time Sicherheit umfasst den Zugriff auf Endpunkte und Ressourcen während des Ablaufs einer Anwendung , z. B. das Authentifizieren und Autorisieren eines Benutzers, der eine Logik-App aufruft, oder einen API-Vorgang in der API-Verwaltung.
Entscheiden Sie frühzeitig, wenn Sie Folgendes benötigen:
Private Cloud – alle Ihre Ressourcen befinden sich in einem Virtual Network (VNet) und verwenden nur private Netzwerke, ohne Zugriff auf oder aus dem öffentlichen Internet, potenziell für Ihre lokalen Ressourcen über VPN oder ExpressRoute verfügbar.
Public Cloud – alle Ihre öffentlich zugänglichen Ressourcen haben Zugriff auf das öffentliche Internet, obwohl sie gesperrt sind, um den Zugriff vom öffentlichen Internet einzuschränken und nur bestimmte IP-Adressen/Bereiche zuzulassen.
Hybrid – einige Ressourcen sind privat und einige sind öffentlich.
Die Entscheidung, die Sie treffen, wirkt sich sowohl auf die Kosten Ihrer Ressourcen als auch auf die Sicherheit aus, die Sie für Ihre Anwendungen implementieren können.
Zu den allgemeinen Sicherheitsaspekten gehören:
Verwenden von Azure Netzwerkdiensten zum Schutz des Eingangs- und Ausgangsdatenverkehrs.
Verwenden von Microsoft Entra ID und OAuth 2.0 zum Verwalten von Authentifizierung und Autorisierung.
Erzwingen von Governancerichtlinien mit Azure Policy.
Sperren des Zugriffs auf Ressourcen (Zugriffssteuerung).
Verschlüsseln von Daten sowohl während der Übertragung als auch im Ruhezustand.
Protokolliert alle Versuche, auf Ressourcen zuzugreifen.
Überwachen des Zugriffs auf Ressourcen.
Designempfehlungen
Empfehlungen zum Netzwerkentwurf
Sehen Sie sich die Verwendung eines Application Gateways (Azure Application Gateway oder Azure Front Door) mit einer Web Application Firewall (WAF) vor Ihren barrierefreien Endpunkten an. Dies hilft bei der automatischen Verschlüsselung von Daten und ermöglicht Es Ihnen, Ihre Daten zu überwachen und zu konfigurieren. Endpunkte einfacher.
Front Door ist ein Anwendungsbereitstellungsnetzwerk, das globalen Lastenausgleichs- und Standortbeschleunigungsdienst für Webanwendungen bereitstellt. Front Door bietet Layer 7-Funktionen wie SSL-Offload, pfadbasiertes Routing, schnelles Failover und Caching, um die Leistung und Verfügbarkeit Ihrer Anwendungen zu verbessern.
Traffic Manager ist ein DNS-basierter Datenverkehrslastenausgleich, mit dem Sie Den Datenverkehr optimal an Dienste in globalen Azure Regionen verteilen können, während sie hohe Verfügbarkeit und Reaktionsfähigkeit bieten. Da Traffic Manager ein DNS-basierter Lastenausgleichsdienst ist, wird der Lastenausgleich nur auf Domänenebene ausgeglichen. Aus diesem Grund kann es nicht so schnell auf ein Backup-System umschalten wie Front Door, bedingt durch die üblichen Herausforderungen im Zusammenhang mit der DNS-Zwischenspeicherung und Systemen, die die DNS-TTL-Einstellungen nicht respektieren.
Das Anwendungsgateway bietet einen verwalteten Anwendungsbereitstellungscontroller mit verschiedenen Layer 7-Lastenausgleichsfunktionen. Sie können das Anwendungsgateway verwenden, um die Produktivität der Webfarm zu optimieren, indem Sie CPU-intensive Beendigung von SSL-Verbindungen auf das Gateway auslagern.
Azure Load Balancer ist ein leistungsstarker, extrem niedriger Latenz-Layer 4-Eingehender und ausgehender Lastenausgleichsdienst für alle UDP- und TCP-Protokolle. Load Balancer verarbeitet Millionen von Anforderungen pro Sekunde. Load Balancer ist zonenredundant und stellt eine hohe Verfügbarkeit über Verfügbarkeitszonen hinweg sicher.
Implementieren Sie die Netzwerkisolation für Ihre Integrationsdiensteressourcen mithilfe der VNet-Integration, um sie in einem isolierten Subnetz zu platzieren, kombiniert mit Azure PrivateLink und privaten Endpunkten. Eine Überprüfung dieser Entwurfsanleitung finden Sie im Artikel " Netzwerktopologie und Konnektivität " in dieser Reihe.
Schützen Sie den ausgehenden Datenverkehr mit Azure Firewall
Verwenden Sie die IP-Filterung, um Ihre Endpunkte zu sperren, sodass nur auf bekannte Netzwerkadressen zugegriffen wird (dies gilt für PaaS-Dienste (z. B. Logic Apps, Function Apps, Service Bus) nicht in VNets integriert).
Wenn Sie über öffentlich verfügbare Ressourcen verfügen, verwenden Sie die DNS-Verschleierung, um Angreifer abzuschrecken; Verschleierung bedeutet entweder benutzerdefinierte Domänennamen oder bestimmte Azure Ressourcennamen, die den Zweck oder Besitzer einer Ressource nicht offenlegen.
Empfehlungen für den Verschlüsselungsentwurf
Beim Speichern von Daten (z. B. in Azure Storage oder Azure SQL Server) in Azure PaaS-Diensten werden sie immer im Ruhezustand verschlüsselt mit Microsoft-verwalteten Schlüsseln gespeichert. Sperren Sie den Zugriff auf die Daten, idealerweise nur für Dienste und eine begrenzte Anzahl von Administratoren. Denken Sie daran, dass dies auch für Protokolldaten gilt. Weitere Informationen finden Sie unter Azure ruhende Datenverschlüsselung und Azure Verschlüsselungsübersicht. Überlegen Sie, ob die Verwendung von Customer Managed Keys (CMK) erforderlich ist oder ob Microsoft verwaltete Schlüssel ausreichend sind.
Verwenden Sie verschlüsselung immer während der Übertragung (z. B. TLS-Datenverkehr) beim Übertragen von Daten zwischen Ressourcen; Senden Sie niemals Daten über einen unverschlüsselten Kanal.
Verwenden Sie bei Verwendung von TLS-Protokollen immer TLS 1.2 oder höher.
Bewahren Sie geheime Schlüssel in Azure Key Vault auf, und verknüpfen Sie diese dann mit App-Einstellungen (Funktionen, Logic Apps), Named Values (API Management) oder Configuration Entries (App Configuration).
Implementieren Sie eine Schlüsseldrehungsrichtlinie , um sicherzustellen, dass alle in Ihrer Umgebung verwendeten Schlüssel regelmäßig gedreht werden, um Angriffe mit gefährdeten Schlüsseln zu verhindern.
Verwenden Sie für Logik-Apps die Verschleierung , um Daten im Ausführungsverlauf zu sichern.
Empfehlungen für Authentifizierungs- und Zugriffsentwurf
Befolgen Sie beim Zuweisen des Zugriffs immer das Prinzip der geringsten Berechtigungen: Geben Sie einer Identität die erforderlichen Mindestberechtigungen. Wenn es keine integrierte Rolle mit den minimalen Berechtigungen gibt, die Sie benötigen, sollten Sie eine benutzerdefinierte Rolle mit nur diesen Berechtigungen erstellen.
Verwenden Sie nach Möglichkeit immer verwaltete Identitäten , wenn eine Ressource auf einen Dienst zugreifen muss. Wenn Ihr Logic App-Workflow beispielsweise auf Key Vault zugreifen muss, um einen geheimen Schlüssel abzurufen, verwenden Sie die Managed Identity Ihrer Logik-Apps; Verwaltete Identitäten bieten einen sichereren, einfacheren Mechanismus für den Zugriff auf Ressourcen, da Azure die Identität in Ihrem Auftrag verwaltet.
Verwenden Sie OAuth 2.0 als Authentifizierungsmechanismus zwischen Ressourcenendpunkten:
Aktivieren Sie in Logic Apps oder Functions Easy Auth, was erfordert, dass alle externen Aufrufer eine OAuth-Identität verwenden (normalerweise Microsoft Entra ID, aber ein beliebiger Identitätsanbieter sein kann).
Verwenden Sie in der API-Verwaltung das
validate-jwtRichtlinienelement , um einen OAuth-Fluss für Verbindungen mit Endpunkten zu erfordern.Richten Sie in Azure Storage und Key Vault Zugriffsrichtlinien ein, um den Zugriff auf bestimmte Identitäten einzuschränken.
Empfehlungen für das Design der Governance
Verwenden Sie Azure Policy aktiv, um nach Sicherheitsproblemen oder Fehlern zu suchen. Endpunkte beispielsweise ohne IP-Filterung.
Verwenden Sie gegebenenfalls Microsoft Defender for Cloud, um Ihre Ressourcen zu scannen und potenzielle Schwachstellen zu identifizieren.
Überprüfen Sie regelmäßig Überwachungsprotokolle (idealerweise mit einem automatisierten Tool), um sowohl Sicherheitsangriffe als auch unbefugten Zugriff auf Ihre Ressourcen zu identifizieren.
Berücksichtigen Sie die Verwendung von Penetrationstests, um Schwachstellen in Ihrem Sicherheitsdesign zu identifizieren.
Verwenden Sie automatisierte Bereitstellungsprozesse, um die Sicherheit zu konfigurieren. Wenn möglich, verwenden Sie eine CI/CD-Pipeline wie GitHub Actions oder Azure DevOps Pipelines und Infrastruktur als Codetools wie Bicep oder Terraform um Ihre Ressourcen nicht nur bereitzustellen, sondern auch um die Sicherheit zu konfigurieren. Dadurch wird sichergestellt, dass Ihre Ressourcen automatisch geschützt werden, wenn sie bereitgestellt werden.
Nächster Schritt
Überprüfen Sie die kritischen Entwurfsbereiche, um vollständige Überlegungen und Empfehlungen für Ihre Architektur zu treffen.