Condividi tramite

Distribuire applicazioni sicure in Azure

  • Articolo

In questo articolo vengono presentati i controlli e le attività di sicurezza da considerare quando si distribuiscono applicazioni per il cloud. L'articolo riguarda le domande e i concetti di sicurezza da considerare durante le fasi di rilascio e risposta di Microsoft Security Development Lifecycle (SDL). L'obiettivo è consentire di definire le attività e i servizi di Azure che è possibile usare per distribuire un'applicazione più sicura.

Questo articolo tratta le fasi di SDL seguenti:

  • Rilascio
  • Response

Rilascio

Lo scopo della fase di rilascio è preparare un progetto per il rilascio pubblico. Sono incluse le soluzioni per pianificare l'esecuzione efficace delle attività di manutenzione post-rilascio e affrontare le vulnerabilità di sicurezza che potrebbero verificarsi in seguito.

Verificare le prestazioni dell'applicazione prima del lancio

Verificare le prestazioni dell'applicazione prima di lanciarla o distribuire aggiornamenti nell'ambiente di produzione. Usare Test di carico di Azure per eseguire test di carico basati sul cloud al fine di individuare problemi di prestazioni nell'applicazione, migliorare la qualità della distribuzione e assicurarsi che l'applicazione sia sempre attiva o disponibile e che sia in grado di gestire il traffico per il lancio.

Installare un web application firewall

Le applicazioni Web sono sempre più vittime di attacchi che sfruttano le più comuni vulnerabilità note. Per citarne alcuni, tra i più comuni troviamo gli attacchi SQL injection e gli attacchi di scripting intersito (XSS). La prevenzione di tali attacchi nel codice dell'applicazione può rivelarsi problematica. Può richiedere una manutenzione rigorosa, l'applicazione di patch e il monitoraggio a più livelli della topologia dell'applicazione. Un WAF centralizzato consente di semplificare la gestione della sicurezza. Una soluzione WAF è anche in grado di reagire a una minaccia alla sicurezza tramite l'applicazione di patch su una vulnerabilità nota in una posizione centrale, anziché proteggere ogni singola applicazione Web.

La soluzione WAF del gateway applicazione di Azure offre protezione centralizzata da exploit e vulnerabilità comuni per le applicazioni Web. Il WAF si basa sulle regole di OWASP Core Rule Set 3.0 o 2.2.9.

Creare un piano di risposta agli eventi imprevisti

La preparazione di un piano di risposta agli incidenti è fondamentale per affrontare le nuove minacce che potrebbero emergere nel tempo. La preparazione di un piano di risposta agli incidenti include l'identificazione dei contatti di emergenza di sicurezza appropriati e la definizione di piani di manutenzione della sicurezza per il codice ereditato da altri gruppi nell'organizzazione e per il codice di terze parti concesso in licenza.

Eseguire una verifica finale della sicurezza

La revisione intenzionale di tutte le attività di sicurezza eseguite consente di garantire l'idoneità per il rilascio o l'applicazione del software. La revisione finale della sicurezza include in genere l'analisi dei modelli di minaccia, gli output degli strumenti e le prestazioni rispetto ai controlli di qualità e alle barre di bug definite nella fase dei requisiti.

Certificare il rilascio e l'archiviazione

La certificazione del software prima di un rilascio contribuisce a garantire che vengano soddisfatti i requisiti di sicurezza e privacy. L'archiviazione di tutti i dati pertinenti è essenziale per l'esecuzione di attività di manutenzione post-rilascio. L'archiviazione consente anche di ridurre i costi a lungo termine associati alle attività costanti di ingegneria del software.

Response

La fase post-rilascio di risposta è incentrata sulla capacità e la disponibilità del team di sviluppo di rispondere nel modo appropriato a qualsiasi report di minacce e vulnerabilità emergenti del software.

Attuare il piano di risposta agli incidenti

La possibilità di implementare il piano di risposta agli incidenti istituito nella fase di rilascio è essenziale per proteggere i clienti da vulnerabilità emergenti di sicurezza o privacy del software.

Monitorare le prestazioni dell'applicazione

Il monitoraggio continuo dell'applicazione dopo la distribuzione consente potenzialmente di rilevare i problemi di prestazioni e le vulnerabilità di sicurezza.

I servizi di Azure che supportano il monitoraggio delle applicazioni sono:

  • Azure Application Insights
  • Microsoft Defender for Cloud

Application Insights

Application Insights è un servizio estendibile di gestione delle prestazioni delle applicazioni per sviluppatori Web su più piattaforme, È possibile usarlo per monitorare l'applicazione Web live. Application Insights rileva automaticamente le anomalie nelle prestazioni Include strumenti di analisi potenti per diagnosticare i problemi e acquisire informazioni sul modo in cui l'app viene usata effettivamente dagli utenti. È progettato per favorire un costante miglioramento delle prestazioni e dell'usabilità.

Microsoft Defender for Cloud

Microsoft Defender per il cloud consente di prevenire, rilevare e rispondere alle minacce con maggiore visibilità e controllo della sicurezza delle risorse di Azure, incluse le applicazioni Web. Microsoft Defender per il cloud consente di rilevare le minacce che potrebbero altrimenti passare inosservate. È compatibile con varie soluzioni di sicurezza.

Il livello gratuito di Defender per il cloud offre sicurezza limitata solo per le risorse di Azure. Il livello Standard estende queste funzionalità ad altre risorse locali e in altri cloud. Defender per il cloud standard consente di:

  • Individuare e correggere le vulnerabilità di sicurezza.
  • Applicare i controlli di accesso e delle applicazioni per bloccare le attività dannose.
  • Rilevare le minacce usando l'analisi e l'intelligenza.
  • Rispondere rapidamente in caso di attacco.

Passaggi successivi

Negli articoli seguenti si consigliano controlli di sicurezza e attività che consentono di progettare e sviluppare applicazioni sicure.