تأمين عمليات توزيع النظام الأساسي كخدمة (PaaS)

  • مقالة
  • قراءة خلال 11 دقائق

توفر هذه المقالة معلومات تساعدك:

  • فهم المزايا الأمنية لاستضافة التطبيقات في السحابة
  • تقييم المزايا الأمنية للنظام الأساسي كخدمة (PaaS) مقابل نماذج الخدمات السحابية الأخرى
  • تغيير التركيز الأمني من نهج أمني يركز على الشبكة إلى نهج أمني محيطي يركز على الهوية
  • تنفيذ التوصيات العامة لأفضل ممارسات أمان PaaS

يعد تطوير تطبيقات آمنة على Azure دليلا عاما لأسئلة الأمان وعناصر التحكم التي يجب مراعاتها في كل مرحلة من مراحل دورة حياة تطوير البرامج عند تطوير التطبيقات للسحابة.

مزايا الأمان السحابي

من المهم فهم تقسيم المسؤولية بينك وبين Microsoft. في الموقع ، أنت تمتلك المكدس بأكمله ولكن مع انتقالك إلى السحابة ، يتم نقل بعض المسؤوليات إلى Microsoft.

هناك مزايا أمنية للتواجد في السحابة. في بيئة محلية، من المحتمل أن يكون لدى المؤسسات مسؤوليات غير ملباة وموارد محدودة متاحة للاستثمار في الأمن، مما يخلق بيئة يتمكن فيها المهاجمون من استغلال نقاط الضعف على جميع الطبقات.

يمكن للمؤسسات تحسين أوقات اكتشاف التهديدات والاستجابة لها باستخدام إمكانات الأمان المستندة إلى السحابة والذكاء السحابي الخاصة بمقدم الخدمة. من خلال نقل المسؤوليات إلى مزود السحابة، يمكن للمؤسسات الحصول على المزيد من التغطية الأمنية، مما يمكنها من إعادة تخصيص موارد الأمان والميزانية لأولويات الأعمال الأخرى.

مزايا الأمان لنموذج خدمة PaaS السحابية

دعونا نلقي نظرة على مزايا الأمان لنشر Azure PaaS مقابل النشر المحلي.

Security advantages of PaaS

بدءا من الجزء السفلي من المكدس ، البنية التحتية المادية ، تخفف Microsoft من المخاطر والمسؤوليات الشائعة. نظرا لأن سحابة Microsoft تتم مراقبتها باستمرار بواسطة Microsoft ، فمن الصعب مهاجمتها. ليس من المنطقي أن يتابع المهاجم سحابة Microsoft كهدف. ما لم يكن لدى المهاجم الكثير من المال والموارد ، فمن المرجح أن ينتقل المهاجم إلى هدف آخر.

في منتصف المكدس ، لا يوجد فرق بين نشر PaaS والمحلي. في طبقة التطبيق وطبقة إدارة الحساب والوصول ، لديك مخاطر مماثلة. في قسم الخطوات التالية من هذه المقالة، سنرشدك إلى أفضل الممارسات للقضاء على هذه المخاطر أو تقليلها.

في الجزء العلوي من المكدس ، وإدارة البيانات وإدارة الحقوق ، فإنك تتحمل مخاطرة واحدة يمكن تخفيفها بواسطة الإدارة الرئيسية. (يتم تغطية الإدارة الرئيسية في أفضل الممارسات.) على الرغم من أن الإدارة الرئيسية هي مسؤولية إضافية، إلا أن لديك مناطق في نشر PaaS لم تعد بحاجة إلى إدارتها حتى تتمكن من تحويل الموارد إلى الإدارة الرئيسية.

يوفر لك النظام الأساسي Azure أيضا حماية DDoS قوية باستخدام العديد من التقنيات المستندة إلى الشبكة. ومع ذلك، فإن جميع أنواع أساليب حماية DDoS المستندة إلى الشبكة لها حدودها على أساس كل رابط ولكل مركز بيانات. للمساعدة في تجنب تأثير هجمات DDoS الكبيرة، يمكنك الاستفادة من قدرة Azure السحابية الأساسية لتمكينك من التوسع بسرعة وتلقائيا للدفاع ضد هجمات DDoS. سنتناول المزيد من التفاصيل حول كيفية القيام بذلك في مقالات الممارسات الموصى بها.

تحديث عقلية ديفندر فور كلاود

مع عمليات نشر PaaS ، يأتي تحول في نهجك العام للأمان. يمكنك الانتقال من الحاجة إلى التحكم في كل شيء بنفسك إلى مشاركة المسؤولية مع Microsoft.

هناك فرق كبير آخر بين PaaS وعمليات النشر المحلية التقليدية ، وهو وجهة نظر جديدة لما يحدد محيط الأمان الأساسي. تاريخيا، كان محيط الأمان المحلي الأساسي هو شبكتك، وتستخدم معظم تصميمات الأمان المحلية الشبكة كمحور أمان أساسي. بالنسبة لعمليات نشر PaaS، يتم خدمتك بشكل أفضل من خلال اعتبار الهوية هي محيط الأمان الأساسي.

اعتماد سياسة الهوية باعتبارها المحيط الأمني الأساسي

واحدة من الخصائص الأساسية الخمس للحوسبة السحابية هي الوصول الواسع إلى الشبكة ، مما يجعل التفكير المتمحور حول الشبكة أقل أهمية. الهدف من الكثير من الحوسبة السحابية هو السماح للمستخدمين بالوصول إلى الموارد بغض النظر عن الموقع. بالنسبة لمعظم المستخدمين ، سيكون موقعهم في مكان ما على الإنترنت.

يوضح الشكل التالي كيف تطور محيط الأمان من محيط شبكة إلى محيط هوية. يصبح الأمان أقل حول الدفاع عن شبكتك وأكثر حول الدفاع عن بياناتك ، بالإضافة إلى إدارة أمان تطبيقاتك ومستخدميك. الفرق الرئيسي هو أنك تريد دفع الأمان أقرب إلى ما هو مهم لشركتك.

Identity as new security perimeter

في البداية، قدمت خدمات Azure PaaS (على سبيل المثال، أدوار الويب وAzure SQL) دفاعات محيط الشبكة التقليدية قليلة أو معدومة. وكان من المفهوم أن الغرض من العنصر هو التعرض للإنترنت (دور الويب) وأن المصادقة توفر المحيط الجديد (على سبيل المثال، BLOB أو Azure SQL).

تفترض الممارسات الأمنية الحديثة أن الخصم قد اخترق محيط الشبكة. لذلك ، انتقلت ممارسات الدفاع الحديثة إلى الهوية. يجب على المؤسسات إنشاء محيط أمني قائم على الهوية مع نظافة قوية للمصادقة والتفويض (أفضل الممارسات).

كانت مبادئ وأنماط محيط الشبكة متاحة منذ عقود. في المقابل ، تتمتع الصناعة بخبرة أقل نسبيا في استخدام الهوية كمحيط أمني أساسي. مع ذلك ، تراكمت لدينا خبرة كافية لتقديم بعض التوصيات العامة التي أثبتت جدواها في هذا المجال وتنطبق على جميع خدمات PaaS تقريبا.

فيما يلي أفضل الممارسات لإدارة محيط الهوية.

أفضل الممارسات: قم بتأمين مفاتيحك وبيانات اعتمادك لتأمين نشر PaaS.
التفاصيل: يعد فقدان المفاتيح وبيانات الاعتماد مشكلة شائعة. يمكنك استخدام حل مركزي حيث يمكن تخزين المفاتيح والأسرار في وحدات أمان الأجهزة (HSMs). يحمي Azure Key Vault مفاتيحك وأسرارك عن طريق تشفير مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات وملفات .pfx وكلمات المرور باستخدام مفاتيح محمية بواسطة HSMs.

أفضل الممارسات: لا تضع بيانات الاعتماد والأسرار الأخرى في شفرة المصدر أو GitHub.
التفاصيل: الشيء الوحيد الأسوأ من فقدان مفاتيحك وبيانات اعتمادك هو حصول طرف غير مصرح له على الوصول إليها. يمكن للمهاجمين الاستفادة من تقنيات الروبوت للعثور على المفاتيح والأسرار المخزنة في مستودعات التعليمات البرمجية مثل GitHub. لا تضع المفتاح والأسرار في مستودعات التعليمات البرمجية العامة هذه.

أفضل الممارسات: يمكنك حماية واجهات إدارة الأجهزة الظاهرية على خدمات PaaS وIaaS المختلطة باستخدام واجهة إدارة تمكنك من إدارة هذه الأجهزة الظاهرية عن بعد مباشرة.
التفاصيل: يمكن استخدام بروتوكولات الإدارة عن بعد مثل SSH و RDP و PowerShell عن بعد . بشكل عام، نوصي بعدم تمكين الوصول المباشر عن بعد إلى الأجهزة الظاهرية من الإنترنت.

إذا كان ذلك ممكنا، استخدم أساليب بديلة مثل استخدام الشبكات الخاصة الافتراضية في شبكة Azure الظاهرية. في حالة عدم توفر أساليب بديلة، تأكد من استخدام عبارات مرور معقدة ومصادقة ثنائية (مثل مصادقة Azure AD متعددة العوامل).

أفضل الممارسات: استخدم منصات مصادقة وتفويض قوية.
التفاصيل: استخدم الهويات الموحدة في Azure AD بدلا من متاجر المستخدمين المخصصة. عندما تستخدم هويات موحدة، فإنك تستفيد من نهج قائم على النظام الأساسي وتفوض إدارة الهويات المعتمدة إلى شركائك. ويكتسي نهج الهوية الموحدة أهمية خاصة عندما يتم إنهاء خدمة الموظفين ويجب أن تنعكس هذه المعلومات من خلال أنظمة متعددة للهوية والتفويض.

استخدم آليات المصادقة والتخويل المتوفرة في النظام الأساسي بدلا من التعليمات البرمجية المخصصة. والسبب هو أن تطوير رمز مصادقة مخصص يمكن أن يكون عرضة للخطأ. معظم مطوريك ليسوا خبراء أمنيين ومن غير المرجح أن يكونوا على دراية بالتفاصيل الدقيقة وأحدث التطورات في المصادقة والتفويض. غالبا ما تتم مراجعة التعليمات البرمجية التجارية (على سبيل المثال ، من Microsoft) على نطاق واسع أمنيا.

استخدم المصادقة الثنائية. المصادقة الثنائية هي المعيار الحالي للمصادقة والتفويض لأنها تتجنب نقاط الضعف الأمنية المتأصلة في أنواع المصادقة باسم المستخدم وكلمة المرور. يجب تصميم وتكوين الوصول إلى كل من واجهات إدارة Azure (البوابة الإلكترونية/PowerShell البعيدة) والخدمات التي تواجه العملاء لاستخدام مصادقة Azure AD متعددة العوامل.

استخدم بروتوكولات المصادقة القياسية، مثل OAuth2 وKerberos. تمت مراجعة هذه البروتوكولات على نطاق واسع من قبل النظراء ومن المحتمل أن يتم تنفيذها كجزء من مكتبات النظام الأساسي الخاص بك للمصادقة والتفويض.

استخدام نمذجة التهديدات أثناء تصميم التطبيق

تحدد دورة حياة تطوير أمان Microsoft أنه يجب على الفرق المشاركة في عملية تسمى نمذجة التهديدات أثناء مرحلة التصميم. للمساعدة في تسهيل هذه العملية، قامت Microsoft بإنشاء أداة نمذجة تهديدات SDL. يمكن أن تؤدي نمذجة تصميم التطبيق وتعداد تهديدات STRIDE عبر جميع حدود الثقة إلى اكتشاف أخطاء التصميم في وقت مبكر.

يسرد الجدول التالي تهديدات STRIDE ويعطي بعض الأمثلة على عمليات التخفيف التي تستخدم ميزات Azure. لن تنجح عمليات التخفيف هذه في كل موقف.

المخاطر الممتلكات الأمنية عمليات التخفيف المحتملة للنظام الأساسي ل Azure
تزييف الهوية المصادقة تتطلب اتصالات HTTPS.
العبث بالبيانات تكامل البيانات التحقق من صحة شهادات TLS/SSL.
القدرة على الإنكار عدم القدرة على الإنكار تمكين مراقبة Azure وتشخيصها.
كشف المعلومات السرية تشفير البيانات الحساسة في حالة السكون باستخدام شهادات الخدمة.
رفض الخدمة التوفر راقب مقاييس الأداء لظروف الحرمان من الخدمة المحتملة. تنفيذ فلاتر الاتصال.
رفع الامتيازات التخويل استخدم إدارة الهويات المتميزة.

التطوير على خدمة تطبيقات Azure

Azure App Service هو عرض PaaS يتيح لك إنشاء تطبيقات الويب والأجهزة المحمولة لأي نظام أساسي أو جهاز والاتصال بالبيانات في أي مكان، في السحابة أو محليا. تتضمن خدمة التطبيقات إمكانات الويب والجوال التي تم تسليمها مسبقا بشكل منفصل كمواقع Azure على الويب وخدمات Azure للأجهزة المحمولة. كما يتضمن قدرات جديدة لأتمتة العمليات التجارية واستضافة واجهات برمجة التطبيقات السحابية. كخدمة واحدة متكاملة ، توفر App Service مجموعة غنية من الإمكانات لسيناريوهات الويب والجوال والتكامل.

فيما يلي أفضل الممارسات لاستخدام خدمة التطبيقات.

أفضل الممارسات: المصادقة من خلال Azure Active Directory.
التفاصيل: توفر خدمة التطبيق خدمة OAuth 2.0 لموفر الهوية الخاص بك. يركز OAuth 2.0 على بساطة مطوري العميل مع توفير تدفقات تفويض محددة لتطبيقات الويب وتطبيقات سطح المكتب والهواتف المحمولة. يستخدم Azure AD OAuth 2.0 لتمكينك من تخويل الوصول إلى تطبيقات الجوال والويب.

أفضل الممارسات: تقييد الوصول استنادا إلى الحاجة إلى المعرفة ومبادئ الأمان الأقل امتيازا.
التفاصيل: يعد تقييد الوصول أمرا ضروريا للمؤسسات التي ترغب في فرض سياسات أمان للوصول إلى البيانات. يمكنك استخدام Azure RBAC لتعيين أذونات للمستخدمين والمجموعات والتطبيقات في نطاق معين. لمعرفة المزيد حول منح المستخدمين حق الوصول إلى التطبيقات، راجع بدء استخدام إدارة الوصول.

أفضل الممارسات: حماية مفاتيحك.
التفاصيل: يساعد Azure Key Vault على حماية مفاتيح التشفير والأسرار التي تستخدمها التطبيقات والخدمات السحابية. باستخدام Key Vault، يمكنك تشفير المفاتيح والأسرار (مثل مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات و. ملفات PFX وكلمات المرور) باستخدام المفاتيح المحمية بواسطة وحدات أمان الأجهزة (HSMs). لمزيد من التأكيد، يمكنك استيراد أو إنشاء مفاتيح في HSMs. راجع Azure Key Vault لمعرفة المزيد. يمكنك أيضا استخدام Key Vault لإدارة شهادات TLS باستخدام التجديد التلقائي.

أفضل الممارسات: تقييد عناوين IP الواردة المصدر.
التفاصيل: تحتوي بيئة خدمة التطبيق على ميزة تكامل الشبكة الافتراضية التي تساعدك على تقييد عناوين IP الواردة من المصدر من خلال مجموعات أمان الشبكة. تمكنك الشبكات الظاهرية من وضع موارد Azure في شبكة غير متصلة بالإنترنت وقابلة للتوجيه تتحكم في الوصول إليها. لمعرفة المزيد، راجع دمج تطبيقك مع شبكة Azure الظاهرية.

أفضل الممارسات: راقب حالة الأمان في بيئات خدمة التطبيقات.
التفاصيل: استخدم Microsoft Defender for Cloud لمراقبة بيئات خدمة التطبيقات. عندما يحدد Defender for Cloud نقاط الضعف الأمنية المحتملة، فإنه ينشئ توصيات ترشدك خلال عملية تكوين عناصر التحكم المطلوبة.

خدمات السحابة من Azure

Azure Cloud Services هو مثال على PaaS. مثل Azure App Service، تم تصميم هذه التقنية لدعم التطبيقات القابلة للتوسع والموثوقية وغير المكلفة في التشغيل. بنفس الطريقة التي تتم بها استضافة App Service على الأجهزة الظاهرية (VMs)، كذلك هو الحال مع خدمات Azure Cloud. ومع ذلك، تتمتع بسيطرة أكبر على الأجهزة الظاهرية. يمكنك تثبيت برنامجك على الأجهزة الظاهرية التي تستخدم Azure Cloud Services، ويمكنك الوصول إليها عن بُعد.

تثبيت جدار حماية تطبيق ويب

تعتبر تطبيقات الويب أهداف متزايدة للهجمات الضارة التي تستغل نقاط الضعف المعروفة والشائعة. إن الشائع من بين محاولات الاختراق هي حقنة هجوم SQL، وهجمات لبرنامج نصي عبر الموقع على سبيل المثال لا الحصر. قد يكون منع مثل هذه الهجمات في رمز التطبيق صعبًا، وقد يتطلب صيانة صارمة، وتصحيح ورصد على طبقات متعددة من مخطط التطبيق. يزيد جدار حماية تطبيق الويب المركزي من بساطة إدارة الأمان ويعطي ضمانًا أفضل لمسؤولي التطبيقات في مواجهة التهديدات أو الاختراقات. يمكن أن يتفاعل حل جدار حماية تطبيق الويب WAF أيضًا مع تهديد أمني بشكل أسرع عن طريق تصحيح ثغرة أمنية معروفة في موقع مركزي في مقابل تأمين كل تطبيق من تطبيقات الويب. يمكن تحويل بوابات التطبيقات الحالية إلى بوابة تطبيق تمكين جدار حماية تطبيق الويب بسهولة.

جدار حماية تطبيقات الويب (WAF) هو ميزة من ميزات بوابة التطبيقات التي توفر حماية مركزية لتطبيقات الويب الخاصة بك من المآثر الشائعة ونقاط الضعف. يستند WAF إلى قواعد من مجموعات القواعد الأساسية Project أمان تطبيقات الويب المفتوحة (OWASP) 3.0 أو 2.2.9.

مراقبة أداء تطبيقاتك

المراقبة هي عملية جمع البيانات وتحليلها لتحديد أداء تطبيقك وصحته وتوفره. تساعدك استراتيجية المراقبة الفعالة على فهم العملية التفصيلية لمكونات التطبيق الخاص بك. يساعدك على زيادة وقت التشغيل الخاص بك عن طريق إعلامك بالمشكلات الحرجة حتى تتمكن من حلها قبل أن تصبح مشاكل. كما أنه يساعدك على اكتشاف الحالات الشاذة التي قد تكون ذات صلة بالأمان.

استخدم تطبيق Azure Insights لمراقبة توفر تطبيقك وأدائه واستخدامه، سواء تمت استضافته في السحابة أو محليا. باستخدام Insights التطبيق، يمكنك تحديد الأخطاء في التطبيق وتشخيصها بسرعة دون انتظار قيام المستخدم بالإبلاغ عنها. باستخدام المعلومات التي تجمعها، يمكنك اتخاذ خيارات مستنيرة بشأن صيانة تطبيقك وتحسيناته.

يحتوي Insights التطبيقات على أدوات واسعة للتفاعل مع البيانات التي يجمعها. يقوم Insights التطبيق بتخزين بياناته في مستودع مشترك. يمكنه الاستفادة من الوظائف المشتركة مثل التنبيهات ولوحات المعلومات والتحليل العميق باستخدام لغة استعلام Kusto.

إجراء اختبار اختراق الأمان

التحقق من صحة الدفاعات الأمنية لا يقل أهمية عن اختبار أي وظيفة أخرى. اجعل اختبار الاختراق جزءا قياسيا من عملية الإنشاء والنشر. جدولة اختبارات الأمان المنتظمة وفحص الثغرات الأمنية على التطبيقات المنشورة، ومراقبة المنافذ المفتوحة ونقاط النهاية والهجمات.

اختبار الضبابية هو طريقة للعثور على فشل البرنامج (أخطاء التعليمات البرمجية) عن طريق توفير بيانات الإدخال المشوهة لواجهات البرنامج (نقاط الإدخال) التي تحلل هذه البيانات وتستهلكها. يعد Microsoft Security Risk Detection أداة مستندة إلى مجموعة النظراء يمكنك استخدامها للبحث عن الأخطاء والثغرات الأمنية الأخرى في البرنامج قبل نشره في Azure. تم تصميم الأداة لالتقاط نقاط الضعف قبل نشر البرنامج حتى لا تضطر إلى تصحيح خطأ أو التعامل مع الأعطال أو الاستجابة لهجوم بعد إصدار البرنامج.

الخطوات التالية

في هذه المقالة، ركزنا على مزايا الأمان لنشر Azure PaaS وأفضل ممارسات الأمان للتطبيقات السحابية. بعد ذلك، تعرف على الممارسات الموصى بها لتأمين حلول PaaS على الويب والأجهزة المحمولة باستخدام خدمات Azure محددة. سنبدأ ب Azure App Service و Azure SQL Database و Azure Synapse Analytics و Azure Storage و Azure Cloud Services. عندما تصبح المقالات حول الممارسات الموصى بها لخدمات Azure الأخرى متاحة، سيتم توفير ارتباطات في القائمة التالية:

راجع تطوير تطبيقات آمنة على Azure للاطلاع على أسئلة الأمان وعناصر التحكم التي يجب مراعاتها في كل مرحلة من مراحل دورة حياة تطوير البرامج عند تطوير التطبيقات للسحابة.

راجع أفضل ممارسات وأنماط أمان Azure للحصول على المزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة ونشرها وإدارتها باستخدام Azure .

تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure خدمات Microsoft ذات الصلة:

  • مدونة فريق أمان Azure - للحصول على أحدث المعلومات حول أحدث ما توصل إليه أمان Azure
  • مركز الاستجابة الأمنية ل Microsoft - حيث يمكن الإبلاغ عن الثغرات الأمنية في Microsoft، بما في ذلك المشكلات المتعلقة ب Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com