Sicherheits- und Identitätsverwaltung verteilter ASP.NET-Anwendungen

Auf dieser Seite

 Beweggründe zum Verfassen dieses Handbuches
 Zielgruppe
 Wie sollten Sie bei der Lektüre vorgehen?
 Aufbau dieses Handbuches
 Systemanforderungen
 Installieren der Beispieldateien
 Support

Beweggründe zum Verfassen dieses Handbuches

Dieses Handbuch dient weder als Einführung in Sicherheitsaspekte noch als Sicherheitsreferenz für das Microsoft .NET Framework, da Ihnen hierfür das über MSDN erhältliche .NET Framework Software Development Kit (SDK) zur Verfügung steht. Dieses Handbuch setzt dort an, wo die Grenzen der Dokumentation erreicht sind und baut auf einem szenariobasierten Ansatz für den Austausch von Empfehlungen und bewährten Techniken auf. Das Handbuch orientiert sich so weit wie möglich an der Praxis. Folglich finden Sie hier eine große Anzahl von Empfehlungen und empfohlenen Vorgehensweisen, für die Erfahrungen aus der Praxis, Anregungen von Kunden sowie Informationen von den Produktteams bei Microsoft zusammengetragen wurden.

Bei der Erstellung von .NET-Webanwendungen kommen zahlreiche Technologien zum Einsatz. Um wirkungsvolle Strategien zur Authentifizierung und Autorisierung auf Anwendungsebene auszuarbeiten, benötigen Sie Kenntnisse darüber, wie die Feineinstellung der unterschiedlichen Sicherheitsfunktionen in den einzelnen Produkt- und Technologiebereichen vorgenommen werden kann und wie diese Funktionen gemeinsam zur Bereitstellung einer effektiven Sicherheitsstrategie zur Tiefenverteidigung eingesetzt werden können. Der Schwerpunkt dieses Handbuches liegt auf der ebenenübergreifenden Sicherheits- und Identitätsverwaltung verteilter ASP.NET-Anwendungen.

Die Bereiche Authentifizierung, Autorisierung und sichere Kommunikation werden besonders detailliert beschrieben. In der Praxis hat sich gezeigt, dass ein Großteil der Anwendungsrisiken durch die rechtzeitige Strukturierung von Authentifizierungs- und Autorisierungspunkten zu vermeiden ist. Die sichere Kommunikation ist ein essenzieller Bestandteil bei der Sicherung Ihrer verteilten Anwendung, da vertrauliche Daten geschützt werden müssen. Hierzu zählen Anmeldeinformationen, die an Ihre bzw. von Ihrer Anwendung sowie zwischen Anwendungsebenen übermittelt werden.

 

Zielgruppe

Wenn Sie Middleware-Entwickler oder -Architekt sind und die Erstellung von .NET-Webanwendungen mit einer oder mehreren der nachfolgenden Technologien planen bzw. durchführen, sollten Sie dieses Handbuch lesen.

• ASP.NET

• Webdienste

• Enterprise Services

• Remoting

• ADO.NET

Um dieses Handbuch bei Entwurf und Erstellung sicherer .NET-Webanwendungen so effektiv wie möglich zu nutzen, sollten Sie bereits mit .NET-Entwicklungstechniken und -technologien vertraut sein. Sie sollten über Kenntnisse hinsichtlich der Architektur verteilter Anwendungen verfügen und mit Ihrem persönlichen Anwendungsarchitektur- und Bereitstellungsmuster vertraut sein.

 

Wie sollten Sie bei der Lektüre vorgehen?

Dieses Handbuch ist modular aufgebaut. Dadurch können Sie die Kapitel unabhängig voneinander lesen. Wenn Sie sich beispielsweise über die Funktionen der vertieften Sicherheit informieren möchten, die durch eine bestimmte Technologie zur Verfügung gestellt werden, können Sie direkt bei Teil III des Handbuchs (Kapitel 8 bis 12) einsteigen, in dem Sie detaillierte Informationen zu ASP.NET, Enterprise Services, Webdiensten, .NET Remoting und Datenzugriff finden.

Es ist jedoch empfehlenswert, zunächst die Anfangskapitel (Kapitel 1 bis 4) von Teil I des Handbuches zu lesen, da diese zum Verständnis des Sicherheitsmodells, der wichtigsten Technologien und Sicherheitsdienste beitragen. Anwendungsarchitekten wird besonders Kapitel 3 empfohlen, das wichtige Kenntnisse für den Entwurf einer Authentifizierungs- und Autorisierungsstrategie, die sich über alle Ebenen Ihrer Webanwendung hinweg erstreckt. In Teil I werden Ihnen die Grundlagen vermittelt, mit denen Sie maximalen Nutzen aus dem übrigen Handbuch ziehen können.

In den Kapiteln zu Intranet, Extranet und Internet (Kapitel 5 bis 7) in Teil II des Handbuches erfahren Sie, wie spezifische Anwendungsszenarios abzusichern sind. Wenn Ihnen das Architektur- und Bereitstellungsmuster bekannt ist, das in Ihrer Anwendung zum Einsatz kommt bzw. kommen wird, werden Sie in diesem Teil des Handbuches über die Sicherheitsrisiken und die standardmäßigen Konfigurationsschritte informiert, die zur Sicherung spezifischer Szenarios erforderlich sind.

Dank der zusätzlichen Informationen und dem Referenzmaterial in Teil IV des Handbuches können Sie abschließend Ihre Kenntnisse hinsichtlich spezifischer Technologiebereiche vertiefen. Hier finden Sie auch eine Bibliothek mit Artikeln zu Verfahrenshinweisen, mit deren Hilfe Sie in kürzester Zeit funktionsfähige Sicherheitslösungen ausarbeiten können.

 

Aufbau dieses Handbuches

Dieses Handbuch ist in vier Teile unterteilt. Die Inhalte sind zum besseren Verständnis thematisch gegliedert.

Teil I, Sicherheitsmodelle

Teil I dient als Basis für das restliche Handbuch. Wenn Sie mit den Konzepten, Prinzipien und Technologien in Teil I vertraut sind, können Sie maximalen Nutzen aus dem Rest des Handbuches ziehen. Teil I enthält die folgenden Kapitel.

• Kapitel 1, "Einführung"

• Kapitel 2, "Sicherheitsmodell für ASP.NET-Anwendungen"

• Kapitel 3, "Authentifizierung und Autorisierung"

• Kapitel 4, "Sichere Kommunikation"

Teil II, Anwendungsszenarios

Die meisten Anwendungen können in Intranet-, Extranet- und Internetanwendungen unterteilt werden. Dieser Teil des Handbuches enthält eine Reihe häufiger Anwendungsszenarios, von denen jedes einer der soeben erwähnten Kategorien angehört. Die Schlüsselmerkmale der einzelnen Szenarios werden beschrieben und die potenziellen Sicherheitsrisiken analysiert.

Anschließend erfahren Sie, wie in den einzelnen Anwendungsszenarios die jeweils am besten geeignete Strategie für die Authentifizierung, Autorisierung und sichere Kommunikation implementiert wird. Jedes Szenario weist außerdem Abschnitte auf, die eine detaillierte Analyse, allgemeine Nachteile sowie die häufigsten Fragen (Frequently Asked Questions, FAQ) enthalten. Teil II enthält folgende Kapitel:

• Kapitel 5, "Intranetsicherheit"

• Kapitel 6, "Extranetsicherheit"

• Kapitel 7, "Internetsicherheit"

Teil III, Sichern der Ebenen

Dieser Teil des Handbuches enthält detaillierte Informationen über die einzelnen Ebenen und Technologien im Zusammenhang mit sicheren, mit .NET verbundenen Webanwendungen. Teil III enthält folgende Kapitel:

• Kapitel 8, "ASP.NET-Sicherheit"

• Kapitel 9, "Enterprise Services-Sicherheit"

• Kapitel 10, "Webdienstesicherheit"

• Kapitel 11, ".NET Remoting-Sicherheit"

• Kapitel 12, "Datenzugriffssicherheit"

In jedem Kapitel wird die Sicherheitsarchitektur in Bezug auf die jeweilige Technologie kurz umrissen. Für jede Technologie werden Authentifizierungs- und Autorisierungsstrategien erläutert, ebenso wie konfigurierbare Sicherheitsoptionen, programmgesteuerte Sicherheitsoptionen sowie nachvollziehbare Empfehlungen hinsichtlich des geeigneten Zeitpunktes für eine Strategie.

In jedem Kapitel finden Sie fundierte Informationen, die Ihnen dabei helfen, die für die jeweilige Technologie am besten geeignete Option in Bezug auf Authentifizierung, Autorisierung und sichere Kommunikation zu implementieren. Außerdem enthält jedes Kapitel zusätzliche Informationen, die sich speziell auf die jeweilige Technologie beziehen. Am Ende jedes Kapitels finden Sie eine Zusammenfassung mit präzisen Empfehlungen.

Teil IV, Referenz

Dieser Referenzteil des Handbuches enthält zusätzliche Informationen, die Ihnen einen noch genaueren Einblick in die in den vorangegangenen Kapiteln erläuterten Techniken, Strategien und Sicherheitslösungen gewähren. In detaillierten Verfahrenshinweisen werden Verfahren Schritt für Schritt erklärt, mit denen spezifische Sicherheitslösungen implementiert werden können. Hier sind folgende Informationen enthalten:

• Kapitel 13, "Problembehandlung hinsichtlich der Sicherheit"

• "Vorgehensweisen"

• "Basiskonfiguration"

• "Konfigurationsspeicher und -tools"

• "Referenzliste"

• "Verfahrenshinweise"

• "Die technischen Grundlagen"

• "ASP.NET-Identitätsmatrix"

• "Kryptografie und Zertifikate"

• "Schützen der ASP.NET-Anwendung und -Webdienste"

 

Systemanforderungen

Dieses Handbuch unterstützt Sie beim Entwerfen und Erstellen sicherer ASP.NET-Anwendungen für Windows 2000 mit dem .NET Framework. Die Ausarbeitung war auf Version 1 von .NET Framework (mit Service Pack 2) ausgerichtet, obwohl die Konzepte und der Code für den Einsatz mit der nächsten .NET Framework-Version verwendet werden sollen. Dieses Handbuch ist eine Vorbereitung auf die neuen Sicherheitsfunktionen, die in der nächsten Version zur Verfügung stehen, sowie auf die zusätzlichen Funktionen, die Bestandteil von Windows .NET Server 2003 sind, dem Windows-Serverbetriebssystem der nächsten Generation von Microsoft.

Um die Verfahren in diesem Handbuch umsetzen zu können, benötigen Sie einen Computer, auf dem Windows XP Professional oder Windows 2000 Server SP3 installiert sind. Außerdem sind Visual Studio .NET, das .NET Framework (SP2) sowie SQL Server 2000 SP2 erforderlich.

Zur Implementierung einiger der erläuterten Lösungen ist ein zweiter Computer mit Windows 2000 Server SP3, Windows 2000 Advanced Server SP3 oder Windows 2000 DataCenter Server SP3 erforderlich.

 

Installieren der Beispieldateien

Die Beispieldateien können Sie von der Website zum Handbuch unter https://www.microsoft.com/mspress/guides/6501.asp (englischsprachig) herunterladeen. Wenn Sie die Beispieldateien herunterladen möchten, klicken Sie rechts auf der Webseite im Menü für weitere Informationen auf den Link "Companion Content". Daraufhin wird die Seite "Companion Content" (englischsprachig) geladen, die einen Link für den Download der Beispieldateien enthält.

 

Support

Es wurde großen Wert darauf gelegt, dass die Angaben in diesem Handbuch sowie auf der Seite "Companion Content" richtig sind. Wenn Sie Fragen haben oder Feedback zu den Inhalten abgeben möchten, senden Sie eine E-Mail an secguide@microsoft.com.