Когда следует использовать брандмауэр веб-приложения Azure

  • 8 мин

Вы знаете, что такое брандмауэр веб-приложения Azure и как это работает. Теперь вам нужны некоторые критерии, которые помогут вам оценить, подходит ли брандмауэр веб-приложений Azure для вашей компании. Чтобы помочь вам решить, рассмотрим следующие сценарии:

  • У вас есть веб-приложения, содержащие конфиденциальные или закрытые данные
  • У вас есть веб-приложения, требующие входа пользователей
  • Разработчики веб-приложений не имеют опыта в области безопасности
  • Разработчики веб-приложений имеют другие приоритеты
  • У вас есть ограничения бюджета на разработку веб-приложений
  • У вас есть ограничения времени разработки веб-приложений
  • Веб-приложение должно быть создано и развернуто быстро
  • Запуск веб-приложения будет громким

В рамках оценки брандмауэра веб-приложений Azure вы знаете, что Contoso соответствует нескольким из этих сценариев. Дополнительные сведения см. в соответствующих разделах.

У вас есть веб-приложения, содержащие конфиденциальные или закрытые данные

Некоторые веб-злоумышленники мотивированы только проблемой взлома в систему. Однако большинство злоумышленников используют инъекции, протокольные атаки и аналогичные эксплойты с целью получения прибыли. Это вознаграждение может быть одним из следующих пунктов:

  • Номера кредитной карты клиента
  • Конфиденциальная личная информация, например номера водительских лицензий или номера паспорта
  • Корпоративные или секретные данные компании

Злоумышленник может напрямую использовать эти данные. Например, пользователь может приобрести элементы с украденным номером кредитной карты. Скорее всего, злоумышленник может продать данные в преступной платформе или хранить данные для выкупа.

Если ваша компания запускает одно или несколько веб-приложений, которые хранят конфиденциальные или закрытые данные, брандмауэр веб-приложений Azure может защитить эти данные от вторжений и попыток кражи.

У вас есть веб-приложения, требующие входа пользователей

Злоумышленники веб-приложений часто пытаются получить учетные имена пользователей и пароли. Наличие учетных данных учетной записи пользователя полезно для злоумышленника следующими способами:

  • Злоумышленник может получить доступ к приложению в качестве авторизованного пользователя.
  • Злоумышленник может выполнять скрипты или команды с повышенными привилегиями.
  • Злоумышленник может получить доступ к другим частям сети.
  • Злоумышленник может использовать учетные данные учетной записи для входа на другие сайты и службы.

Использует ли ваш бизнес веб-приложения, требующие входа пользователей? Брандмауэр веб-приложений Azure может обнаруживать эксплойты, такие как внедрение SQL и включение локальных файлов, которые пытаются отобразить или украсть учетные данные учетной записи.

Важно

Имейте в виду, что брандмауэр веб-приложений Azure является лишь одним из аспектов того, что должно быть многоуровневой стратегией безопасности сети. Для данных входа эта стратегия также может включать строгие требования к паролям и хранение паролей в зашифрованной форме.

Разработчики веб-приложений не имеют опыта в области безопасности

Для написания кода для полного спектра потенциальных эксплойтов веб-приложений требуется значительный опыт. Этот опыт включает в себя подробные знания о следующих понятиях:

  • Общая структура запросов и ответов HTTP/HTTPS
  • Определенные типы запросов HTTP/HTTPS, такие как GET, POST и PUT
  • Кодировка URL и UTF-кодировка
  • Пользовательские агенты, строки запроса и другие переменные
  • Команды, пути, оболочки и аналогичные данные для нескольких операционных систем сервера
  • Интерфейсные веб-технологии, такие как HTML, CSS и JavaScript
  • Серверные веб-технологии, такие как SQL, PHP и пользовательские сеансы

Что делать, если команда разработчиков веб-разработки вашей компании не имеет знаний в одной или нескольких из этих концепций? В этом случае веб-приложения уязвимы для нескольких эксплойтов. В отличие от этого, брандмауэр веб-приложений Azure поддерживается и обновляется группой экспертов по безопасности Майкрософт.

Разработчики веб-приложений имеют другие приоритеты

Вряд ли ваша компания развертывает свои веб-приложения исключительно для предотвращения атак, таких как SQL-инъекция и удаленное выполнение команд. Скорее всего, у вашей компании есть другая цель для своих веб-приложений. Это может быть продажа продуктов, предоставление услуг или продвижение вашего бизнеса.

Скорее всего, вы предпочитаете, чтобы ваша команда разработки веб-разработки сосредоточилось на выполнении этих целей, а не на написании надежного кода безопасности приложений. С помощью брандмауэра веб-приложений Azure корпорация Майкрософт позволяет корпорации Майкрософт управлять безопасностью, а ваша команда сосредоточена на вашем бизнесе.

У вас есть ограничения бюджета на разработку веб-приложений

Программирование внутри компании против всех эксплойтов OWASP является дорогостоящим предприятием.

  • Веб-разработчики с необходимым опытом безопасности относительно редки. Эти разработчики могут получать более высокие зарплаты, чем коллеги, не имеющие такого опыта.
  • Защита от полного спектра эксплойтов веб-приложений не является разовой задачей. По мере того как новые или измененные эксплойты становятся известными, ваша команда должна постоянно поддерживать и обновлять свой код безопасности. Ваши эксперты по безопасности должны стать постоянными членами вашей группы разработки веб-приложений и постоянными элементами в бюджете.

Брандмауэр веб-приложений Azure не является бесплатным. Тем не менее, вы можете найти, что это более экономичное решение, чем нанять команду специалистов по веб-безопасности полного времени.

У вас есть ограничения времени разработки веб-приложения

Многие команды разработчиков веб-разработки пишут код для защиты от всех эксплойтов OWASP. Однако большинство из этих команд вскоре понимают, что создание и обслуживание этого кода является трудоемким и отнимающим много времени. Если вы пытаетесь уложиться в жесткие временные рамки для запуска нового веб-приложения, тысячи человеко-часов, которые требуются для защиты приложения от всех эксплойтов OWASP, являются серьезным препятствием.

Настроить экземпляр шлюза приложений Azure или профиль Azure Front Door с помощью брандмауэра веб-приложений Azure можно за считанные минуты.

Веб-приложение должно быть создано и развернуто быстро

Для многих веб-приложений не требуется полный комплекс разработки. Например, рассмотрим следующие два типа приложений:

  • доказательство концепции: приложение предназначено только для того, чтобы доказать, что некоторые методы, предложения или проектирование возможны.
  • минимальный жизнеспособный продукт (MVP): приложение включает в себя только достаточно возможностей для использования ранними пользователями, которые предоставляют отзывы о будущих версиях.

Как подтверждение концепции, так и веб-приложения MVP предназначены для быстрого создания и развертывания. В таких случаях не имеет смысла вручную разрабатывать защиту от распространенных эксплойтов. Вы по-прежнему хотите защитить эти приложения от вредоносных субъектов, поэтому имеет смысл разместить их за брандмауэром веб-приложения.

Запуск веб-приложения будет заметным

Ваша маркетинговая команда активно рекламирует предстоящее к релизу веб-приложениеto-be? Они публикуют сообщения на нескольких платформах социальных сетей, чтобы заставить интерес к приложению перед его выпуском? Это здорово, но вы знаете, кто еще может быть заинтересован в выпуске вашего приложения? Злоумышленники, пытающиеся сорвать выпуск приложения, осуществляя распространенные атаки на приложение.

Чтобы избежать нарушений, может потребоваться защитить веб-приложение с помощью брандмауэра веб-приложений Azure.