Implementación de aplicaciones seguras en AzureDeploy secure applications on Azure

En esta serie de artículos se presentan las actividades y controles de seguridad que hay que tener en cuenta al implementar aplicaciones para la nube.In this article we present security activities and controls to consider when you deploy applications for the cloud. Se tratan los conceptos y preguntas de seguridad que se deben tener en cuenta durante las fases de versión y de respuesta del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft.Security questions and concepts to consider during the release and response phases of the Microsoft Security Development Lifecycle (SDL) are covered. El objetivo es ayudarle a definir actividades y servicios de Azure que pueden usarse para implementar una aplicación más segura.The goal is to help you define activities and Azure services that you can use to deploy a more secure application.

En este artículo se tratan las siguientes fases del SDL:The following SDL phases are covered in this article:

  • ReleaseRelease
  • ResponseResponse

ReleaseRelease

El enfoque de la fase de lanzamiento es preparar un proyecto para el lanzamiento público.The focus of the release phase is readying a project for public release. Esto incluye la planeación de formas de realizar eficazmente las tareas de servicio posteriores a la versión y de abordar las vulnerabilidades de seguridad que puedan producirse más adelante.This includes planning ways to effectively perform post-release servicing tasks and address security vulnerabilities that might occur later.

Comprobación del rendimiento de la aplicación antes de iniciarCheck your application’s performance before you launch

Compruebe el rendimiento de su aplicación antes de iniciarla o de implementar actualizaciones en la producción.Check your application's performance before you launch it or deploy updates to production. Ejecute las pruebas de carga basadas en la nube mediante Visual Studio para encontrar problemas de rendimiento en la aplicación, mejorar la calidad de la implementación, asegurarse de que la aplicación esté siempre activa o disponible y de que la aplicación pueda tratar el tráfico para el lanzamiento.Run cloud-based load tests by using Visual Studio to find performance problems in your application, improve deployment quality, make sure that your application is always up or available, and that your application can handle traffic for your launch.

Instalar un firewall de aplicaciones webInstall a web application firewall

Las aplicaciones web son cada vez más los objetivos de ataques malintencionados que aprovechan vulnerabilidades comunes conocidas, comoWeb applications are increasingly targets of malicious attacks that exploit common known vulnerabilities. Entre estas vulnerabilidades, son comunes los ataques por inyección de código SQL o ataques de scripts de sitios.Common among these exploits are SQL injection attacks and cross-site scripting attacks. Evitar estos ataques en el código de la aplicación puede ser todo un desafío.Preventing these attacks in application code can be challenging. Puede requerir un mantenimiento riguroso, revisión y supervisión en varias capas de la topología de la aplicación.It might require rigorous maintenance, patching, and monitoring at many layers of the application topology. Un WAF centralizado ayuda a simplificar la administración de seguridad.A centralized WAF helps make security management simpler. Las soluciones de WAF también pueden reaccionar ante una amenaza de la seguridad aplicando revisiones que aborden una vulnerabilidad conocida en una ubicación central en lugar de proteger cada una de las aplicaciones web por separado.A WAF solution can also react to a security threat by patching a known vulnerability at a central location versus securing each individual web application.

La característica de Azure Application Gateway WAF que ofrece una protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad más habituales.The Azure Application Gateway WAF provides centralized protection of your web applications from common exploits and vulnerabilities. La solución WAF se basa en las reglas contenidas en OWASP Core Rule Set 3.0 o 2.2.9.The WAF is based on rules from the OWASP core rule sets 3.0 or 2.2.9.

Creación de un plan de respuesta ante incidentesCreate an incident response plan

La preparación de un plan de respuesta a incidentes es fundamental para ayudarle a hacer frente a las nuevas amenazas que puedan surgir con el tiempo.Preparing an incident response plan is crucial to help you address new threats that might emerge over time. La preparación de un plan de respuesta a incidentes incluye la identificación de contactos de emergencia de seguridad apropiados y el establecimiento de planes de servicio de seguridad para el código heredado de otros grupos de la organización y para el código de terceros con licencia.Preparing an incident response plan includes identifying appropriate security emergency contacts and establishing security servicing plans for code that's inherited from other groups in the organization and for licensed third-party code.

Realización de una revisión de seguridad finalConduct a final security review

La revisión deliberada de todas las actividades de seguridad que se llevaron a cabo ayuda a garantizar la preparación para la versión de software o la aplicación.Deliberately reviewing all security activities that were performed helps ensure readiness for your software release or application. La revisión de seguridad final (FSR) suele incluir el examen de los modelos de amenazas, las salidas de las herramientas y el rendimiento frente a las puertas de calidad y las barras de error que se han definido en la fase de requisitos.The final security review (FSR) usually includes examining threat models, tools outputs, and performance against the quality gates and bug bars that were defined in the requirements phase.

Certificación de la versión y del archivoCertify release and archive

La certificación de software antes de una versión ayuda a garantizar que se cumplen los requisitos de seguridad y privacidad.Certifying software before a release helps ensure that security and privacy requirements are met. El archivo de todos los datos pertinentes es esencial para realizar las tareas de mantenimiento posteriores a la versión.Archiving all pertinent data is essential for performing post-release servicing tasks. El archivado también ayuda a reducir los costos a largo plazo asociados con la ingeniería de software sostenida.Archiving also helps lower the long-term costs associated with sustained software engineering.

ResponseResponse

La fase de respuesta posterior al lanzamiento se centra en que el equipo de desarrollo sea capaz y esté disponible para responder adecuadamente a cualquier informe de amenazas y vulnerabilidades de software emergentes.The response post-release phase centers on the development team being able and available to respond appropriately to any reports of emerging software threats and vulnerabilities.

Ejecución del plan de respuesta ante incidentesExecute the incident response plan

Ser capaz de implementar el plan de respuesta a incidentes instituido en la fase de lanzamiento es esencial para ayudar a proteger a los clientes de la seguridad del software o de las vulnerabilidades de privacidad que surjan.Being able to implement the incident response plan instituted in the release phase is essential to helping protect customers from software security or privacy vulnerabilities that emerge.

Supervisión del rendimiento de las aplicacionesMonitor application performance

La supervisión continua de la aplicación una vez implementada puede ayudarle a detectar problemas de rendimiento y vulnerabilidades de seguridad.Ongoing monitoring of your application after it's deployed potentially helps you detect performance issues as well as security vulnerabilities. Los servicios de Azure que ayudan con la supervisión de aplicaciones son los siguientes:Azure services that assist with application monitoring are:

  • Azure Application InsightsAzure Application Insights
  • Azure Security CenterAzure Security Center

Application InsightsApplication Insights

Application Insights es un servicio de Application Performance Management (APM) extensible para desarrolladores web en varias plataformas.Application Insights is an extensible Application Performance Management (APM) service for web developers on multiple platforms. Úselo para supervisar la aplicación web en directo.Use it to monitor your live web application. Application Insights detecta automáticamente anomalías en el rendimiento.Application Insights automatically detects performance anomalies. Incluye herramientas de análisis eficaces que le ayudan a diagnosticar problemas y comprender lo que hacen realmente los usuarios con la aplicación.It includes powerful analytics tools to help you diagnose issues and understand what users actually do with your app. Está diseñado para ayudarle a mejorar continuamente el rendimiento y la facilidad de uso.It's designed to help you continuously improve performance and usability.

Azure Security CenterAzure Security Center

Azure Security Center ayuda a evitar, detectar y responder a amenazas con más visibilidad y control sobre la seguridad de sus recursos de Azure, incluidas las aplicaciones web.Azure Security Center helps you prevent, detect, and respond to threats with increased visibility into (and control over) the security of your Azure resources, including web applications. Azure Security Center ayuda a detectar amenazas que de otro modo podrían pasar desapercibidas.Azure Security Center helps detect threats that might otherwise go unnoticed. Funciona con varias soluciones de seguridad.It works with various security solutions.

El nivel Gratis de Security Center ofrece seguridad limitada solo para los recursos de Azure.Security Center’s Free tier offers limited security for your Azure resources only. El nivel Estándar de Security Center amplía estas funcionalidades a los recursos locales y otras nubes.The Security Center Standard tier extends these capabilities to on-premises resources and other clouds. El nivel Estándar de Security Center le ayuda a:Security Center Standard helps you:

  • Buscar y corregir vulnerabilidades de seguridadFind and fix security vulnerabilities.
  • Aplicar controles de acceso y de aplicación para bloquear actividad malintencionadaApply access and application controls to block malicious activity.
  • Detectar amenazas mediante análisis e inteligenciaDetect threats by using analytics and intelligence.
  • Responder rápidamente cuando esté siendo atacadoRespond quickly when under attack.

Pasos siguientesNext steps

En los siguientes artículos, se recomiendan controles de seguridad y actividades que pueden ayudarle a diseñar y desarrollar aplicaciones seguras.In the following articles, we recommend security controls and activities that can help you design and develop secure applications.