Azure Service Fabric-SicherheitAzure Service Fabric security

Weitere Informationen zu den bewährten Methoden in Bezug auf die Azure-Sicherheit finden Sie unter Bewährte Methoden für die Azure Service Fabric-Sicherheit.For more information about Azure Security Best Practices, review Azure Service Fabric security best practices

Key VaultKey Vault

Azure Key Vault ist der empfohlene Dienst für die Verwaltung von Geheimnissen für Azure Service Fabric-Anwendungen und -Cluster.Azure Key Vault is the recommended secrets management service for Azure Service Fabric applications and clusters.

Hinweis

Wenn Zertifikate/Geheimnisse aus einem Schlüsseltresor (Key Vault) in einer VM-Skalierungsgruppe als zugehöriges Geheimnis bereitgestellt werden, müssen sich der Key Vault und die VM-Skalierungsgruppe in derselben Region befinden.If certificates/secrets from a Key Vault are deployed to a Virtual Machine Scale Set as a Virtual Machine Scale Set Secret, then the Key Vault and Virtual Machine Scale Set must be co-located.

Erstellen eines von einer Zertifizierungsstelle ausgestellten Service Fabric-ZertifikatsCreate certificate authority issued Service Fabric certificate

Ein Azure Key Vault-Zertifikat kann entweder erstellt oder in einen Key Vault importiert werden.An Azure Key Vault certificate can be either created or imported into a Key Vault. Wenn ein Key Vault-Zertifikat erstellt wird, wird der private Schlüssel innerhalb des Schlüsseltresors erstellt und niemals für den Zertifikatsinhaber verfügbar gemacht.When a Key Vault certificate is created, the private key is created inside the Key Vault and never exposed to the certificate owner. Hier sind die Möglichkeiten zum Erstellen eines Zertifikats in Key Vault angegeben:Here are the ways to create a certificate in Key Vault:

  • Erstellen Sie ein selbstsigniertes Zertifikat, um ein öffentlich-privates Schlüsselpaar zu erstellen und einem Zertifikat zuzuordnen.Create a self-signed certificate to create a public-private key pair and associate it with a certificate. Das Zertifikat wird mit einem eigenen Schlüssel signiert.The certificate will be signed by its own key.
  • Erstellen Sie manuell ein neues Zertifikat, um ein öffentlich-privates Schlüsselpaar zu erstellen und die Anforderung einer X.509-Zertifikatsignatur zu generieren.Create a new certificate manually to create a public-private key pair and generate an X.509 certificate signing request. Die Signaturanforderung kann von Ihrer Registrierungs- oder Zertifizierungsstelle signiert werden.The signing request can be signed by your registration authority or certification authority. Das signierte x509-Zertifikat lässt sich dann mit dem ausstehenden Schlüsselpaar zusammenführen, um das KV-Zertifikat in Key Vault zu vervollständigen.The signed x509 certificate can be merged with the pending key pair to complete the KV certificate in Key Vault. Obwohl diese Methode mehr Schritte erfordert, bietet sie Ihnen mehr Sicherheit, da der private Schlüssel in Key Vault erstellt und darauf beschränkt wird.Although this method requires more steps, it does provide you with greater security because the private key is created in and restricted to Key Vault. Dies wird im folgenden Diagramm erläutert.This is explained in the diagram below.

Weitere Informationen finden Sie unter Methoden für die Zertifikaterstellung.Review Azure Keyvault Certificate Creation Methods for additional details.

Bereitstellen von Key Vault-Zertifikaten für VM-Skalierungsgruppen von Service Fabric-ClusternDeploy Key Vault certificates to Service Fabric cluster virtual machine scale sets

Verwenden Sie zum Bereitstellen von Zertifikaten aus einem in derselben Region angeordneten Schlüsseltresor in einer VM-Skalierungsgruppe die VM-Skalierungsgruppe osProfile.To deploy certificates from a co-located keyvault to a Virtual Machine Scale Set, use Virtual Machine Scale Set osProfile. Hier sind die Eigenschaften von Resource Manager-Vorlagen aufgeführt:The following are the Resource Manager template properties:

"secrets": [
   {
       "sourceVault": {
           "id": "[parameters('sourceVaultValue')]"
       },
       "vaultCertificates": [
          {
              "certificateStore": "[parameters('certificateStoreValue')]",
              "certificateUrl": "[parameters('certificateUrlValue')]"
          }
       ]
   }
]

Hinweis

Für den Tresor muss die Bereitstellung von Resource Manager-Vorlagen aktiviert sein.The vault must be enabled for Resource Manager template deployment.

Anwenden einer Zugriffssteuerungsliste (Access Control List, ACL) auf Ihr Zertifikat für Ihren Service Fabric-ClusterApply an Access Control List (ACL) to your certificate for your Service Fabric cluster

Der Microsoft.Azure.ServiceFabric-Herausgeber für VM-Skalierungsgruppenerweiterungen wird verwendet, um Ihre Knotensicherheit zu konfigurieren.Virtual Machine Scale Set extensions publisher Microsoft.Azure.ServiceFabric is used to configure your Nodes Security. Verwenden Sie die folgenden Resource Manager-Vorlageneigenschaften, um eine ACL auf die Zertifikate für Ihre Service Fabric-Clusterprozesse anzuwenden:To apply an ACL to your certificates for your Service Fabric Cluster processes, use the following Resource Manager template properties:

"certificate": {
   "commonNames": [
       "[parameters('certificateCommonName')]"
   ],
   "x509StoreName": "[parameters('certificateStoreValue')]"
}

Schützen eines Service Fabric-Clusterzertifikats anhand eines allgemeinen NamensSecure a Service Fabric cluster certificate by common name

Verwenden Sie die Resource Manager-Vorlageneigenschaft certificateCommonNames wie folgt, um Ihren Service Fabric-Cluster anhand des Zertifikats Common Name zu schützen:To secure your Service Fabric cluster by certificate Common Name, use the Resource Manager template property certificateCommonNames, as follows:

"certificateCommonNames": {
    "commonNames": [
        {
            "certificateCommonName": "[parameters('certificateCommonName')]",
            "certificateIssuerThumbprint": "[parameters('certificateIssuerThumbprint')]"
        }
    ],
    "x509StoreName": "[parameters('certificateStoreValue')]"
}

Hinweis

Für Service Fabric-Cluster wird das erste gültige Zertifikat verwendet, das im Zertifikatspeicher Ihres Hosts gefunden wird.Service Fabric clusters will use the first valid certificate it finds in your host's certificate store. Unter Windows ist dies das Zertifikat mit dem spätesten Ablaufdatum, das mit Ihrem allgemeinen Namen und dem Fingerabdruck des Ausstellers übereinstimmt.On Windows, this will be the certificate with the latest expiring date that matches your Common Name and Issuer thumbprint.

Azure-Domänen, z.B. „*<IHRE UNTERDOMÄNE>.cloudapp.azure.com“ oder „<IHRE UNTERDOMÄNE>.trafficmanager.net“, befinden sich im Besitz von Microsoft.Azure domains, such as *<YOUR SUBDOMAIN>.cloudapp.azure.com or <YOUR SUBDOMAIN>.trafficmanager.net, are owned by Microsoft. Zertifizierungsstellen stellen für nicht berechtigte Benutzer keine Zertifikate für Domänen aus.Certificate Authorities will not issue certificates for domains to unauthorized users. Die meisten Benutzer müssen eine Domäne von einer Registrierungsstelle erwerben oder ein autorisierter Domänenadministrator für eine Zertifizierungsstelle sein, um für Sie ein Zertifikat mit diesem allgemeinen Namen ausstellen zu können.Most users will need to purchase a domain from a registrar, or be an authorized domain admin, for a certificate authority to issue you a certificate with that common name.

Weitere Informationen dazu, wie Sie den DNS-Dienst zum Auflösen Ihrer Domäne in eine Microsoft-IP-Adresse konfigurieren, finden Sie in der Anleitung zur Konfiguration von Azure DNS zum Hosten Ihrer Domäne.For additional details on how to configure DNS Service to resolve your domain to a Microsoft IP address, review how to configure Azure DNS to host your domain.

Hinweis

Nachdem Sie Ihre Domänennamenserver an Ihre Azure DNS-Zonennamenserver delegiert haben, können Sie Ihrer DNS-Zone die beiden folgenden Einträge hinzufügen:After delegating your domains name servers to your Azure DNS zone name servers, add the following two records to your DNS Zone:

  • Einen A-Eintrag für den Domänen-APEX, bei dem es sich NICHT um ein Alias record set für alle IP-Adressen handelt, die von Ihrer benutzerdefinierten Domäne aufgelöst werden.An 'A' record for domain APEX that is NOT an Alias record set to all IP Addresses your custom domain will resolve.
  • Einen C-Eintrag für von Ihnen bereitgestellte Microsoft-Unterdomänen, bei denen es sich NICHT um ein Alias record set handelt.A 'C' record for Microsoft sub domains you provisioned that are NOT an Alias record set. Sie können beispielsweise den DNS-Namen Ihrer Traffic Manager-Instanz oder Ihres Load Balancers verwenden.For example, you could use your Traffic Manager or Load Balancer's DNS name.

Aktualisieren Sie die folgenden Resource Manager-Vorlageneigenschaften für den Service Fabric-Cluster, damit in Ihrem Portal ein benutzerdefinierter DNS-Name für den "managementEndpoint" Ihres Service Fabric-Clusters angezeigt wird:To update your portal to display a custom DNS name for your Service Fabric Cluster "managementEndpoint", update the follow Service Fabric Cluster Resource Manager template properties:

 "managementEndpoint": "[concat('https://<YOUR CUSTOM DOMAIN>:',parameters('nt0fabricHttpGatewayPort'))]",

Verschlüsseln der Geheimniswerte von Service Fabric-PaketenEncrypting Service Fabric package secret values

Allgemeine Werte, die in Service Fabric-Paketen verschlüsselt werden, umfassen ACR-Anmeldeinformationen (Azure Container Registry), Umgebungsvariablen, Einstellungen und Speicherkontoschlüssel für Azure-Volume-Plug-Ins.Common values that are encrypted in Service Fabric Packages include Azure Container Registry (ACR) credentials, environment variables, settings, and Azure Volume plugin storage account keys.

Gehen Sie wie folgt vor, um ein Verschlüsselungszertifikat einzurichten und Geheimnisse in Windows-Clustern zu verschlüsseln:To set up an encryption certificate and encrypt secrets on Windows clusters:

Generieren Sie ein selbstsigniertes Zertifikat zum Verschlüsseln Ihres Geheimnisses:Generate a self-signed certificate for encrypting your secret:

New-SelfSignedCertificate -Type DocumentEncryptionCert -KeyUsage DataEncipherment -Subject mydataenciphermentcert -Provider 'Microsoft Enhanced Cryptographic Provider v1.0'

Befolgen Sie die Anleitung unter Bereitstellen von Key Vault-Zertifikaten für VM-Skalierungsgruppen von Service Fabric-Clustern, um Key Vault-Zertifikate für die VM-Skalierungsgruppen Ihres Service Fabric-Clusters bereitzustellen.Use the instructions in Deploy Key Vault certificates to Service Fabric cluster virtual machine scale sets to deploy Key Vault Certificates to your Service Fabric Cluster's Virtual Machine Scale Sets.

Verschlüsseln Sie Ihr Geheimnis mit dem folgenden PowerShell-Befehl, und aktualisieren Sie Ihr Service Fabric-Anwendungsmanifest anschließend mit dem verschlüsselten Wert:Encrypt your secret using the following PowerShell command, and then update your Service Fabric application manifest with the encrypted value:

Invoke-ServiceFabricEncryptText -CertStore -CertThumbprint "<thumbprint>" -Text "mysecret" -StoreLocation CurrentUser -StoreName My

Gehen Sie wie folgt vor, um ein Verschlüsselungszertifikat einzurichten und Geheimnisse in Linux-Clustern zu verschlüsseln:To set up an encryption certificate and encrypt secrets on Linux clusters:

Generieren Sie ein selbstsigniertes Zertifikat zum Verschlüsseln Ihrer Geheimnisse:Generate a self-signed certificate for encrypting your secrets:

user@linux:~$ openssl req -newkey rsa:2048 -nodes -keyout TestCert.prv -x509 -days 365 -out TestCert.pem
user@linux:~$ cat TestCert.prv >> TestCert.pem

Befolgen Sie die Anleitung unter Bereitstellen von Key Vault-Zertifikaten für VM-Skalierungsgruppen von Service Fabric-Clustern, um dies für die VM-Skalierungsgruppen Ihres Service Fabric-Clusters durchzuführen.Use the instructions in Deploy Key Vault certificates to Service Fabric cluster virtual machine scale sets to your Service Fabric Cluster's Virtual Machine Scale Sets.

Verschlüsseln Sie Ihr Geheimnis mit den folgenden Befehlen, und aktualisieren Sie Ihr Service Fabric-Anwendungsmanifest anschließend mit dem verschlüsselten Wert:Encrypt your secret using the following commands, and then update your Service Fabric Application Manifest with the encrypted value:

user@linux:$ echo "Hello World!" > plaintext.txt
user@linux:$ iconv -f ASCII -t UTF-16LE plaintext.txt -o plaintext_UTF-16.txt
user@linux:$ openssl smime -encrypt -in plaintext_UTF-16.txt -binary -outform der TestCert.pem | base64 > encrypted.txt

Nachdem Sie Ihre geschützten Werte verschlüsselt haben, können Sie verschlüsselte Geheimnisse in der Service Fabric-Anwendung angeben und verschlüsselte Geheimnisse aus dem Dienstcode entschlüsseln.After encrypting your protected values, specify encrypted secrets in Service Fabric Application, and decrypt encrypted secrets from service code.

Einbinden eines Zertifikats in Service Fabric-AnwendungenInclude certificate in Service Fabric applications

Um Ihrer Anwendung Zugriff auf Geheimnisse zu gewähren, binden Sie das Zertifikat ein, indem Sie ein SecretsCertificate-Element zum Anwendungsmanifest hinzufügen.To give your application access to secrets, include the certificate by adding a SecretsCertificate element to the application manifest.

<ApplicationManifest … >
  ...
  <Certificates>
    <SecretsCertificate Name="MyCert" X509FindType="FindByThumbprint" X509FindValue="[YourCertThumbrint]"/>
  </Certificates>
</ApplicationManifest>

Authentifizieren von Service Fabric-Anwendungen für Azure-Ressourcen per verwalteter Dienstidentität (Managed Service Identity, MSI)Authenticate Service Fabric applications to Azure Resources using Managed Service Identity (MSI)

Informationen zu verwalteten Identitäten für Azure-Ressourcen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.To learn about managed identities for Azure resources, see What is managed identities for Azure resources?. Azure Service Fabric-Cluster werden in VM-Skalierungsgruppen gehostet, die die verwaltete Dienstidentität unterstützen.Azure Service Fabric clusters are hosted on Virtual Machine Scale Sets, which support Managed Service Identity. Eine Liste mit Diensten, für die MSI für die Authentifizierung genutzt werden kann, finden Sie unter Azure-Dienste, die die Azure AD-Authentifizierung unterstützen.To get a list of services that MSI can be used to authenticate to, see Azure Services that support Azure Active Directory Authentication.

Deklarieren Sie die folgende "Microsoft.Compute/virtualMachinesScaleSets"-Eigenschaft, um die vom System zugewiesene verwaltete Identität bei der Erstellung einer VM-Skalierungsgruppe oder in einer vorhandenen VM-Skalierungsgruppe zu aktivieren:To enable system assigned managed identity during the creation of a virtual machines scale set or an existing virtual machines scale set, declare the following "Microsoft.Compute/virtualMachinesScaleSets" property:

"identity": { 
    "type": "SystemAssigned"
}

Weitere Informationen finden Sie unter Was sind verwaltete Identitäten für Azure-Ressourcen?.See What is managed identities for Azure resources? for more information.

Gehen Sie wie folgt vor, wenn Sie eine vom Benutzer zugewiesene verwaltete Identität erstellt haben: Deklarieren Sie die folgende Ressource in Ihrer Vorlage, um sie Ihrer VM-Skalierungsgruppe zuzuweisen.If you created a user-assigned managed identity, declare the following resource in your template to assign it to your virtual machine scale set. Ersetzen Sie \<USERASSIGNEDIDENTITYNAME\> durch den Namen der vom Benutzer zugewiesenen verwalteten Identität, die Sie erstellt haben:Replace \<USERASSIGNEDIDENTITYNAME\> with the name of the user-assigned managed identity you created:

"identity": {
    "type": "userAssigned",
    "userAssignedIdentities": {
        "[resourceID('Microsoft.ManagedIdentity/userAssignedIdentities/',variables('<USERASSIGNEDIDENTITYNAME>'))]": {}
    }
}

Bevor Ihre Service Fabric-Anwendung eine verwaltete Identität nutzen kann, müssen den Azure-Ressourcen die Berechtigungen gewährt werden, die für die Authentifizierung erforderlich sind.Before your Service Fabric application can make use of a managed identity, permissions must be granted to the Azure Resources it needs to authenticate with. Mit den folgenden Befehlen wird der Zugriff auf eine Azure-Ressource gewährt:The following commands grant access to an Azure Resource:

principalid=$(az resource show --id /subscriptions/<YOUR SUBSCRIPTON>/resourceGroups/<YOUR RG>/providers/Microsoft.Compute/virtualMachineScaleSets/<YOUR SCALE SET> --api-version 2018-06-01 | python -c "import sys, json; print(json.load(sys.stdin)['identity']['principalId'])")

az role assignment create --assignee $principalid --role 'Contributor' --scope "/subscriptions/<YOUR SUBSCRIPTION>/resourceGroups/<YOUR RG>/providers/<PROVIDER NAME>/<RESOURCE TYPE>/<RESOURCE NAME>"

Rufen Sie in Ihrem Service Fabric-Anwendungscode ein Zugriffstoken für Azure Resource Manager ab, indem Sie beispielsweise einen REST-Aufruf wie den folgenden durchführen:In your Service Fabric application code, obtain an access token for Azure Resource Manager by making a REST all similar to the following:

access_token=$(curl 'http://169.254.169.254/metadata/identity/oauth2/token?api-version=2018-02-01&resource=https%3A%2F%2Fmanagement.azure.com%2F' -H Metadata:true | python -c "import sys, json; print json.load(sys.stdin)['access_token']")

Ihre Service Fabric-App kann das Zugriffstoken dann zum Authentifizieren gegenüber Azure-Ressourcen verwenden, die Active Directory unterstützen.Your Service Fabric app can then use the access token to authenticate to Azure Resources that support Active Directory. Im folgenden Beispiel ist dargestellt, wie Sie dies für die Cosmos DB-Ressource durchführen:The following example shows how to do this for Cosmos DB resource:

cosmos_db_password=$(curl 'https://management.azure.com/subscriptions/<YOUR SUBSCRIPTION>/resourceGroups/<YOUR RG>/providers/Microsoft.DocumentDB/databaseAccounts/<YOUR ACCOUNT>/listKeys?api-version=2016-03-31' -X POST -d "" -H "Authorization: Bearer $access_token" | python -c "import sys, json; print(json.load(sys.stdin)['primaryMasterKey'])")

Windows-SicherheitsbaselinesWindows security baselines

Es empfiehlt sich, eine branchenübliche Konfiguration zu implementieren, die allgemein bekannt ist und ausführlich getestet wurde (beispielsweise Microsoft-Sicherheitsbaselines), anstatt eine eigene Baseline zu erstellen. Zur Bereitstellung für Ihre VM-Skalierungsgruppen können Sie beispielsweise den Azure-DSC-Erweiterungshandler (Desired State Configuration) verwenden, um die virtuellen Computer zu konfigurieren, sobald sie online geschaltet werden, damit auf ihnen die Produktionssoftware ausgeführt wird.We recommend that you implement an industry-standard configuration that is broadly known and well-tested, such as Microsoft security baselines, as opposed to creating a baseline yourself; an option for provisioning these on your Virtual Machine Scale Sets is to use Azure Desired State Configuration (DSC) extension handler, to configure the VMs as they come online, so they are running the production software.

Azure FirewallAzure Firewall

Azure Firewall ist ein verwalteter, cloudbasierter Netzwerksicherheitsdienst zum Schutz Ihrer Azure Virtual Network-Ressourcen. Hierbei handelt es sich um eine vollständig zustandsbehaftete Firewall-as-a-Service mit integrierter Hochverfügbarkeit und uneingeschränkter Cloudskalierbarkeit. Dadurch lässt sich ausgehender HTTP/S-Datenverkehr auf eine Liste vollständig qualifizierter Domänennamen (Fully Qualified Domain Names, FQDNs) einschließlich Platzhaltern beschränken.Azure Firewall is a managed, cloud-based network security service that protects your Azure Virtual Network resources. It is a fully stateful firewall as a service with built-in high availability and unrestricted cloud scalability.; this enables the ability to limit outbound HTTP/S traffic to a specified list of fully qualified domain names (FQDN) including wild cards. Diese Funktion erfordert keine SSL-Terminierung.This feature does not require SSL termination. Es wird empfohlen, FQDN-Tags von Azure Firewall für Windows-Updates zu nutzen und Netzwerkdatenverkehr für Microsoft Windows Update-Endpunkte zu aktivieren, damit dieser Ihre Firewall passieren kann.Its recommended that you leverage Azure Firewall FQDN tags for Windows Updates, and to enable network traffic to Microsoft Windows Update endpoints can flow through your firewall. Der Artikel Bereitstellen von Azure Firewall mit einer Vorlage enthält ein Beispiel für die Definition einer Microsoft.Network/azureFirewalls-Ressourcenvorlage.Deploy Azure Firewall using a template provides a sample for Microsoft.Network/azureFirewalls resource template definition. Firewallregeln für Service Fabric-Anwendungen erlauben häufig Folgendes für das virtuelle Netzwerk Ihrer Cluster:Firewall rules common to Service Fabric Applications is to allow the following for your clusters virtual network:

  • *download.microsoft.com*download.microsoft.com
  • *servicefabric.azure.com*servicefabric.azure.com
  • *.core.windows.net*.core.windows.net

Diese Firewallregeln ergänzen Ihre zulässigen ausgehenden Netzwerksicherheitsgruppen, die Service Fabric und Storage als zulässige Ziele aus Ihrem virtuellen Netzwerk enthalten.These firewall rules complement your allowed outbound Network Security Groups, that would include ServiceFabric and Storage, as allowed destinations from your virtual network.

TLS 1.2TLS 1.2

TSGTSG

Windows DefenderWindows Defender

Standardmäßig ist Windows Defender Antivirus unter Windows Server 2016 installiert.By default, Windows Defender antivirus is installed on Windows Server 2016. Weitere Informationen finden Sie unter Windows Defender Antivirus auf Windows Server2016.For details, see Windows Defender Antivirus on Windows Server 2016. Die Benutzeroberfläche wird bei einigen SKUs standardmäßig installiert, aber dies ist keine erforderliche Komponente.The user interface is installed by default on some SKUs, but is not required. Gehen Sie wie folgt vor, um durch Windows Defender verursachte Leistungsbeeinträchtigungen und Erhöhungen des Ressourcenverbrauchs zu verringern (und falls Ihre Sicherheitsrichtlinien es zulassen, Prozesse und Pfade für Open-Source-Software auszuschließen): Deklarieren Sie die folgenden Resource Manager-Vorlageneigenschaften für die VM-Skalierungsgruppenerweiterung, um Ihren Service Fabric-Cluster von Scanvorgängen auszuschließen:To reduce any performance impact and resource consumption overhead incurred by Windows Defender, and if your security policies allow you to exclude processes and paths for open-source software, declare the following Virtual Machine Scale Set Extension Resource Manager template properties to exclude your Service Fabric cluster from scans:

 {
    "name": "[concat('VMIaaSAntimalware','_vmNodeType0Name')]",
    "properties": {
        "publisher": "Microsoft.Azure.Security",
        "type": "IaaSAntimalware",
        "typeHandlerVersion": "1.5",
        "settings": {
            "AntimalwareEnabled": "true",
            "Exclusions": {
                "Paths": "[concat(parameters('svcFabData'), ';', parameters('svcFabLogs'), ';', parameters('svcFabRuntime'))]",
                "Processes": "Fabric.exe;FabricHost.exe;FabricInstallerService.exe;FabricSetup.exe;FabricDeployer.exe;ImageBuilder.exe;FabricGateway.exe;FabricDCA.exe;FabricFAS.exe;FabricUOS.exe;FabricRM.exe;FileStoreService.exe"
            },
            "RealtimeProtectionEnabled": "true",
            "ScheduledScanSettings": {
                "isEnabled": "true",
                "scanType": "Quick",
                "day": "7",
                "time": "120"
            }
        },
        "protectedSettings": null
    }
}

Hinweis

Sehen Sie sich in der Dokumentation zu Ihrer Antischadsoftware-Anwendung die Konfigurationsregeln an, falls Sie Windows Defender nicht nutzen.Refer to your Antimalware documentation for configuration rules if you are not using Windows Defender. Windows Defender wird unter Linux nicht unterstützt.Windows Defender isn't supported on Linux.

PlattformisolationPlatform Isolation

Standardmäßig wird Service Fabric-Anwendungen Zugriff auf die Service Fabric-Runtime selbst gewährt, was sich auf unterschiedliche Arten zeigt: Umgebungsvariablen, die auf Dateipfade der Anwendungs- und Fabric-Dateien auf dem Host verweisen, ein Endpunkt für die Kommunikation zwischen Prozessen, der anwendungsspezifische Anforderungen akzeptiert, und das Clientzertifikat, das Fabric erwartet, wenn sich die Anwendung selbst authentifiziert.By default, Service Fabric applications are granted access to the Service Fabric runtime itself, which manifests itself in different forms: environment variables pointing to file paths on the host corresponding to application and Fabric files, an inter-process communication endpoint which accepts application-specific requests, and the client certificate which Fabric expects the application to use to authenticate itself. Falls der Dienst selbst nicht vertrauenswürdigen Code hostet, ist es ratsam, diesen Zugriff auf die Service Fabric-Runtime zu deaktivieren – sofern er nicht ausdrücklich erforderlich ist.In the eventuality that the service hosts itself untrusted code, it is advisable to disable this access to the SF runtime - unless explicitly needed. Der Zugriff auf die Runtime wird durch die folgende Deklaration im Abschnitt „Policies“ des Anwendungsmanifests aufgehoben:Access to the runtime is removed using the following declaration in the Policies section of the application manifest:

<ServiceManifestImport>
    <Policies>
        <ServiceFabricRuntimeAccessPolicy RemoveServiceFabricRuntimeAccess="true"/>
    </Policies>
</ServiceManifestImport>

Nächste SchritteNext steps