Identitäts- und Zugriffsverwaltung für den Azure Spring Apps-Zielzonenbeschleuniger

In diesem Artikel werden Entwurfsüberlegungen und Empfehlungen beschreiben, wie Benutzer*innen in Azure Spring Apps authentifiziert werden und wie ihnen der erforderliche Zugriff auf Workloadressourcen gewährt wird.

Das zentralisierte Plattformteam und die Anwendungsteams müssen über gute Kenntnisse im Hinblick auf folgende Fragen verfügen:

• Welche Teams benötigen Zugriff auf den Workload der Azure Spring-App, der in der Anwendungszielzone bereitgestellt wird?
• Rollen und Verantwortlichkeiten der Benutzer*innen, die Zugriff benötigen
• Mindestberechtigungen, die zur Erfüllung dieser Verantwortlichkeiten erforderlich sind

Informationen zum Plattformdesign finden Sie im Bereich zur Azure Identitäts- und Zugriffsverwaltung.

Folgen Sie als Workloadbesitzer diesen bewährten Methoden, um sicherzustellen, dass die Anwendungsressourcen nicht die Sicherheits- oder Governancegrenzen der Organisation verletzen. Das Ziel besteht darin, sicherzustellen, dass die bereitgestellte Azure Spring-App und die zugehörigen Workloadressourcen sicher und nur für autorisierte Benutzer*innen zugänglich sind. Wenn Sie diese Methoden befolgen, schützen Sie vertrauliche Daten und verhindern den Missbrauch der App und ihrer Ressourcen.

Überlegungen zum Entwurf

• Zugriff der Anwendung auf andere Dienste. Die Anwendung sollte sich beim Herstellen einer Verbindung mit Back-End-Diensten, die Teil der Workload sind, authentifizieren. Durch diese Authentifizierung werden die Dienste vor nicht autorisiertem Zugriff geschützt. Erwägen Sie die Nutzung von Features von Microsoft Entra ID, um Mehraufwand für das Speichern und Verwalten von Anmeldeinformationen zu vermeiden.

• Zugriff auf die Anwendung. Benutzer können über das öffentliche Internet Anforderungen an die Anwendung senden. Anforderungen können außerdem auch aus privaten oder lokalen Netzwerken stammen. In beiden Fällen muss der Zugriff mithilfe von Clientzertifikaten oder Microsoft Entra ID authentifiziert werden.

  Berücksichtigen Sie die Technologieoptionen für den Dienstermittlungsmechanismus, der Aufrufe zwischen Apps auslöst. Die Optionen variieren je nach Azure Spring Apps-Ebene.

  • Basic/Standard: Kubernetes-Dienstermittlung oder Registrierung eines verwalteten Spring Cloud-Diensts (mit Eureka)
  • Enterprise: Tanzu-Dienstregistrierung

• Operatorzugriff auf Ressourcen. Teammitglieder mit unterschiedlichen Verantwortlichkeiten greifen möglicherweise auf Ihre Workload zu. So müssen Sie möglicherweise zum Beispiel folgenden Mitgliedern Zugriff gewähren:

  • Mitglieder des Plattformteams, die operativen Zugriff benötigen
  • Mitglieder des Anwendungsteams, die Anwendungen entwickeln
  • DevOps-Techniker*innen, der Zugriff auf die Build- und Releasepipelines benötigen, um den Workload bereitzustellen und mithilfe von Infrastructure-as-Code (IaC) zu konfigurieren
  • SRE-Techniker*innen (Site Reliability Engineer), die für die Standortzuverlässigkeit verantwortlich sind, zur Problembehandlung

  Entscheiden Sie abhängig vom Zweck des Zugriffs, welche Steuerungsebene Sie dem jeweiligen Benutzer einräumen möchten. Starten Sie dabei nach dem Prinzip der geringsten Rechte. Mit RBAC-Rollenzuweisungen können Sie sicherstellen, dass Benutzer*innen über die passenden Berechtigungen für ihre Verantwortlichkeiten verfügen und gleichzeitig Grenzen eingehalten werden. Erwägen Sie den Einsatz integrierter RBAC-Rollen, bevor Sie benutzerdefinierte Rollen erstellen.

• Datenzugriffskonfiguration. Basierend auf dem von Ihnen gewählten Tarif für Azure Spring Apps (Basic/Standard oder Enterprise) müssen Sie Optionen für den Konfigurationsserver auswählen.

  Für Basic sollten Sie die Unterstützung für die Server- und die Clientseite in Betracht ziehen. Um Ihre Konfigurationsdateien auf dem Server zu speichern, wählen Sie eine externalisierte Konfiguration in einem verteilten System, wie Azure DevOps, GitHub, GitLab oder Bitbucket.

  Sie können öffentliche oder private Repositorys verwenden und deren Authentifizierungsmechanismus auswählen. Azure Spring Apps unterstützt die grundlegende Authentifizierung per Kennwort oder Token und SSH.

  Im Enterprise-Tarif sollten Sie den Anwendungskonfigurationsdienst für VMware Tanzu in Betracht ziehen. Er ermöglicht die Verwaltung von Kubernetes-nativen ConfigMap-Ressourcen, die aus Eigenschaften mit Daten aufgefüllt werden, die in mindestens einem Git-Repository definiert sind.

Entwurfsempfehlungen

Verwaltete Identitäten

Verwenden Sie verwaltete Identitäten für die Anwendung, damit sie mithilfe von Microsoft Entra ID authentifiziert werden kann. Nicht alle Dienste unterstützen dieses Feature von Microsoft Entra ID. Weitere Informationen finden Sie unter Azure-Dienste, die die Microsoft Entra-Authentifizierung unterstützen.

Entscheiden Sie, welcher Typ von verwalteter Identität für Ihren Anwendungsfall geeignet ist. Ziehen Sie dabei Kompromisse in Erwägung, um eine einfache Verwaltung zu gewährleisten. Wenn die Anwendung beispielsweise auf mehrere Ressourcen zugreifen muss, werden benutzerseitig zugewiesene verwaltete Identitäten empfohlen. Wenn die Berechtigungen jedoch an den Anwendungslebenszyklus gebunden sein sollen, sind systemseitig verwaltete Identitäten möglicherweise die bessere Wahl.

Weitere Informationen finden Sie unter Auswählen von systemseitig oder benutzerseitig zugewiesenen verwalteten Identitäten.

Verwenden Sie integrierte Azure RBAC-Rollen, um die Verwaltung der erforderlichen Berechtigungen für eine verwaltete Identität zu vereinfachen.

• Verwenden Sie Ihre eigene verwaltete Identität für Azure Spring Apps.
• Verwenden Sie systemseitig und benutzerseitig zugewiesene verwaltete Identitäten separat. Weitere Informationen finden Sie unter Bewährte Methoden bei der Verwendung verwalteter Identitäten.
• Verwenden Sie Privileged Identity Management in Microsoft Entra ID.

Sichere Internetkommunikation

• Verwenden Sie von einer Zertifizierungsstelle ausgestellte Zertifikate, erweiterte Überprüfungs- oder Platzhalterzertifikate.
• Verwenden Sie selbstsignierte Zertifikate nur für Präproduktionsumgebungen.
• Laden Sie Zertifikate sicher aus Azure Key Vault.

Rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC)

• Ziehen Sie das Erstellen benutzerdefinierter Rollen in Betracht. Halten Sie sich an das Prinzip der geringsten Rechte, wenn vordefinierte Rollen Änderungen an vorhandenen Berechtigungen erfordern.
• Wählen Sie Speicher mit erhöhter Sicherheit für Schlüssel, Geheimnisse, Zertifikate und Anwendungskonfiguration aus.
• Richten Sie für die automatisierte Bereitstellung einen Dienstprinzipal ein, der über die mindestens erforderlichen Berechtigungen für die Bereitstellung über die CI/CD-Pipeline (Continuous Integration und Continuous Delivery) verfügt.
• Aktivieren Sie die Diagnoseprotokollierung für die Anwendungskonsole sowie für System-, Eingangs-, Build- und Containerereignisprotokolle. Sie können diese detaillierten Protokolle verwenden, um Probleme mit Ihrer App zu diagnostizieren und Zugriffsanforderungen zu überwachen. Wenn Sie diese Protokolle aktivieren, bietet Ihnen ein Azure Monitor-Aktivitätsprotokoll Einblick in Ereignisse auf Abonnementebene.

Nächste Schritte

Netzwerktopologie und -konnektivität