Quando usar o Firewall de Aplicativo Web do Azure
Você sabe o que é o Azure Web Application Firewall e como ele funciona. Agora você precisa de alguns critérios para ajudá-lo a avaliar se o Firewall de Aplicativo Web do Azure é uma escolha adequada para sua empresa. Para ajudá-lo a decidir, vamos considerar os seguintes cenários:
- Você tem aplicativos Web que contêm dados confidenciais ou proprietários
- Você tem aplicativos Web que exigem que os usuários entrem
- Os programadores de aplicações Web não têm experiência em segurança
- Os programadores das suas aplicações Web têm outras prioridades
- Você tem restrições de orçamento de desenvolvimento de aplicativos Web
- Você tem restrições de tempo de desenvolvimento de aplicativos Web
- Seu aplicativo Web deve ser criado e implantado rapidamente
- A inicialização do seu aplicativo Web será de alto perfil
Como parte da avaliação do Firewall de Aplicativo Web do Azure, você sabe que a Contoso se encaixa em vários desses cenários. Leia as seções correspondentes para obter mais detalhes.
Você tem aplicativos Web que contêm dados confidenciais ou proprietários
Alguns atacantes da web são motivados apenas pelo desafio de invadir um sistema. No entanto, a maioria dos hackers mal-intencionados usa injeção, ataques de protocolo e explorações semelhantes com recompensa em mente. Esse retorno pode ser qualquer um dos seguintes itens:
- Números de cartão de crédito do cliente
- Informações pessoais sensíveis, como números de carteira de motorista ou números de passaporte
- Dados proprietários ou secretos da empresa
Um invasor pode usar esses dados diretamente. Por exemplo, o usuário pode comprar itens com um número de cartão de crédito roubado. O mais provável, no entanto, é que o invasor venda os dados em um mercado criminoso ou guarde os dados para resgate.
Se a sua empresa executar uma ou mais aplicações Web que armazenam dados confidenciais ou proprietários, a Firewall de Aplicações Web do Azure pode proteger esses dados contra tentativas de intrusão e exfiltração.
Você tem aplicativos Web que exigem que os usuários entrem
Os atacantes de aplicações Web estão frequentemente a tentar obter nomes de utilizador e palavras-passe de contas. Ter credenciais de conta de usuário é útil para o invasor das seguintes maneiras:
- O invasor pode acessar o aplicativo como um usuário autorizado.
- O invasor pode executar scripts ou comandos com privilégios elevados.
- O invasor pode conseguir acessar outras partes da rede.
- O invasor pode usar as credenciais de uma conta para entrar em outros sites e serviços.
A sua empresa utiliza aplicações Web que exigem que os utilizadores iniciem sessão? O Firewall de Aplicativo Web do Azure pode detetar exploits, como injeção de SQL e inclusão de arquivo local, que tentam exibir ou roubar credenciais de conta.
Importante
Lembre-se de que o Firewall de Aplicativo Web do Azure é apenas um aspeto do que deve ser uma estratégia de segurança de rede multifacetada. Para dados de entrada, essa estratégia também pode incluir ter requisitos de senha rigorosos e armazenar senhas de forma criptografada.
Os programadores de aplicações Web não têm experiência em segurança
A codificação em relação a toda a gama de potenciais explorações de aplicações Web requer conhecimentos especializados significativos. Esta experiência inclui um conhecimento detalhado dos seguintes conceitos:
- A estrutura geral das solicitações e respostas HTTP/HTTPS
- Tipos de solicitação HTTP/HTTPS específicos, como GET, POST e PUT
- Codificação de URL e UTF
- Agentes de usuário, cadeias de caracteres de consulta e outras variáveis
- Comandos, caminhos, shells e dados semelhantes para vários sistemas operacionais de servidor
- Tecnologias Web front-end, como HTML, CSS e JavaScript
- Tecnologias da Web do lado do servidor, como SQL, PHP e sessões de usuário
E se a equipe de desenvolvimento web da sua empresa não tiver conhecimento em um ou mais desses conceitos? Nesse caso, seus aplicativos Web ficam vulneráveis a várias explorações. Por outro lado, o Azure Web Application Firewall é mantido e atualizado por uma equipe de especialistas em segurança da Microsoft.
Os programadores de aplicações Web têm outras prioridades
É improvável que sua empresa implante seus aplicativos Web com o único propósito de impedir exploits, como injeção de SQL e execução remota de comandos. É muito mais provável que sua empresa tenha algum outro propósito para seus aplicativos Web. Essa finalidade pode ser vender produtos, fornecer serviços ou promover o seu negócio.
É provável que você prefira que sua equipe de desenvolvimento da Web se concentre em cumprir esses propósitos em vez de escrever um código de segurança de aplicativo robusto. Com o Firewall de Aplicativo Web do Azure, você permite que a Microsoft gerencie a segurança enquanto sua equipe se concentra em sua empresa.
Você tem restrições de orçamento de desenvolvimento de aplicativos Web
Codificar internamente contra todas as explorações OWASP é uma proposta cara:
- Desenvolvedores Web com a experiência de segurança necessária são relativamente raros. Esses desenvolvedores podem receber salários mais altos do que colegas que não possuem essa experiência.
- Codificar em relação a toda a gama de explorações de aplicativos Web não é uma proposta única. À medida que exploits novos ou modificados se tornam conhecidos, sua equipe deve manter e atualizar constantemente seu código de segurança. Seus especialistas em segurança devem se tornar membros permanentes de sua equipe de desenvolvimento da Web e itens de linha permanentes em seu orçamento.
O Azure Web Application Firewall não é gratuito. No entanto, você pode achar que é uma solução mais econômica do que contratar uma equipe de especialistas em segurança da Web em tempo integral.
Você tem restrições de tempo de desenvolvimento de aplicativos Web
Muitas equipes de desenvolvimento web codificam internamente contra todas as explorações OWASP. No entanto, a maioria dessas equipes logo percebe que criar e manter esse código é trabalhoso e demorado. Se você está tentando cumprir um prazo apertado para lançar um novo aplicativo Web, as milhares de horas-pessoa necessárias para proteger o aplicativo contra todas as explorações OWASP é um grande obstáculo,
Você pode configurar uma instância do Gateway de Aplicativo do Azure ou um perfil da Porta da Frente do Azure com o Firewall do Aplicativo Web do Azure em minutos.
Seu aplicativo Web deve ser criado e implantado rapidamente
Muitas aplicações Web não requerem o tratamento completo de desenvolvimento. Por exemplo, considere os dois tipos de aplicativo a seguir:
- Prova de conceito: O aplicativo destina-se apenas a provar que alguma técnica, proposta ou design é viável.
- Produto mínimo viável (MVP): O aplicativo inclui apenas recursos suficientes para ser utilizável pelos primeiros usuários que fornecem feedback para versões futuras.
Tanto os aplicativos Web de prova de conceito quanto os MVP devem ser criados e implantados rapidamente. Nesses casos, não faz sentido codificar manualmente contra exploits comuns. Você ainda quer proteger esses aplicativos de agentes mal-intencionados, por isso faz sentido colocá-los atrás de um firewall de aplicativo Web.
A inicialização do seu aplicativo Web será de alto perfil
Sua equipe de marketing está promovendo fortemente um aplicativo da Web a ser lançado em breve? Eles estão postando mensagens em várias plataformas de mídia social para aumentar o interesse no aplicativo antes de seu lançamento? Isso é ótimo, mas você sabe quem mais pode estar interessado no lançamento do seu aplicativo? Usuários mal-intencionados que podem decidir tentar interromper o lançamento do aplicativo lançando alguns ataques comuns contra o aplicativo.
Para evitar interrupções, pode fazer sentido proteger o aplicativo Web com o Firewall do Aplicativo Web do Azure.