© vs148/shutterstock.com
APIs durch Azure-Dienste absichern - Teil 1

Private Endpoints für Azure App Service


Der Siegeszug von Software as a Service (SaaS) hat dazu geführt, dass wir daran gewöhnt sind, alle unsere Web-APIs und Webanwendungen über das öffentliche Internet zu erreichen. Aus Benutzersicht ist das eine praktische Sache, einer DevSecOps-Expertin bereitet dieser Gedanke allerdings schlaflose Nächte. Jeder Service, der über das Internet verfügbar ist, ist Ziel von Angriffen. Inwiefern private Endpoints für Azure-Web-Apps hier Abhilfe schaffen können, betrachten wir in diesem Artikel.

Natürlich wissen wir, dass wir jede Netzwerkanwendung so schreiben sollen, dass sie Angriffen standhält. Wir dürfen uns schon längst nicht mehr auf Perimeter Security, also den Schutz durch Firewalls, die an den Grenzen unseres Firmennetzwerks zum Internet installiert sind, verlassen. Authentifizierung und Verschlüsselung sind die neuen Firewalls.

Soweit die Theorie. In der Praxis müssen wir aber mit Unzulänglichkeiten umgehen. Software altert, und nicht immer sind die Ressourcen vorhanden, um alle Anwendungen auf dem neuesten Stand zu halten. Manchmal verändern sich auch Teams, und plötzlich fühlt sich niemand mehr so richtig für die Wartung eines Service verantwortlich. In solchen Situationen wünscht man sich die gute, alte Zeit von lokalen, abgeschotteten Netzwerken zurück, in denen nur „Freunde“ unterwegs waren, deren oberstes Ziel nicht das Finden und Ausnutzen von Softwareschwachstellen war. Im Folgenden wollen wir beleuchten, inwieweit Private Service Endpoints uns einen Teil dieser Zeit wieder zurückbringen können.

App Service: Status quo

Ideal wäre es, wenn wir die Vorteile der Public Cloud mit der zusätzlichen Sicherheit kombinieren könnten, die uns Netzwerkzugriffsmöglichkeiten bieten, die auf das Notwendigste beschränkt wurden. Mit Azure App Service war das bisher schwierig. Azure App Service ist ein Multi-Tenant-Dienst, also ein Dienst, bei dem sich viele Azure-Kunden eine gemeinsame Basisinfrastruktur teilen, die von Microsoft als Cloud-Anbieter verwaltet wird. Als Kunde hat man keinen Zugriff auf die zugrunde liegenden virtuellen Maschinen und kann sie daher auch nicht so einfach in ein virtuelles Netzwerk (VNet) in Azure hängen.

Eine Option, die man bereits seit Längerem hatte, sind App Service Environments (ASEs). Mit einem ASE bekommt man eine kleine, private Variante des großen App-Service-Diensts und kann diese in sein VNet integrieren. Dadurch kann man den Zugriff darauf netzwerktechnisch so weit einschränken, wie man möchte: Firmeninterne Anwendunge...

Neugierig geworden?

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang