Wanneer gebruikt u Azure Web Application Firewall?

  • 8 minuten

U weet wat Azure Web Application Firewall is en hoe het werkt. U hebt nu enkele criteria nodig om te evalueren of Azure Web Application Firewall een geschikte keuze is voor uw bedrijf. Laten we eens kijken naar de volgende scenario's om u te helpen beslissen:

  • U hebt web-apps die gevoelige of bedrijfseigen gegevens bevatten
  • U hebt web-apps waarvoor gebruikers zich moeten aanmelden
  • Uw web-app-ontwikkelaars hebben geen beveiligingsexpertise
  • Uw web-app-ontwikkelaars hebben andere prioriteiten
  • U hebt budgetbeperkingen voor het ontwikkelen van web-apps
  • U hebt tijdsbeperkingen voor het ontwikkelen van web-apps
  • Uw web-app moet snel worden gebouwd en geïmplementeerd
  • De lancering van uw web-app zal veel aandacht krijgen.

Als onderdeel van uw Azure Web Application Firewall-evaluatie weet u dat Contoso in verschillende van deze scenario's past. Lees de bijbehorende secties voor meer informatie.

U hebt web-apps die gevoelige of bedrijfseigen gegevens bevatten

Sommige web-aanvallers zijn alleen gemotiveerd door de uitdaging om in te breken in een systeem. De meeste kwaadwillende hackers gebruiken echter injectie, protocolaanvallen en vergelijkbare aanvallen met het oog op de uitbetaling. Deze uitbetaling kan een van de volgende items zijn:

  • Creditcardnummers van klant
  • Gevoelige persoonlijke gegevens, zoals rijbewijsnummers of paspoortnummers
  • Eigendoms- of geheime bedrijfsgegevens

Een aanvaller kan deze gegevens rechtstreeks gebruiken. De gebruiker kan bijvoorbeeld items kopen met een gestolen creditcardnummer. Waarschijnlijker kan de aanvaller de gegevens echter verkopen in een criminele marketplace of de gegevens voor losgeld bewaren.

Als uw bedrijf een of meer web-apps uitvoert die gevoelige of bedrijfseigen gegevens opslaan, kan Azure Web Application Firewall deze gegevens beschermen tegen inbraak- en exfiltratiepogingen.

U hebt web-apps waarvoor gebruikers zich moeten aanmelden

Aanvallers van web-apps proberen vaak accountgebruikersnamen en wachtwoorden te verkrijgen. Het gebruik van gebruikersaccountreferenties is handig voor de aanvaller op de volgende manieren:

  • De aanvaller heeft toegang tot de app als geautoriseerde gebruiker.
  • De aanvaller kan mogelijk scripts of opdrachten uitvoeren met verhoogde bevoegdheden.
  • De aanvaller heeft mogelijk toegang tot andere onderdelen van het netwerk.
  • De aanvaller kan mogelijk de referenties van een account gebruiken om zich aan te melden bij andere sites en services.

Maakt uw bedrijf gebruik van web-apps waarvoor gebruikers zich moeten aanmelden? Azure Web Application Firewall kan aanvallen detecteren, zoals SQL-injectie en lokale bestandsopname, die proberen accountreferenties weer te geven of te stelen.

Belangrijk

Houd er rekening mee dat Azure Web Application Firewall slechts één aspect is van wat een multi-pronged netwerkbeveiligingsstrategie moet zijn. Voor aanmeldingsgegevens kan die strategie ook strenge wachtwoordvereisten bevatten en wachtwoorden in versleutelde vorm opslaan.

Uw web-app-ontwikkelaars hebben geen beveiligingsexpertise

Coderen op basis van het volledige scala aan potentiële aanvallen van web-apps vereist aanzienlijke expertise. Deze expertise omvat het hebben van gedetailleerde kennis van de volgende concepten:

  • De algemene structuur van HTTP/HTTPS-aanvragen en -antwoorden
  • Specifieke HTTP/HTTPS-aanvraagtypen, zoals GET, POST en PUT
  • URL- en UTF-codering
  • Gebruikersagenten, queryreeksen en andere variabelen
  • Opdrachten, paden, shells en vergelijkbare gegevens voor meerdere serverbesturingssystemen
  • Front-endwebtechnologieën, zoals HTML, CSS en JavaScript
  • Webtechnologieën aan de serverzijde, zoals SQL, PHP en gebruikerssessies

Wat gebeurt er als het webontwikkelingsteam van uw bedrijf geen kennis heeft in een of meer van deze concepten? In dat geval zijn uw web-apps kwetsbaar voor meerdere aanvallen. Azure Web Application Firewall wordt daarentegen onderhouden en bijgewerkt door een team van Microsoft-beveiligingsexperts.

Uw web-app-ontwikkelaars hebben andere prioriteiten

Het is onwaarschijnlijk dat uw bedrijf de web-apps implementeert voor het enige doel om aanvallen zoals SQL-injectie en uitvoering van externe opdrachten te dwarsbomen. Het is veel waarschijnlijker dat uw bedrijf een ander doel heeft voor de web-apps. Dit doel kan zijn om producten te verkopen, services te leveren of uw bedrijf te promoten.

De kans is groot dat uw webontwikkelingsteam zich richt op het vervullen van deze doeleinden in plaats van dat u robuuste app-beveiligingscode schrijft. Met Azure Web Application Firewall kunt u Microsoft de beveiliging laten beheren terwijl uw team zich richt op uw bedrijf.

U hebt budgetbeperkingen voor het ontwikkelen van web-apps

Het coderen in eigen huis tegen alle OWASP-exploits is een dure propositie:

  • Webontwikkelaars met de benodigde beveiligingsexpertise zijn relatief zeldzaam. Deze ontwikkelaars kunnen hogere salarissen aanleveren dan collega's die niet over dergelijke expertise beschikken.
  • Coderen op basis van het volledige scala aan aanvallen van web-apps is geen eenmalige propositie. Naarmate nieuwe of gewijzigde aanvallen bekend worden, moet uw team de beveiligingscode voortdurend onderhouden en bijwerken. Uw beveiligingsexperts moeten permanente leden van uw webontwikkelteam worden en een vast onderdeel van uw budget.

Azure Web Application Firewall is niet gratis. Het is echter mogelijk dat het een rendabelere oplossing is dan het inhuren van een team van fulltime webbeveiligingsexperts.

U hebt beperkingen voor ontwikkeltijd voor web-apps

Veel webontwikkelingsteams code in eigen huis tegen alle OWASP-aanvallen. De meeste van deze teams realiseren zich echter al snel dat het maken en onderhouden van deze code arbeidsintensief en tijdrovend is. Als u een krappe deadline probeert te halen om een nieuwe webapp te lanceren, zijn de duizenden persoonsuren die nodig zijn om de app te beschermen tegen alle OWASP-aanvallen een grote hindernis.

U kunt binnen enkele minuten een Azure Application Gateway-exemplaar of Azure Front Door-profiel configureren met Azure Web Application Firewall.

Uw web-app moet snel worden gebouwd en geïmplementeerd

Veel web-apps hebben niet het volledige ontwikkelingsproces nodig. Denk bijvoorbeeld aan de volgende twee app-typen:

  • proof-of-concept-: de app is alleen bedoeld om te bewijzen dat een techniek, voorstel of ontwerp haalbaar is.
  • Minimum viable product (MVP): de app bevat slechts voldoende functies die kunnen worden gebruikt door early adopters die feedback geven voor toekomstige versies.

Zowel proof-of-concept- als MVP-web-apps zijn bedoeld om snel te worden gemaakt en geïmplementeerd. In deze gevallen is het niet zinvol om handcode te gebruiken tegen veelvoorkomende aanvallen. U wilt deze apps nog steeds beschermen tegen kwaadwillende actoren, dus het is logisch om ze achter een webtoepassingsfirewall te plaatsen.

De lancering van uw webapp zal veel aandacht trekken.

Promoveert uw marketingteam binnenkort eento-be-uitgebrachte web-app? Plaatsen ze berichten op meerdere sociale mediaplatforms om vóór de release interesse te wekken in de app? Dat is geweldig, maar weet u wie er nog meer geïnteresseerd is in de release van uw app? Kwaadwillende gebruikers die besluiten de app-release te verstoren door enkele veelvoorkomende aanvallen op de app te starten.

Om onderbrekingen te voorkomen, kan het zinvol zijn om de web-app te beveiligen met Azure Web Application Firewall.