© Stmool/Shutterstock.com
APIs durch Azure-Dienste absichern - Teil 3

Managed Identity für Web-APIs


Wer nicht als Kernaufgabe die Entwicklung von Sicherheitsprotokollen oder darauf bezogenen Code hat, sollte solchen Code nicht schreiben, sondern auf fertige Bibliotheken und Dienste zurückgreifen. Auch kleine Bugs können sonst in diesem Bereich katastrophale Auswirkungen haben.

Wer mich kennt oder meine Artikel und Vorträge verfolgt, weiß, dass ich ein Verfechter von Platform as a Service (PaaS) und Serverless bin. Ich habe zwar als begeisterter Entwickler Spaß am Lösen kniffliger Softwareprobleme, versuche aber meinen Spieltrieb in Zaum zu halten, wenn es um die professionelle Arbeit geht. Diese Einstellung finde ich essenziell wichtig in Bezug auf sicherheitsbezogenen Code.

In der Cloud bezieht sich meine Aussage auf mehr als nur den C#-Code der Web-APIs und Webapplikationen. Er bezieht sich auch auf die sicherheitsbezogenen Konfigurationen der API-Cloud-Umgebung, die heutzutage bei produktiv eingesetzten SaaS-Lösungen in Form von Infrastructure as Code (IaC) vorliegen sollte, also bei Azure als ARM Templates, PowerShell- oder Bash-Skripts.

Azure bietet eine Vielzahl von Diensten, die Entwicklungsteams viele Kopfschmerzen in Sachen Security abnehmen. Beispiele dafür sind Azure Active Directory (AAD), Azure Role-based Access Control (RBAC), Azure Key Vault, Azure Managed Identities oder Azure Private Endpoints. Wer Azure in der Praxis einsetzt und mit diesen Diensten noch nicht vertraut ist, sollte sich Zeit nehmen, diese Wissenslücke zu schließen. Der dafür notwendige Aufwand zahlt sich in kurzer Zeit aus. Erstens spart man sich die Entwicklung von unnötigem eigenem Code und zweitens sinkt das Risiko eines erfolgreichen Angriffs auf die eigenen Anwendungen in der Cloud. Die Dokumentation von Azure ist eine gute Quelle für Informationen. Darüber hinaus bietet Microsoft unzählige Videos und Onlinetutorials an, mit denen man in die Materie einsteigen kann.

Basiswissen

Dieser Artikel ist der dritte Teil einer Serie über die Absicherung von Web-APIs in der Microsoft-Azure-Plattform. Er setzt daher Basiswissen insbesondere über die Konzepte und das Management von Web-API- und Web-App-Security in Azure Active Directory (AAD) voraus. Darüber hinaus können die hier besprochenen Sicherheitsmaßnahmen gut mit dem Konzept der Private Endpoints verbunden werden, über die sich der Zugriff auf Backend APIs noch weiter einschränken und sich deshalb die Angriffsfläche einer Cloud-Anwendung verkleinern lässt. Private Endpoints wurden im ersten Teil der Artikelserie erk...

Exklusives Abo-Special

Angebote für Teams

Für Firmen haben wir individuelle Teamlizenzen. Wir erstellen Ihnen gerne ein passendes Angebot.

Das Library-Modell:
IP-Zugang

Das Company-Modell:
Domain-Zugang