Osvědčené postupy pro zabezpečení koncových bodů v Azure
Koncový bod je adresa zpřístupněná webovou aplikací, aby s ní externí entity mohli komunikovat. Škodlivá nebo neúmyslná interakce s koncovým bodem může ohrozit zabezpečení aplikace i celého systému. Jedním ze způsobu ochrany koncového bodu je umístění ovládacích prvků filtru na síťový provoz, který přijímá, například definování sad pravidel. Přístup založený na hloubkové obraně může dále zmírnit rizika. Zahrňte další ovládací prvky, které chrání koncový bod, pokud primární řízení provozu selže.
Tento článek popisuje způsob, jakým můžete chránit webové aplikace pomocí služeb a funkcí Azure. Dokumentaci k produktu najdete v souvisejících odkazech.
Klíčové body
- Chraňte všechny veřejné koncové body pomocí Azure Front Door, Application Gateway, Azure Firewall a Azure DDoS Protection.
- K ochraně webových úloh použijte Firewall webových aplikací (WAF).
- Chraňte metody publikování úloh a omezte způsoby, které se používají.
- Zmírnění útoků DDoS Pro kritické úlohy, u kterých by měl výpadk dopad na firmu, použijte standardní ochranu. Zvažte CDN jako další vrstvu ochrany.
- Vyvíjet procesy a postupy, které zabrání přímému internetovému přístupu k virtuálním počítačům (jako je proxy server nebo brána firewall) s protokolováním a monitorováním a vynucování zásad.
- Implementujte automatizovaný a odemkovaný proces nasazení CI/CD.
Veřejné koncové body
Veřejný koncový bod přijímá provoz přes internet. Koncové body službu snadno zk dispozici útočníkům.
Koncové body služby a Private Link je možné využít k omezení přístupu ke koncovým bodům PaaS pouze z autorizovaných virtuálních sítí, a účinně tak zmírnit rizika narušení dat a související dopad na dostupnost aplikací. Koncové body služby poskytují přístup ke službě PaaS na úrovni služby, zatímco Private Link poskytuje přímý přístup ke konkrétnímu prostředku PaaS za účelem zmírnění rizik exfiltrace dat, jako jsou škodlivé scénáře správy.
Podle potřeby nakonfigurujte koncové body služby a privátní propojení.
Jsou všechny veřejné koncové body této úlohy chráněné?
Počátečním rozhodnutím o návrhu je posoudit, jestli vůbec potřebujete veřejný koncový bod. Pokud to tak je, chraňte ho pomocí těchto mechanismů.
Další informace najdete v tématu Virtual Network koncových bodů služby a Co je privátní koncový bod Azure?
Firewally webových aplikací (WAF)
Waf poskytuje základní úroveň zabezpečení webových aplikací. Wafy jsou vhodné, pokud organizace, které investovaly do zabezpečení aplikací, protože wafy poskytují další hloubkovou obranu.
Wafy zmírní riziko útočníka při zneužití běžně používaných ohrožení zabezpečení aplikací. Waf poskytuje základní úroveň zabezpečení webových aplikací. Tento mechanismus je důležitým omezením rizik, protože útočníci cílí webové aplikace na bod příchozího přenosu dat do organizace (podobně jako koncový bod klienta).
Koncové body externích aplikací by měly být chráněny před běžnými vektory útoku, od útoků DoS (Denial of Service), jako je Slowloris, až po zneužití na úrovni aplikace, aby se zabránilo možnému výpadku aplikace v důsledku škodlivého záměru. Technologie nativní pro Azure, jako jsou Azure Firewall, Application Gateway/Azure Front Door, WAF a plán DDoS Protection Standard, je možné použít k zajištění požadované ochrany (Azure DDoS Protection).
Azure Application Gateway má funkce WAF pro kontrolu webového provozu a detekci útoků ve vrstvě HTTP. Jedná se o nástroj pro vyrovnávání zatížení a úplný reverzní proxy server HTTP(S), který dokáže šifrování a dešifrování ssl (Secure Socket Layer).
Vaše úloha je například hostovaná ve službě Application Service Environment (ILB ASE). Rozhraní API se konsoliduje interně a zveřejňuje externím uživatelům. Tohoto externího rizika je možné dosáhnout pomocí Application Gateway. Tato služba je nástroj pro vyrovnávání zatížení. Předá požadavek interní službě API Management, která zase využívá rozhraní API nasazená ve službě ASE. Application Gateway je také nakonfigurovaný přes port 443 pro zabezpečená a spolehlivá odchozí volání.
Tip
Aspekty návrhu pro předchozí příklad jsou popsané v článku Publikování interníchrozhraní API pro externí uživatele .
Azure Front Door a Azure Content Delivery Network (CDN) mají také funkce WAF.
Akce návrhů
Chraňte všechny veřejné koncové body pomocí vhodných řešení, jako jsou Azure Front Door, Application Gateway, Azure Firewall, Azure DDoS Protection nebo řešení třetích stran.
Další informace
- Co je brána Azure Firewall?
- Přehled služby Azure DDoS Protection úrovně Standard
- Azure Front Door dokumentace
- Co je Azure Application Gateway?
Brána Azure Firewall
Chrání celou virtuální síť před potenciálně škodlivým provozem z internetu a dalších externích umístění. Prověřuje příchozí provoz a předává jenom povolené požadavky, které se mají projít.
Běžným návrhem je implementace DMZ nebo hraniční sítě před aplikací. DMZ je samostatná podsíť s bránou firewall.
Tip
Aspekty návrhu jsou popsané v tématu Nasazení vysoce dostupných nva .
Přístup založený na kombinaci
Pokud chcete vyšší úroveň zabezpečení a ve virtuální síti existuje kombinace webových a jiných úloh, použijte Azure Firewall i Application Gateway. Existuje několik způsobů, jak tyto dvě služby mohou spolupracovat.
Například chcete filtrovat příchozí provoz. Chcete povolit připojení ke konkrétnímu účtu Azure Storage, ale ne k jiným. Budete potřebovat filtry založené na plně kvalifikovaném názvu domény .FQDN. V takovém případě spusťte bránu firewall a Application Gateway paralelně.
Dalším oblíbeným návrhem je, když Azure Firewall kontrolovat veškerý provoz a WAF za účelem ochrany webového provozu a aplikace potřebuje znát zdrojovou IP adresu klienta. V takovém případě umístěte Application Gateway před bránu firewall. Naopak můžete bránu firewall umístit před WAF, pokud chcete kontrolovat a filtrovat provoz před tím, než dosáhne Application Gateway.
Další informace najdete v tématu Brána firewall a Application Gateway pro virtuální sítě.
Je náročné napsat stručná pravidla brány firewall pro sítě, ve kterých se různé cloudové prostředky dynamicky zvětšuje a zmírní. Pomocí Azure Security Center můžete detekovat rizika chybné konfigurace.
Authentication
Zakažte nezabezpečené starší protokoly pro internetové služby. Starší metody ověřování patří mezi hlavní vektory útoku pro služby hostované v cloudu. Tyto metody nepodporují jiné faktory než hesla a jsou prvočísly pro útoky password sprayingem, slovníkem nebo útoky hrubou silou.
Zmírnění útoků DDoS
Při distribuovaném útoku na odepření služeb (DDoS) je server přetížený falešným provozem. Útoky DDoS jsou běžné a mohou se vracet. Útok může zcela zablokovat přístup nebo vypnout služby. Ujistěte se, že všechny důležité podnikové webové aplikace a služby mají omezení rizik DDoS nad rámec výchozí ochrany, aby aplikace nezasála výpadky, protože to může negativně ovlivnit firmu.
Microsoft doporučuje pro všechny služby, u kterých bude mít výpadky negativní dopad na firmu, rozšířenou ochranu.
Jak implementujete ochranu před DDoS?
Tady je několik důležité informace:
- Ochrana před DDoS na úrovni infrastruktury, ve které běží vaše úloha. Infrastruktura Azure má integrovanou ochranu před útoky DDoS.
- Ochrana před DDoS ve vrstvě sítě (vrstva 3). Azure poskytuje další ochranu pro služby zřízené ve virtuální síti.
- Ochrana před DDoS s ukládáním do mezipaměti. Síť pro doručování obsahu (CDN) může přidat další vrstvu ochrany. V případě útoku DDoS CDN zachytí provoz a zastaví jeho přístup k back-end serveru. Azure CDN je nativně chráněná. Azure také podporuje oblíbené sítě CDN, které jsou chráněné proprietární platformou pro omezení rizik DDoS.
- Pokročilá ochrana před DDoS. Ve standardních hodnotách zabezpečení zvažte funkce s monitorovacími technikami, které používají strojové učení k detekci neobvyklého provozu a proaktivní ochraně aplikace před snížením výkonu služeb.
Například n-Windows aplikace v Azure s referenční architekturou SQL Server používá Azure DDoS Protection Standard, protože tato možnost:
- K detekci hrozeb používá adaptivní ladění na základě vzorců síťového provozu aplikace.
- Garantuje 100% smlouvu SLA.
- Může to být nákladově efektivní. Během útoku na DDoS by například první sada útoků způsobila horizontální navýšení kapacity zřízených prostředků. U prostředků, jako je například sada škálování virtuálního počítače, může 10 počítačů růst až 100, což zvyšuje celkové náklady. Se standardní ochranou se nemusíte starat o náklady na prostředky s horizontálním škálováním, protože Azure vám poskytne nákladový kredit.
Informace o Azure DDoS Protection Services naleznete v tématu Azure DDoS Protection Standard Documentation.
Navrhovaná akce
Identifikujte kritická zatížení, která jsou náchylná k DDoS útokům, a umožněte distribuovaná omezení DDoS (Denial of Service) pro všechny webové aplikace a služby, které jsou důležité pro podnikání.
Další informace
Seznam referenčních architektur, které demonstrují použití ochrany DDoS, najdete v tématu referenční architektury Azure DDoS Protection.
Přijmout DevOps
Vývojáři by neměli svůj kód publikovat přímo na aplikační servery.
Má organizace proces CI/CD pro publikování kódu v tomto zatížení?
Implementujte životní cyklus průběžné integrace a průběžného doručování (CI/CD) pro aplikace. Mít procesy a nástroje na místě, které pomáhají při procesu nasazení automatizovaného a ověřovaného nasazení CI/CD.
Jak jsou zabezpečené metody publikování?
Prostředky aplikace povolující více metod publikování obsahu aplikace, jako je například FTP, Nasazení webu by měly mít zakázané nevyužité koncové body. V případě Azure Web Apps je SCM doporučeným koncovým bodem. Dá se chránit samostatně s omezeními sítě pro citlivé případy použití.
Další krok
Související odkazy
- Azure Firewall
- Co je firewall webových aplikací Azure v Azure Application Gateway?
- Azure DDoS Protection Standard
Vraťte se k hlavnímu článku: zabezpečení sítě