Déployer des applications sécurisées sur Azure

  • Article

Cet article présente les activités et contrôles de sécurité à prendre en compte lorsque vous déployez des applications pour le cloud. Les questions et concepts de sécurité à prendre en compte pendant les phases de mise en production et de réponse du Microsoft Security Development Lifecycle y sont abordés. L’objectif est de vous aider à définir les activités et services Azure que vous pouvez utiliser pour déployer une application plus sécurisée.

Les phases de Microsoft Security Development Lifecycle suivantes sont traitées dans cet article :

  • Libérer
  • response

Libérer

La phase de mise en production consiste à préparer un projet pour la version publique. Il s’agit notamment de planifier des méthodes permettant d’effectuer efficacement des tâches de maintenance post-lancement et de corriger les failles de sécurité susceptibles de se produire plus tard.

Vérifier les performances de l’application avant de procéder à son lancement

Vérifiez les performances de l’application avant de la lancer ou de déployer des mises à jour en production. Utilisez Test de charge Azure pour exécuter des tests de charge dans le cloud pour détecter les problèmes de performances de l’application, améliorer la qualité du déploiement, vous assurer que l’application est toujours fonctionnelle ou disponible et qu’elle peut gérer le trafic correspondant à votre lancement.

Installer un pare-feu d’application web

Les applications Web sont de plus en plus la cible d’attaques malveillantes qui exploitent des vulnérabilités connues. Les types d’attaques les plus courantes sont l’injection de code SQL et les attaques de script site à site. Il peut s’avérer difficile d’empêcher ces attaques dans le code de l’application. Cela peut nécessiter une maintenance rigoureuse, une mise à jour corrective et la surveillance au niveau de nombreuses couches de la topologie de l’application. Un pare-feu d’applications web (WAF) centralisé permet de simplifier la gestion de la sécurité. Une solution WAF peut également réagir à une menace de sécurité en exécutant la mise à jour corrective d’une vulnérabilité connue dans un emplacement central plutôt que de sécuriser individuellement chaque application web.

La fonctionnalité WAF d’Azure Application Gateway permet de protéger de manière centralisée vos applications web contre les vulnérabilités courantes et le code malveillant exploitant. Le WAF suit les règles des ensembles de règles de base OWASP 3.0 ou 2.2.9.

Créer un plan de réponse aux incidents

La préparation d’un plan de réponse aux incidents est cruciale pour vous aider à déjouer les nouvelles menaces susceptibles d’émerger au fil du temps. Cette préparation inclut l’identification des personnes appropriées à contacter en cas d’urgence liée à la sécurité ainsi que l’établissement de plans de maintenance de sécurité pour le code tiers sous licence et pour le code hérité d’autres groupes de l’organisation.

Effectuer un examen de final de la sécurité

Examiner délibérément toutes les activités de sécurité qui ont été effectuées permet de s’assurer que l’application ou la version du logiciel sont opérationnelles. L’examen final de la sécurité comprend généralement l’examen des modèles de menace, des sorties d’outils ainsi que des performances par rapport aux critères de qualité et barres de bogues qui ont été définis dans la phase des spécifications.

Certifier la mise en production et l’archivage

La certification logicielle avant une mise en production permet de s’assurer que les exigences de sécurité et de confidentialité sont satisfaites. L’archivage de toutes les données pertinentes est essentiel pour la réalisation des tâches de maintenance post-lancement. Il contribue également à réduire les coûts à long terme associés au génie logiciel soutenu.

response

La phase post-lancement de réponse se concentre sur l’équipe de développement disponible et à même de répondre correctement à tous les rapports des nouvelles menaces et vulnérabilités logicielles.

Exécuter le plan de réponse aux incidents

Pouvoir implémenter le plan de réponse aux incidents créé dans la phase de mise en production est essentiel pour aider à protéger les clients contre les nouvelles vulnérabilités qui touchent la confidentialité ou la sécurité des logiciels.

Analyse des performances d’une application

La surveillance continue de l’application après son déploiement vous aide potentiellement à détecter les problèmes de performances ainsi que les failles de sécurité.

Services Azure permettant d’aider à la surveillance des applications :

  • Azure Application Insights
  • Microsoft Defender pour le cloud

Application Insights

Application Insights est un service extensible de gestion des performances des applications (APM) destiné aux développeurs web sur de multiples plateformes. Utilisez-le pour analyser votre application web en direct. Application Insights détecte automatiquement les anomalies de performances. Il intègre de puissants outils d’analyse pour vous aider à diagnostiquer les problèmes et à comprendre ce que font les utilisateurs avec votre application. Il a été conçu pour vous permettre d’améliorer continuellement les performances et la convivialité.

Microsoft Defender pour le cloud

Microsoft Defender pour le cloud vous aide à prévenir, détecter et résoudre les menaces avec une meilleure visibilité (et un meilleur contrôle) de la sécurité de vos ressources Azure, notamment les applications web. Microsoft Defender pour le cloud permet de détecter des menaces qui pourraient autrement passer inaperçues. Il fonctionne avec différentes solutions de sécurité.

Le niveau Gratuit de Defender pour le cloud offre une sécurité limitée pour vos ressources Azure uniquement. Le niveau Standard de Defender pour le cloud étend ces capacités aux ressources locales et à d’autres clouds. Defender pour le cloud Standard vous aide à :

  • détecter et corriger les failles de sécurité ;
  • appliquer des contrôles d’accès et d’application pour bloquer les activités malveillantes ;
  • détecter les menaces à l’aide de l’analytique et de l’analyse décisionnelle ;
  • réagir rapidement en cas d’attaque.

Étapes suivantes

Dans les articles suivants, nous recommandons des contrôles et des activités de sécurité qui peuvent vous aider à concevoir et développer des applications sécurisées.