Best practices voor eindpuntbeveiliging in Azure

  • Artikel
  • 6 minuten om te lezen

Een eindpunt is een adres dat wordt blootgesteld door een webtoepassing, zodat externe entiteiten erop kunnen communiceren. Een kwaadwillende of onbedoelde interactie met het eindpunt kan de beveiliging van de toepassing en zelfs het hele systeem in gevaar brengen. Een manier om het eindpunt te beveiligen is door filterbesturingselementen te plaatsen in het netwerkverkeer dat het ontvangt, zoals het definiëren van regelsets. Een diepgaande verdediging kan de risico's verder beperken. Neem aanvullende besturingselementen op die het eindpunt beveiligen als de primaire verkeerscontroles mislukken.

In dit artikel wordt beschreven hoe u webtoepassingen kunt beveiligen met Azure-services en -functies. Zie Gerelateerde koppelingen voor productdocumentatie.

Belangrijkste punten

  • Bebeveiligen alle openbare eindpunten met Azure Front Door, Application Gateway, Azure Firewall, Azure DDoS Protection.
  • Gebruik WAF (Web Application Firewall) om webworkloads te beveiligen.
  • Beperk publicatiemethoden voor workloads en beperk manieren die niet in gebruik zijn.
  • DDoS-aanvallen beperken. Gebruik Standaardbeveiliging voor kritieke workloads waarbij uitval bedrijfsimpact zou hebben. U kunt CDN ook beschouwen als een andere beveiligingslaag.
  • Ontwikkel processen en procedures om directe internettoegang van virtuele machines (zoals proxy of firewall) te voorkomen met logboekregistratie en bewaking om beleid af te dwingen.
  • Implementeert een geautomatiseerd en gated CI/CD-implementatieproces.

Openbare eindpunten

Een openbaar eindpunt ontvangt verkeer via internet. De eindpunten maken de service eenvoudig toegankelijk voor aanvallers.

Service-eindpunten en Private Link kunnen worden gebruikt om de toegang tot PaaS-eindpunten alleen te beperken vanaf geautoriseerde virtuele netwerken, waardoor gegevensindringingsrisico's en de bijbehorende gevolgen voor de beschikbaarheid van toepassingen effectief worden beperkt. Service-eindpunten bieden toegang op serviceniveau tot een PaaS-service, terwijl Private Link directe toegang biedt tot een specifieke PaaS-resource om gegevens exfiltratierisico's zoals schadelijke beheerscenario's te beperken.

Configureer waar nodig service-eindpunten en privékoppelingen.

Zijn alle openbare eindpunten van deze workload beveiligd?

Een eerste ontwerpbeslissing is om te beoordelen of u een openbaar eindpunt nodig hebt. Als u dat wel doet, kunt u deze beveiligen met behulp van deze mechanismen.

Zie Service-eindpunten voor Virtual Network en Wat is een privé-eindpunt van Azure? voor meer informatie.

Web Application Firewalls (WAF's)

WAF's bieden een basisbeveiligingsniveau voor webtoepassingen. WAF's zijn geschikt als de organisaties die hebben geïnvesteerd in toepassingsbeveiliging als WAF's aanvullende diepgaande verdedigingsbeveiliging bieden.

WAF's beperken het risico van een aanvaller om misbruik te maken van veelgebruikte beveiligingsproblemen voor toepassingen. WAF's bieden een basisbeveiligingsniveau voor webtoepassingen. Dit mechanisme is een belangrijke beperking omdat aanvallers webtoepassingen als doel hebben voor een toegangspunt naar een organisatie (vergelijkbaar met een client-eindpunt).

Eindpunten van externe toepassingen moeten worden beveiligd tegen veelvoorkomende aanvalsvectoren, van DoS-aanvallen (Denial of Service), zoals Slowloris tot aanvallen op app-niveau, om potentiële downtime van toepassingen als gevolg van schadelijke intenties te voorkomen. Azure-eigen technologieën zoals Azure Firewall, Application Gateway/Azure Front Door, WAF en DDoS Protection Standard Plan kunnen worden gebruikt om vereiste beveiliging (Azure DDoS Protection).

Azure Application Gateway beschikt over WAF-mogelijkheden om webverkeer te inspecteren en aanvallen op de HTTP-laag te detecteren. Het is een load balancer http(s) volledige omgekeerde proxy die SSL-versleuteling en -ontsleuteling (Secure Socket Layer) kan gebruiken.

Uw workload wordt bijvoorbeeld gehost in Application Service Environments (ILB ASE). De API's worden intern geconsolideerd en zichtbaar voor externe gebruikers. Deze externe blootstelling kan worden bereikt met behulp van een Application Gateway. Deze service is een load balancer. De aanvraag wordt doorgestuurd naar de interne API Management service, die op zijn beurt de API's gebruikt die in de ASE zijn geïmplementeerd. Application Gateway is ook geconfigureerd via poort 443 voor beveiligde en betrouwbare uitgaande oproepen.

Tip

De ontwerpoverwegingen voor het voorgaande voorbeeld worden beschreven in Publicatie van interne API's naar externe gebruikers.

Azure Front Door en Azure Content Delivery Network (CDN) hebben ook WAF-mogelijkheden.

Suggestieacties

Bebeveiligen van alle openbare eindpunten met de juiste oplossingen zoals Azure Front Door, Application Gateway, Azure Firewall, Azure DDOS Protection of een oplossing van derden.

Meer informatie

Azure Firewall

Bebeveiligen van het hele virtuele netwerk tegen mogelijk schadelijk verkeer van internet en andere externe locaties. Het inspecteert binnenkomend verkeer en geeft alleen de toegestane aanvragen door om door te geven.

Een veelvoorkomende ontwerp is het implementeren van een DMZ of een perimeternetwerk voor de toepassing. De DMZ is een afzonderlijk subnet met de firewall.

Tip

De ontwerpoverwegingen worden beschreven in N NVA's met hoge beschikbare implementatie.

Combinatiebenadering

Wanneer u een hogere beveiliging wilt en er een combinatie van web- en niet-webworkloads in het virtuele netwerk is, gebruikt u zowel Azure Firewall als Application Gateway. Er zijn verschillende manieren waarop deze twee services kunnen samenwerken.

U wilt bijvoorbeeld het verkeer dat uit de lucht komt filteren. U wilt connectiviteit toestaan met een specifiek Azure Storage account, maar niet andere. U hebt FQDN-filters (Fully Qualified Domain Name) nodig. Voer in dit geval firewall en Application Gateway parallel uit.

Een ander populair ontwerp is wanneer u Azure Firewall al het verkeer en WAF wilt inspecteren om webverkeer te beveiligen. De toepassing moet het bron-IP-adres van de client weten. Plaats in dit geval Application Gateway voor firewall. U kunt firewall daarentegen vóór WAF plaatsen als u verkeer wilt inspecteren en filteren voordat het de Application Gateway.

Zie Firewall en Application Gateway voor virtuele netwerken voor meer informatie.

Het is een uitdaging om beknopte firewallregels te schrijven voor netwerken waarbij verschillende cloudresources dynamisch omhoog en omlaag draaien. Gebruik Azure Security Center om onjuiste configuratierisico's te detecteren.

Verificatie

Onveilige verouderde protocollen uitschakelen voor internetservices. Verouderde verificatiemethoden zijn een van de belangrijkste aanvalsvectoren voor in de cloud gehoste services. Deze methoden bieden geen ondersteuning voor andere factoren dan wachtwoorden en zijn de belangrijkste doelen voor wachtwoordversleuteling, woordenlijst- of brute force-aanvallen.

DDoS-aanvallen beperken

Bij een DDoS-aanval (Distributed Denial of Service) is de server overbelast met valse verkeer. DDoS-aanvallen komen veel voor en kunnen worden geseed. Een aanval kan de toegang volledig blokkeren of services in de weg zitten. Zorg ervoor dat alle bedrijfskritieke webtoepassing en -services DDoS-beperking buiten de standaardbescherming hebben, zodat de toepassing geen downtime ervaart, omdat dit een negatieve invloed kan hebben op het bedrijf.

Microsoft raadt u aan geavanceerde beveiliging te gebruiken voor services waarbij downtime een negatieve invloed heeft op het bedrijf.

Hoe implementeert u DDoS-beveiliging?

Hier zijn enkele overwegingen:

  • DDoS-beveiliging op het infrastructuurniveau waarin uw workload wordt uitgevoerd. De Azure-infrastructuur heeft ingebouwde verdedigingslinie voor DDoS-aanvallen.
  • DDoS-beveiliging op de netwerklaag (laag 3). Azure biedt extra beveiliging voor services die zijn ingericht in een virtueel netwerk.
  • DDoS-beveiliging met caching. Netwerk voor contentlevering (CDN) kan een andere beveiligingslaag toevoegen. Bij een DDoS-aanval onderschept CDN het verkeer en wordt voorkomen dat het de back-endserver bereikt. Azure CDN is standaard beveiligd. Azure ondersteunt ook populaire CDN's die zijn beveiligd met een eigen DDoS-oplossingsplatform.
  • Geavanceerde DDoS-beveiliging. Overweeg in uw beveiligingsbasislijn functies met bewakingstechnieken die gebruikmaken van machine learning om afwijkende verkeer te detecteren en uw toepassing proactief te beveiligen voordat servicedegradatie optreedt.

De Windows N-tier-toepassing in Azure met SQL Server referentiearchitectuur maakt bijvoorbeeld gebruik van Azure DDoS Protection Standard, omdat deze optie:

  • Maakt gebruik van adaptieve afstemming, op basis van de netwerkverkeerspatronen van de toepassing, om bedreigingen te detecteren.
  • Garandeert een SLA van 100%.
  • Kan rendabel zijn. Tijdens een DDoS-aanval zorgen de eerste reeks aanvallen er bijvoorbeeld voor dat de inrichtende resources worden uitschalen. Voor een resource zoals een virtuele-machineschaalset kunnen 10 machines groeien tot 100, waardoor de totale kosten toenemen. Met Standard-beveiliging hoeft u zich geen zorgen te maken over de kosten van de geschaalde resources, omdat Azure een kostentegoed biedt.

Zie de standaarddocumentatie Azure DDoS Protection informatie over Azure DDoS Protection-services.

Voorgestelde actie

Identificeer kritieke workloads die vatbaar zijn voor DDoS-aanvallen en schakel DDoS-oplossingen (Distributed Denial of Service) in voor alle bedrijfskritieke webtoepassingen en -services.

Lees meer

Zie voor een lijst met referentiearchitecturen die het gebruik van DDoS-beveiliging demonstreren, Azure DDoS Protection referentiearchitecturen.

DevOps aannemen

Ontwikkelaars mogen hun code niet rechtstreeks naar app-servers publiceren.

Heeft de organisatie een CI/CD-proces voor het publiceren van code in deze workload?

De levenscyclus van continue integratie, continue levering (CI/CD) voor toepassingen implementeren. Er zijn processen en hulpprogramma's geïmplementeerd die helpen bij een geautomatiseerd en gated CI/CD-implementatieproces.

Hoe worden de publicatiemethoden beveiligd?

Toepassingsbronnen waarmee meerdere methoden app-inhoud kunnen publiceren, zoals FTP en Web Deploy, moeten de ongebruikte eindpunten hebben uitgeschakeld. Voor Azure Web Apps is SCM het aanbevolen eindpunt. Het kan afzonderlijk worden beveiligd met netwerkbeperkingen voor gevoelige gebruiksgevallen.

Volgende stap

Gegevensstroom

Terug het hoofdartikel: Netwerkbeveiliging