Kiedy używać usługi Azure Web Application Firewall

  • 8 min

Wiesz, czym jest usługa Azure Web Application Firewall i jak działa. Teraz potrzebujesz pewnych kryteriów, aby ocenić, czy usługa Azure Web Application Firewall jest odpowiednim wyborem dla twojej firmy. Aby ułatwić podjęcie decyzji, rozważmy następujące scenariusze:

  • Masz aplikacje internetowe zawierające poufne lub zastrzeżone dane
  • Masz aplikacje internetowe, które wymagają od użytkowników logowania
  • Deweloperzy aplikacji internetowej nie mają wiedzy na temat zabezpieczeń
  • Deweloperzy aplikacji internetowej mają inne priorytety
  • Masz ograniczenia budżetu tworzenia aplikacji internetowej
  • Masz ograniczenia czasu programowania aplikacji internetowej
  • Aplikacja internetowa musi być szybko skompilowana i wdrożona
  • Premiera aplikacji internetowej będzie miała duży rozgłos

W ramach oceny usługi Azure Web Application Firewall wiesz, że firma Contoso pasuje do kilku z tych scenariuszy. Przeczytaj odpowiednie sekcje, aby uzyskać więcej informacji.

Masz aplikacje internetowe zawierające poufne lub zastrzeżone dane

Niektórzy atakujący są zmotywowani tylko przez wyzwanie włamania się do systemu. Jednak większość złośliwych hakerów używa wstrzykiwania, ataków na protokoły i podobnych wyczynów z myślą o korzyściach. Ta wypłata może być dowolną z następujących pozycji:

  • Numery kart kredytowych klienta
  • Poufne dane osobowe, takie jak numery licencji kierowcy lub numery paszportowe
  • Zastrzeżone lub tajne dane firmowe

Osoba atakująca może bezpośrednio używać tych danych. Na przykład użytkownik może zakupić przedmioty z skradzionym numerem karty kredytowej. Bardziej prawdopodobne jest jednak, że atakujący może sprzedawać dane na przestępczym rynku lub przetrzymywać dane dla okupu.

Jeśli firma uruchamia co najmniej jedną aplikację internetową przechowującą poufne lub zastrzeżone dane, usługa Azure Web Application Firewall może chronić te dane przed próbami włamania i eksfiltracji.

Masz aplikacje internetowe, które wymagają od użytkowników logowania

Osoby atakujące aplikacji internetowej często próbują uzyskać nazwy użytkowników i hasła kont. Posiadanie poświadczeń konta użytkownika jest przydatne dla osoby atakującej w następujący sposób:

  • Osoba atakująca może uzyskać dostęp do aplikacji jako autoryzowanego użytkownika.
  • Osoba atakująca może uruchamiać skrypty lub polecenia z podwyższonym poziomem uprawnień.
  • Osoba atakująca może mieć dostęp do innych części sieci.
  • Osoba atakująca może użyć poświadczeń konta w celu zalogowania się do innych witryn i usług.

Czy Twoja firma korzysta z aplikacji internetowych, które wymagają od użytkowników logowania? Usługa Azure Web Application Firewall może wykrywać luki w zabezpieczeniach, takie jak iniekcja SQL i lokalne dołączanie plików, które próbują wyświetlić lub ukraść poświadczenia konta.

Ważny

Należy pamiętać, że Azure Web Application Firewall jest tylko jednym z aspektów strategii zabezpieczeń sieci o wielotorowym podejściu. W przypadku danych logowania ta strategia może również obejmować rygorystyczne wymagania dotyczące haseł i przechowywanie haseł w postaci zaszyfrowanej.

Deweloperzy aplikacji internetowej nie mają wiedzy na temat zabezpieczeń

Kodowanie pod kątem pełnego zakresu potencjalnych luk w zabezpieczeniach aplikacji internetowych wymaga znacznej wiedzy. Ta wiedza obejmuje szczegółową wiedzę na temat następujących pojęć:

  • Ogólna struktura żądań i odpowiedzi HTTP/HTTPS
  • Określone typy żądań HTTP/HTTPS, takie jak GET, POST i PUT
  • Kodowanie adresów URL i UTF
  • Agenci użytkownika, ciągi zapytań i inne zmienne
  • Polecenia, ścieżki, powłoki i podobne dane dla wielu systemów operacyjnych serwera
  • Technologie front-endowe, takie jak HTML, CSS i JavaScript
  • Technologie internetowe po stronie serwera, takie jak SQL, PHP i sesje użytkowników

Co zrobić, jeśli zespół deweloperów internetowych twojej firmy nie ma wiedzy w co najmniej jednej z tych koncepcji? W takim przypadku aplikacje internetowe są narażone na wiele luk w zabezpieczeniach. Z kolei usługa Azure Web Application Firewall jest utrzymywana i aktualizowana przez zespół ekspertów ds. zabezpieczeń firmy Microsoft.

Deweloperzy aplikacji internetowej mają inne priorytety

Jest mało prawdopodobne, aby firma wdrażała swoje aplikacje internetowe wyłącznie w celu udaremnienia luk w zabezpieczeniach, takich jak wstrzyknięcie kodu SQL i zdalne wykonywanie poleceń. Znacznie bardziej prawdopodobne jest, że twoja firma ma jakiś inny cel w swoich aplikacjach internetowych. W tym celu można sprzedawać produkty, świadczyć usługi lub promować twoją firmę.

Prawdopodobieństwo, że wolisz, aby zespół deweloperów internetowych skupił się na realizacji tych celów, a nie na pisaniu niezawodnego kodu zabezpieczeń aplikacji. Zapora aplikacji internetowej platformy Azure umożliwia firmie Microsoft zarządzanie zabezpieczeniami, podczas gdy twój zespół koncentruje się na Twojej firmie.

Masz ograniczenia budżetu tworzenia aplikacji internetowej

Programowanie wewnętrzne przeciwko wszystkim exploitom OWASP jest kosztownym przedsięwzięciem.

  • Webowi deweloperzy z niezbędną wiedzą w zakresie zabezpieczeń są stosunkowo rzadcy. Tacy deweloperzy mogą żądać wyższych wynagrodzeń niż współpracownicy, którzy nie mają takiej wiedzy.
  • Kodowanie w odniesieniu do pełnego zakresu luk w zabezpieczeniach aplikacji internetowych nie jest propozycją tylko jednorazową. Gdy nowe lub zmodyfikowane luki w zabezpieczeniach stają się znane, zespół musi stale utrzymywać i aktualizować kod zabezpieczeń. Eksperci ds. zabezpieczeń muszą stać się stałymi członkami zespołu deweloperów internetowych i stałymi pozycjami w budżecie.

Usługa Azure Web Application Firewall nie jest bezpłatna. Jednak może się okazać, że jest to bardziej ekonomiczne rozwiązanie niż zatrudnianie zespołu pełnoetatowych ekspertów ds. zabezpieczeń internetowych.

Masz ograniczenia czasu programowania aplikacji internetowej

Wiele zespołów deweloperskich koduje wewnętrznie, przeciwdziałając wszystkim exploitom OWASP. Jednak większość tych zespołów szybko zdaje sobie sprawę, że tworzenie i utrzymywanie tego kodu jest pracochłonne i czasochłonne. Jeśli próbujesz spełnić napięty termin uruchomienia nowej aplikacji internetowej, tysiące roboczogodzin potrzebnych do ochrony aplikacji przed wszystkimi lukami OWASP jest główną przeszkodą.

Wystąpienie usługi Azure Application Gateway lub profil usługi Azure Front Door można skonfigurować za pomocą usługi Azure Web Application Firewall w ciągu kilku minut.

Aplikacja internetowa musi być szybko skompilowana i wdrożona

Wiele aplikacji internetowych nie wymaga pełnego leczenia programistycznego. Rozważmy na przykład następujące dwa typy aplikacji:

  • Dowód koncepcji: Aplikacja ma jedynie udowodnić, że niektóre technika, propozycja lub projekt są wykonalne.
  • Minimalna opłacalna wersja produktu (MVP): aplikacja zawiera tylko wystarczającą liczbę funkcji, które mogą być używane przez wczesnych użytkowników, którzy przekazują opinię na temat przyszłych wersji.

Zarówno weryfikacja koncepcji, jak i aplikacje internetowe MVP mają być tworzone i wdrażane szybko. W takich przypadkach nie ma sensu, aby ręcznie kodować przed typowymi programami wykorzystującymi luki w zabezpieczeniach. Nadal chcesz chronić te aplikacje przed złośliwymi aktorami, więc warto umieścić je za zaporą aplikacji internetowej.

Uruchomienie aplikacji internetowej będzie bardzo głośne

Czy twój zespół marketingowy mocno promuje aplikację internetową, która wkrótce zostanieto-bewydana? Czy publikują wiadomości na wielu platformach mediów społecznościowych, aby podnieść zainteresowanie aplikacją przed jej wydaniem? To wspaniałe, ale czy wiesz, kto inny może być zainteresowany wydaniem aplikacji? Złośliwi użytkownicy, którzy mogą postanowić zakłócić wprowadzenie aplikacji na rynek, uruchamiając kilka typowych ataków na aplikację.

Aby uniknąć zakłóceń, warto chronić aplikację internetową za pomocą usługi Azure Web Application Firewall.