Wdrażanie bezpiecznych aplikacji na platformie Azure
W tym artykule przedstawimy działania i mechanizmy kontroli zabezpieczeń, które należy wziąć pod uwagę podczas wdrażania aplikacji dla chmury. Omówiono pytania i pojęcia dotyczące zabezpieczeń, które należy wziąć pod uwagę w fazach wydania i odpowiedzi cyklu projektowania zabezpieczeń firmy Microsoft (SDL ). Celem jest ułatwienie definiowania działań i usług platformy Azure, których można użyć do wdrożenia bezpieczniejszej aplikacji.
W tym artykule opisano następujące fazy SDL:
- Zwolnij
- Response
Zwolnij
Faza wydania jest gotowa do wydania publicznego. Obejmuje to planowanie sposobów efektywnego wykonywania zadań obsługi po wydaniu i reagowania na luki w zabezpieczeniach, które mogą wystąpić później.
Sprawdzanie wydajności aplikacji przed uruchomieniem
Sprawdź wydajność aplikacji przed jej uruchomieniem lub wdróż aktualizacje w środowisku produkcyjnym. Testowanie obciążenia platformy Azure umożliwia uruchamianie testów obciążeniowych opartych na chmurze w celu znalezienia problemów z wydajnością aplikacji, poprawy jakości wdrażania, upewnienia się, że aplikacja jest zawsze uruchomiona lub dostępna, oraz że aplikacja może obsługiwać ruch podczas uruchamiania.
Instalowanie zapory aplikacji internetowej
Aplikacje internetowe coraz częściej stają się obiektami złośliwych ataków wykorzystujących znane luki w zabezpieczeniach. Typowe wśród tych luk w zabezpieczeniach są ataki polegających na wstrzyknięciu kodu SQL i atakach skryptowych obejmujących wiele witryn. Zapobieganie tym atakom w kodzie aplikacji może być trudne. Może to wymagać rygorystycznej konserwacji, stosowania poprawek i monitorowania w wielu warstwach topologii aplikacji. Scentralizowana zapora aplikacji internetowej ułatwia zarządzanie zabezpieczeniami. Rozwiązanie zapory aplikacji internetowej może również reagować na zagrożenie bezpieczeństwa przez stosowanie poprawek znanych luk w zabezpieczeniach w centralnej lokalizacji w porównaniu z zabezpieczaniem poszczególnych aplikacji internetowych.
Zapora aplikacji internetowej bramy aplikacja systemu Azure zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach. Zapora aplikacji internetowej jest oparta na regułach z podstawowych zestawów reguł OWASP 3.0 lub 2.2.9.
Tworzenie planu reagowania na zdarzenia
Przygotowanie planu reagowania na zdarzenia ma kluczowe znaczenie dla rozwiązania nowych zagrożeń, które mogą pojawić się w czasie. Przygotowanie planu reagowania na zdarzenia obejmuje identyfikowanie odpowiednich kontaktów awaryjnych zabezpieczeń i ustanawianie planów obsługi zabezpieczeń dla kodu dziedziczonego z innych grup w organizacji i dla licencjonowanego kodu innej firmy.
Przeprowadzanie ostatecznego przeglądu zabezpieczeń
Celowo przeglądanie wszystkich działań zabezpieczeń, które zostały wykonane, pomaga zapewnić gotowość do wydania oprogramowania lub aplikacji. Ostateczny przegląd zabezpieczeń (FSR) zwykle obejmuje badanie modeli zagrożeń, danych wyjściowych narzędzi i wydajności względem bram jakości i pasków błędów, które zostały zdefiniowane w fazie wymagań.
Certyfikowanie wersji i archiwum
Certyfikowanie oprogramowania przed wydaniem pomaga zapewnić spełnienie wymagań dotyczących zabezpieczeń i prywatności. Archiwizowanie wszystkich odpowiednich danych jest niezbędne do wykonywania zadań obsługi po wydaniu. Archiwizowanie pomaga również obniżyć długoterminowe koszty związane z trwałą inżynierią oprogramowania.
Response
Faza odpowiedzi po wydaniu koncentruje się na możliwości i dostępności zespołu deweloperów, aby odpowiednio reagować na wszelkie raporty o pojawiających się zagrożeniach i lukach w zabezpieczeniach oprogramowania.
Wykonywanie planu reagowania na zdarzenia
Możliwość wdrożenia planu reagowania na zdarzenia ustanowionego w fazie wydania ma kluczowe znaczenie dla ochrony klientów przed lukami w zabezpieczeniach oprogramowania lub prywatności.
Monitorowanie wydajności aplikacji
Ciągłe monitorowanie aplikacji po jej wdrożeniu potencjalnie pomaga wykrywać problemy z wydajnością, a także luki w zabezpieczeniach.
Usługi platformy Azure, które pomagają w monitorowaniu aplikacji, to:
- Azure Application Insights
- Microsoft Defender for Cloud
Szczegółowe dane dotyczące aplikacji
Application Insights to rozszerzalna usługa zarządzania wydajnością aplikacji (APM) dla deweloperów sieci Web na wielu platformach. Użyj tej usługi do monitorowania aplikacji internetowej na żywo. Usługa Application Insights automatycznie wykrywa anomalie wydajności. Zawiera zaawansowane narzędzia analityczne ułatwiające diagnozowanie problemów i zrozumienie, co użytkownicy faktycznie robią z aplikacją. Usługa ta pomaga w ciągłym doskonaleniu wydajności i użyteczności tworzonych rozwiązań.
Microsoft Defender for Cloud
Microsoft Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie dzięki zwiększonemu wglądowi (i kontrolowaniu) bezpieczeństwa zasobów platformy Azure, w tym aplikacji internetowych. Microsoft Defender dla Chmury pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone. Działa z różnymi rozwiązaniami zabezpieczeń.
warstwa Bezpłatna Defender dla Chmury oferuje ograniczone zabezpieczenia tylko dla zasobów platformy Azure. Warstwa Defender dla Chmury Standardowa rozszerza te możliwości na zasoby lokalne i inne chmury. Defender dla Chmury Standard ułatwia:
- Znajdowanie i naprawianie luk w zabezpieczeniach.
- Stosowanie kontroli dostępu i aplikacji w celu blokowania złośliwych działań.
- Wykrywanie zagrożeń przy użyciu analizy i analizy.
- Szybko reagować, gdy jest atakowany.
Następne kroki
W poniższych artykułach zalecamy mechanizmy kontroli zabezpieczeń i działania, które mogą pomóc w projektowaniu i tworzeniu bezpiecznych aplikacji.