Wdrażanie bezpiecznych aplikacji na platformie Azure

W tym artykule przedstawiono działania i mechanizmy kontroli zabezpieczeń, które należy wziąć pod uwagę podczas wdrażania aplikacji dla chmury. Omówione są pytania i pojęcia dotyczące zabezpieczeń, które należy wziąć pod uwagę podczas fazy wydania i odpowiedzi cyklu życia programowania zabezpieczeń firmy Microsoft (SDL). Celem jest ułatwienie definiowania działań i usług platformy Azure, których można użyć do wdrożenia bezpieczniejszej aplikacji.

W tym artykule opisano następujące fazy SDL:

  • Release
  • Reakcja

Release

Celem fazy wydania jest przygotowanie projektu do wydania publicznego. Obejmuje to planowanie sposobów efektywnego wykonywania zadań obsługi po wydaniu i reagowania na luki w zabezpieczeniach, które mogą wystąpić później.

Sprawdź wydajność aplikacji przed uruchomieniem

Przed uruchomieniem aplikacji sprawdź wydajność aplikacji lub wdróż aktualizacje w środowisku produkcyjnym. Testowanie obciążenia platformy Azure umożliwia uruchamianie testów obciążeniowych opartych na chmurze w celu znalezienia problemów z wydajnością aplikacji, poprawy jakości wdrażania, upewnienia się, że aplikacja jest zawsze uruchomiona lub dostępna, a aplikacja może obsługiwać ruch do uruchomienia.

Instalowanie zapory aplikacji internetowej

Aplikacje internetowe coraz częściej stają się obiektami złośliwych ataków wykorzystujących znane luki w zabezpieczeniach. Typowe wśród tych luk w zabezpieczeniach są ataki polegających na wstrzyknięciu kodu SQL i atakach skryptowych między witrynami. Zapobieganie atakom w kodzie aplikacji może być trudne. Może to wymagać rygorystycznej konserwacji, stosowania poprawek i monitorowania w wielu warstwach topologii aplikacji. Scentralizowana zapora aplikacji internetowej ułatwia zarządzanie zabezpieczeniami. Rozwiązanie zapory aplikacji internetowej może również reagować na zagrożenie bezpieczeństwa przez stosowanie poprawek do znanej luki w zabezpieczeniach w centralnej lokalizacji w porównaniu do zabezpieczania poszczególnych aplikacji internetowych.

Zapora aplikacji internetowej Azure Application Gateway zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach. Zapora aplikacji internetowej jest oparta na regułach z podstawowych zestawów reguł OWASP 3.0 lub 2.2.9.

Tworzenie planu reagowania na zdarzenia

Przygotowanie planu reagowania na zdarzenia ma kluczowe znaczenie dla rozwiązania nowych zagrożeń, które mogą pojawić się w czasie. Przygotowanie planu reagowania na zdarzenia obejmuje identyfikowanie odpowiednich kontaktów awaryjnych zabezpieczeń i ustanawianie planów obsługi zabezpieczeń dla kodu dziedziczonego z innych grup w organizacji i licencjonowanego kodu innej firmy.

Przeprowadzanie ostatecznego przeglądu zabezpieczeń

Celowo przeglądając wszystkie wykonane działania zabezpieczeń, pomaga zapewnić gotowość do wydania oprogramowania lub aplikacji. Ostateczny przegląd zabezpieczeń (FSR) zwykle obejmuje badanie modeli zagrożeń, danych wyjściowych narzędzi i wydajności względem bram jakości i pasków błędów, które zostały zdefiniowane w fazie wymagań.

Certyfikowanie wersji i archiwum

Certyfikowanie oprogramowania przed wydaniem pomaga zapewnić spełnienie wymagań dotyczących zabezpieczeń i prywatności. Archiwizowanie wszystkich istotnych danych jest niezbędne do wykonywania zadań obsługi po wydaniu. Archiwizowanie pomaga również obniżyć długoterminowe koszty związane z trwałą inżynierią oprogramowania.

Reakcja

Faza odpowiedzi po wydaniu koncentruje się na tym, że zespół programistyczny jest w stanie i jest dostępny, aby odpowiednio reagować na wszelkie raporty o pojawiających się zagrożeniach i lukach w zabezpieczeniach oprogramowania.

Wykonywanie planu reagowania na zdarzenia

Możliwość wdrożenia planu reagowania na zdarzenia ustanowionego w fazie wydania ma zasadnicze znaczenie dla ułatwienia klientom ochrony przed lukami w zabezpieczeniach oprogramowania lub prywatności, które pojawiają się.

Monitorowanie wydajności aplikacji

Ciągłe monitorowanie aplikacji po wdrożeniu potencjalnie pomaga wykrywać problemy z wydajnością, a także luki w zabezpieczeniach.

Usługi platformy Azure, które pomagają w monitorowaniu aplikacji, to:

  • Azure Application Insights
  • Microsoft Defender for Cloud

Application Insights

Application Insights to rozszerzalna usługa zarządzania wydajnością aplikacji (APM) dla deweloperów internetowych na wielu platformach. Użyj tej usługi do monitorowania aplikacji internetowej na żywo. Usługa Application Insights automatycznie wykrywa anomalie wydajności. Zawiera zaawansowane narzędzia analityczne, które ułatwiają diagnozowanie problemów i zrozumienie, co użytkownicy rzeczywiście robią z twoją aplikacją. Usługa ta pomaga w ciągłym udoskonalaniu wydajności i użyteczności tworzonych rozwiązań.

Microsoft Defender for Cloud

Usługa Microsoft Defender for Cloud pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie dzięki zwiększonemu wglądowi (i kontroli nad zabezpieczeniami zasobów platformy Azure), w tym aplikacji internetowych. Usługa Microsoft Defender for Cloud pomaga wykrywać zagrożenia, które w przeciwnym razie mogą być niezauważone. Współpracuje z różnymi rozwiązaniami zabezpieczeń.

Warstwa Bezpłatna usługi Defender for Cloud oferuje ograniczone zabezpieczenia tylko dla zasobów platformy Azure. Warstwa Standardowa usługi Defender for Cloud rozszerza te możliwości na zasoby lokalne i inne chmury. Usługa Defender for Cloud Standard ułatwia:

  • Znajdowanie i naprawianie luk w zabezpieczeniach.
  • Stosowanie kontroli dostępu i aplikacji w celu blokowania złośliwych działań.
  • Wykrywanie zagrożeń przy użyciu analizy i analizy.
  • Szybko reagować, gdy jest atakowany.

Następne kroki

W poniższych artykułach zalecamy mechanizmy kontroli zabezpieczeń i działania, które mogą pomóc w projektowaniu i tworzeniu bezpiecznych aplikacji.