Sdílet prostřednictvím


Nasazení zabezpečených aplikací v Azure

V tomto článku prezentujeme aktivity zabezpečení a kontrolní mechanismy, které je potřeba vzít v úvahu při nasazování aplikací pro cloud. Otázky a koncepty zabezpečení, které je potřeba vzít v úvahu ve fázích vydávání verzí a odpovědí životního cyklu SDL (Microsoft Security Development Lifecycle). Cílem je pomoct definovat aktivity a služby Azure, které můžete použít k nasazení bezpečnější aplikace.

V tomto článku jsou popsané následující fáze SDL:

  • Verze
  • Response

Verze

Cílem fáze vydání je příprava projektu pro veřejnou verzi. To zahrnuje způsoby plánování efektivního provádění servisních úloh po vydání a řešení ohrožení zabezpečení, ke kterým může dojít později.

Před spuštěním zkontrolujte výkon aplikace.

Než aplikaci spustíte nebo nasadíte aktualizace do produkčního prostředí, zkontrolujte její výkon. Pomocí zátěžového testování Azure můžete spouštět cloudové zátěžové testy , abyste zjistili problémy s výkonem vaší aplikace, zlepšili kvalitu nasazení, zajistili, že je vaše aplikace vždy v provozu nebo je dostupná a že vaše aplikace dokáže zpracovat provoz při spuštění.

Instalace firewallu webových aplikací

Webové aplikace se čím dál častěji stávají cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení. Mezi tyto zneužití patří útoky prostřednictvím injektáže SQL a skriptování mezi weby. Zabránění těmto útokům v kódu aplikace může být náročné. Může vyžadovat důkladnou údržbu, opravy a monitorování v mnoha vrstvách topologie aplikace. Centralizovaný WAF pomáhá zjednodušit správu zabezpečení. Řešení WAF může také reagovat na bezpečnostní hrozbu opravou známého ohrožení zabezpečení v centrálním umístění a zabezpečením jednotlivých webových aplikací.

WaF brány Aplikace Azure lication poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF je založen na pravidlech ze základních sad pravidel OWASP 3.0 nebo 2.2.9.

Vytvoření plánu reakcí na incidenty

Příprava plánu reakce na incidenty je zásadní, aby vám pomohla řešit nové hrozby, které se můžou v průběhu času objevit. Příprava plánu reakce na incidenty zahrnuje identifikaci vhodných kontaktů tísňového volání zabezpečení a vytvoření plánů údržby zabezpečení pro kód zděděný z jiných skupin v organizaci a pro licencovaný kód třetí strany.

Provedení závěrečné kontroly zabezpečení

Úmyslně zkontrolujte všechny aktivity zabezpečení, které byly provedeny, pomáhá zajistit připravenost pro vaši verzi softwaru nebo aplikaci. Konečná kontrola zabezpečení (FSR) obvykle zahrnuje zkoumání modelů hrozeb, výstupů nástrojů a výkonu proti branám kvality a pruhům chyb definovaným ve fázi požadavků.

Certifikace vydané verze a archivu

Certifikace softwaru před vydáním pomáhá zajistit splnění požadavků na zabezpečení a ochranu osobních údajů. Archivace všech relevantních dat je nezbytná pro provádění servisních úloh po vydání. Archivace také pomáhá snižovat dlouhodobé náklady spojené s trvalou softwarovou technikou.

Response

Reakce po vydání fáze se soustředí na schopnost a dostupnost vývojového týmu, aby správně reagovala na všechny zprávy o vznikajících softwarových hrozbách a ohroženích zabezpečení.

Spuštění plánu reakce na incidenty

Schopnost implementovat plán reakce na incidenty zavedený ve fázi vydání je nezbytné k ochraně zákazníků před zabezpečením softwaru nebo ohroženími zabezpečení osobních údajů, které se objevují.

Monitorování výkonu aplikací

Průběžné monitorování aplikace po nasazení vám může pomoct odhalit problémy s výkonem a také ohrožení zabezpečení.

Služby Azure, které pomáhají s monitorováním aplikací, jsou:

  • Azure Application Insights
  • Microsoft Defender for Cloud

Application Insights

Application Insights je rozšiřitelná služba APM (Application Performance Management) pro webové vývojáře na více platformách. Slouží k monitorování živé webové aplikace. Application Insights automaticky detekuje anomálie výkonu. Obsahuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, co uživatelé ve skutečnosti s vaší aplikací dělají. Je navržená tak, aby pomáhala průběžně vylepšovat výkon a možnosti využití.

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně, a to se zvýšenou viditelností (a kontrolou) zabezpečení vašich prostředků Azure, včetně webových aplikací. Microsoft Defender for Cloud pomáhá zjišťovat hrozby, které by jinak nemusely být nepozorované. Funguje s různými řešeními zabezpečení.

Úroveň Free v defenderu for Cloud nabízí omezené zabezpečení jenom pro prostředky Azure. Úroveň Defender for Cloud Standard rozšiřuje tyto možnosti na místní prostředky a další cloudy. Defender for Cloud Standard vám pomůže:

  • Vyhledejte a opravte ohrožení zabezpečení.
  • Využijte ovládání přístupu a aplikací k blokování škodlivých aktivit.
  • Detekce hrozeb pomocí analýz a inteligentních funkcí
  • Rychle reagovat při útoku.

Další kroky

V následujících článcích doporučujeme kontrolní mechanismy zabezpečení a aktivity, které vám pomůžou navrhovat a vyvíjet zabezpečené aplikace.