Předchozí

Další

Kdy použít Azure Web Application Firewall

Dokončeno

Víte, co je Azure Web Application Firewall a jak funguje. Teď potřebujete nějaká kritéria, která vám pomůžou vyhodnotit, jestli je firewall webových aplikací Azure pro vaši společnost vhodnou volbou. Abychom vám pomohli se rozhodnout, podívejme se na následující scénáře:

• Máte webové aplikace, které obsahují citlivá nebo proprietární data.
• Máte webové aplikace, které vyžadují, aby se uživatelé přihlásili.
• Vývojáři webových aplikací nemají odborné znalosti zabezpečení
• Vývojáři webových aplikací mají jiné priority
• Máte omezení rozpočtu na vývoj webových aplikací.
• Máte časová omezení vývoje webových aplikací.
• Vaše webová aplikace musí být sestavená a nasazená rychle.
• Spuštění vaší webové aplikace bude vysoce profilované.

V rámci vyhodnocení služby Azure Web Application Firewall víte, že Contoso odpovídá několika těmto scénářům. Další podrobnosti najdete v odpovídajících částech.

Máte webové aplikace, které obsahují citlivá nebo proprietární data.

Někteří web útočníci jsou motivováni pouze výzvou k rozdělení do systému. Většina hackerů se zlými úmysly ale používá injektáž, útoky na protokoly a podobné zneužití s ohledem na výplatu. Tato výplata může být některá z následujících položek:

• Čísla platebních karet zákazníka
• Citlivé osobní údaje, jako jsou čísla řidičského průkazu nebo čísla pasu
• Proprietární nebo tajná firemní data

Útočník může tato data použít přímo. Uživatel si například může koupit položky s číslem odcizené platební karty. S větší pravděpodobností ale útočník může data prodat na zločineckém marketplace nebo uchovávat data za výkupné.

Pokud vaše společnost provozuje jednu nebo více webových aplikací, které ukládají citlivá nebo proprietární data, azure Web Application Firewall může tato data chránit před neoprávněným vniknutím a pokusy o exfiltraci.

Máte webové aplikace, které vyžadují, aby se uživatelé přihlásili.

Útočníci webové aplikace se často snaží získat uživatelská jména a hesla účtu. Přihlašovací údaje uživatelského účtu jsou pro útočníka užitečné následujícími způsoby:

• Útočník má přístup k aplikaci jako autorizovaný uživatel.
• Útočník může být schopen spouštět skripty nebo příkazy se zvýšenými oprávněními.
• Útočník může mít přístup k jiným částem sítě.
• Útočník může k přihlášení k jiným webům a službám použít přihlašovací údaje účtu.

Používá vaše firma webové aplikace, které vyžadují, aby se uživatelé přihlásili? Firewall webových aplikací Azure dokáže rozpoznat zneužití, jako je injektáž SQL a zahrnutí místních souborů, které se pokusí zobrazit nebo ukrást přihlašovací údaje účtu.

Důležité

Mějte na paměti, že Azure Web Application Firewall je jen jedním aspektem toho, co by mělo být strategie zabezpečení sítě s více platformami. U přihlašovacích dat může tato strategie zahrnovat také přísné požadavky na heslo a ukládání hesel v šifrované podobě.

Vývojáři webových aplikací nemají odborné znalosti zabezpečení

Kódování v plném rozsahu potenciálních zneužití webových aplikací vyžaduje značné znalosti. Tyto odborné znalosti zahrnují podrobné znalosti následujících konceptů:

• Obecná struktura požadavků a odpovědí HTTP/HTTPS
• Konkrétní typy požadavků HTTP/HTTPS, jako je GET, POST a PUT
• Kódování URL a UTF
• Uživatelskí agenti, řetězce dotazů a další proměnné
• Příkazy, cesty, prostředí a podobná data pro více serverových operačních systémů
• Front-endové webové technologie, jako jsou HTML, CSS a JavaScript
• Webové technologie na straně serveru, například SQL, PHP a uživatelské relace

Co když tým vývoje webu vaší společnosti nemá znalosti v jedné nebo více těchto konceptech? V takovém případě jsou vaše webové aplikace zranitelné vůči více zneužitím. Naproti tomu azure Web Application Firewall udržuje a aktualizuje tým odborníků na zabezpečení Microsoftu.

Vaši vývojáři webových aplikací mají další priority

Je nepravděpodobné, že vaše společnost nasadí své webové aplikace výhradně za účelem omezování zneužití, jako je injektáž SQL a vzdálené spuštění příkazů. Je mnohem pravděpodobnější, že vaše společnost má pro své webové aplikace nějaký jiný účel. Tento účel může být prodej produktů, poskytování služeb nebo propagace vaší firmy.

Je pravděpodobné, že byste se raději zaměřili na plnění těchto účelů, a ne na psaní robustního kódu zabezpečení aplikací. Pomocí firewallu webových aplikací Azure umožňujete Microsoftu spravovat zabezpečení, zatímco se váš tým zaměřuje na vaši firmu.

Máte omezení rozpočtu na vývoj webových aplikací.

Kódování interního využití OWASP je nákladná nabídka:

• Weboví vývojáři s potřebnými znalostmi zabezpečení jsou relativně vzácní. Tito vývojáři mohou řídit vyšší platy než kolegové, kteří nemají takové odborné znalosti.
• Kódování s úplným rozsahem zneužití webových aplikací není jednorázová nabídka. Jakmile budou známé nové nebo upravené zneužití, musí váš tým neustále udržovat a aktualizovat svůj bezpečnostní kód. Vaši odborníci na zabezpečení se musí stát trvalými členy vašeho týmu pro vývoj webu a trvalými řádkovými položkami ve vašem rozpočtu.

Azure Web Application Firewall není zadarmo. Možná ale zjistíte, že je to nákladově efektivnější řešení než nábor týmu odborníků na zabezpečení webu na plný úvazek.

Máte časová omezení vývoje webových aplikací.

Mnoho týmů pro vývoj webů kóduje interně proti všem zneužití OWASP. Většina z těchto týmů si ale brzy uvědomí, že vytváření a údržba tohoto kódu je pracná a časově náročná. Pokud se pokoušíte splnit konečný termín pro spuštění nové webové aplikace, tisíce hodin potřebných k ochraně aplikace před všemi zneužitími OWASP je zásadní překážkou,

Instanci služby Aplikace Azure Gateway nebo profil služby Azure Front Door můžete nakonfigurovat pomocí brány firewall webových aplikací Azure v řádu minut.

Vaše webová aplikace musí být sestavená a nasazená rychle.

Mnoho webových aplikací nevyžaduje úplnou léčbu vývoje. Představte si například následující dva typy aplikací:

• Testování konceptu: Aplikace je určená pouze k prokázání, že některé techniky, návrhu nebo návrhu jsou proveditelné.
• Minimální realizovatelný produkt (MVP):: Aplikace obsahuje pouze dostatek funkcí, které můžou používat dřívější uživatelé, kteří poskytují zpětnou vazbu pro budoucí verze.

Cílem testování konceptu i webových aplikací MVP je rychle vytvářet a nasazovat. V těchto případech nemá smysl ručně kódovat proti běžným zneužitím. Přesto chcete tyto aplikace chránit před škodlivými aktéry, takže je vhodné je umístit za firewall webových aplikací.

Spuštění vaší webové aplikace bude vysoce profilované.

Podporuje váš marketingový tým brzy vydanou webovou aplikaci? Publikují zprávy na několika platformách sociálních médií, aby upoutávali zájem o aplikaci před jejím vydáním? To je skvělé, ale víte, kdo další by mohl mít zájem o vydání vaší aplikace? Uživatelé se zlými úmysly, kteří se mohou rozhodnout narušit vydání aplikace spuštěním některých běžných útoků na aplikaci.

Aby nedošlo k přerušení, může být vhodné chránit webovou aplikaci pomocí služby Azure Web Application Firewall.

Pokračovat