Kiedy używać usługi Azure Web Application Firewall

  • 8 min

Wiesz, czym jest usługa Azure Web Application Firewall i jak działa. Teraz potrzebujesz pewnych kryteriów, aby ocenić, czy usługa Azure Web Application Firewall jest odpowiednim wyborem dla twojej firmy. Aby ułatwić podjęcie decyzji, rozważmy następujące scenariusze:

  • Masz aplikacje internetowe zawierające poufne lub zastrzeżone dane
  • Masz aplikacje internetowe, które wymagają od użytkowników logowania
  • Deweloperzy aplikacji internetowej nie mają wiedzy na temat zabezpieczeń
  • Deweloperzy aplikacji internetowej mają inne priorytety
  • Masz ograniczenia budżetu tworzenia aplikacji internetowej
  • Masz ograniczenia czasu programowania aplikacji internetowej
  • Aplikacja internetowa musi być szybko skompilowana i wdrożona
  • Uruchamianie aplikacji internetowej będzie wysoce profilowe

W ramach oceny usługi Azure Web Application Firewall wiesz, że firma Contoso pasuje do kilku z tych scenariuszy. Przeczytaj odpowiednie sekcje, aby uzyskać więcej informacji.

Masz aplikacje internetowe zawierające poufne lub zastrzeżone dane

Niektórzy atakujący są zmotywowani tylko przez wyzwanie włamania się do systemu. Jednak większość złośliwych hakerów używa iniekcji, ataków protokołów i podobnych wyczynów z myślą o wypłatach. Ta wypłata może być dowolną z następujących pozycji:

  • Numery kart kredytowych klienta
  • Poufne dane osobowe, takie jak numery licencji kierowcy lub numery paszportowe
  • Zastrzeżone lub tajne dane firmowe

Osoba atakująca może bezpośrednio używać tych danych. Na przykład użytkownik może zakupić przedmioty z skradzionym numerem karty kredytowej. Bardziej prawdopodobne jest jednak, że osoba atakująca może sprzedawać dane na platformie handlowej przestępczej lub przechowywać dane okupu.

Jeśli firma uruchamia co najmniej jedną aplikację internetową przechowującą poufne lub zastrzeżone dane, usługa Azure Web Application Firewall może chronić te dane przed próbami włamania i eksfiltracji.

Masz aplikacje internetowe, które wymagają od użytkowników logowania

Osoby atakujące aplikacji internetowej często próbują uzyskać nazwy użytkowników i hasła kont. Posiadanie poświadczeń konta użytkownika jest przydatne dla osoby atakującej w następujący sposób:

  • Osoba atakująca może uzyskać dostęp do aplikacji jako autoryzowanego użytkownika.
  • Osoba atakująca może uruchamiać skrypty lub polecenia z podwyższonym poziomem uprawnień.
  • Osoba atakująca może mieć dostęp do innych części sieci.
  • Osoba atakująca może użyć poświadczeń konta w celu zalogowania się do innych witryn i usług.

Czy Twoja firma korzysta z aplikacji internetowych, które wymagają od użytkowników logowania? Usługa Azure Web Application Firewall może wykrywać luki w zabezpieczeniach, takie jak iniekcja SQL i lokalne dołączanie plików, które próbują wyświetlić lub ukraść poświadczenia konta.

Ważne

Należy pamiętać, że usługa Azure Web Application Firewall jest tylko jednym aspektem strategii zabezpieczeń sieci z wieloma wersjami. W przypadku danych logowania ta strategia może również obejmować rygorystyczne wymagania dotyczące haseł i przechowywanie haseł w postaci zaszyfrowanej.

Deweloperzy aplikacji internetowej nie mają wiedzy na temat zabezpieczeń

Kodowanie pod kątem pełnego zakresu potencjalnych luk w zabezpieczeniach aplikacji internetowych wymaga znacznej wiedzy. Ta wiedza obejmuje szczegółową wiedzę na temat następujących pojęć:

  • Ogólna struktura żądań i odpowiedzi HTTP/HTTPS
  • Określone typy żądań HTTP/HTTPS, takie jak GET, POST i PUT
  • Kodowanie adresów URL i UTF
  • Agenci użytkownika, ciągi zapytań i inne zmienne
  • Polecenia, ścieżki, powłoki i podobne dane dla wielu systemów operacyjnych serwera
  • Technologie internetowe frontonu, takie jak HTML, CSS i JavaScript
  • Technologie internetowe po stronie serwera, takie jak SQL, PHP i sesje użytkowników

Co zrobić, jeśli zespół deweloperów internetowych twojej firmy nie ma wiedzy w co najmniej jednej z tych koncepcji? W takim przypadku aplikacje internetowe są narażone na wiele luk w zabezpieczeniach. Z kolei usługa Azure Web Application Firewall jest utrzymywana i aktualizowana przez zespół ekspertów ds. zabezpieczeń firmy Microsoft.

Deweloperzy aplikacji internetowej mają inne priorytety

Jest mało prawdopodobne, aby firma wdrażała swoje aplikacje internetowe wyłącznie w celu udaremnienia luk w zabezpieczeniach, takich jak wstrzyknięcie kodu SQL i zdalne wykonywanie poleceń. Znacznie bardziej prawdopodobne jest, że twoja firma ma jakiś inny cel w swoich aplikacjach internetowych. W tym celu można sprzedawać produkty, świadczyć usługi lub promować twoją firmę.

Prawdopodobieństwo, że wolisz, aby zespół deweloperów internetowych skupił się na realizacji tych celów, a nie na pisaniu niezawodnego kodu zabezpieczeń aplikacji. Zapora aplikacji internetowej platformy Azure umożliwia firmie Microsoft zarządzanie zabezpieczeniami, podczas gdy twój zespół koncentruje się na Twojej firmie.

Masz ograniczenia budżetu tworzenia aplikacji internetowej

Kodowanie we wszystkich exploitach OWASP jest kosztowną propozycją:

  • Deweloperzy sieci Web z niezbędną wiedzą w zakresie zabezpieczeń są stosunkowo rzadkie. Ci deweloperzy mogą wykonywać wyższe wynagrodzenia niż współpracownicy, którzy nie mają takiej wiedzy.
  • Kodowanie w odniesieniu do pełnego zakresu luk w zabezpieczeniach aplikacji internetowych nie jest propozycją tylko jednorazową. Gdy nowe lub zmodyfikowane luki w zabezpieczeniach stają się znane, zespół musi stale utrzymywać i aktualizować kod zabezpieczeń. Eksperci ds. zabezpieczeń muszą stać się stałymi członkami zespołu deweloperów internetowych i stałymi elementami wierszy w budżecie.

Usługa Azure Web Application Firewall nie jest bezpłatna. Jednak może się okazać, że jest to bardziej ekonomiczne rozwiązanie niż zatrudnianie zespołu pełnoetatowych ekspertów ds. zabezpieczeń internetowych.

Masz ograniczenia czasu programowania aplikacji internetowej

Wiele zespołów programistycznych w internecie koduje we wszystkich exploitach OWASP. Jednak większość tych zespołów szybko zdaje sobie sprawę, że tworzenie i utrzymywanie tego kodu jest pracochłonne i czasochłonne. Jeśli próbujesz spełnić napięty termin uruchomienia nowej aplikacji internetowej, tysiące godzin wymaganych do ochrony aplikacji przed wszystkimi programami wykorzystującymi program OWASP jest główną przeszkodą,

Możesz skonfigurować wystąpienie usługi aplikacja systemu Azure Gateway lub profil usługi Azure Front Door za pomocą usługi Azure Web Application Firewall w ciągu kilku minut.

Aplikacja internetowa musi być szybko skompilowana i wdrożona

Wiele aplikacji internetowych nie wymaga pełnego leczenia programistycznego. Rozważmy na przykład następujące dwa typy aplikacji:

  • Weryfikacja koncepcji: aplikacja ma jedynie udowodnić, że wykonana jest pewna technika, propozycja lub projekt.
  • Minimalny produkt opłacalny (MVP): aplikacja zawiera tylko wystarczającą liczbę funkcji, które mogą być używane przez wczesnych użytkowników, którzy przekazują opinię na temat przyszłych wersji.

Zarówno weryfikacja koncepcji, jak i aplikacje internetowe MVP mają być tworzone i wdrażane szybko. W takich przypadkach nie ma sensu, aby ręcznie kodować przed typowymi programami wykorzystującymi luki w zabezpieczeniach. Nadal chcesz chronić te aplikacje przed złośliwymi aktorami, więc warto umieścić je za zaporą aplikacji internetowej.

Uruchamianie aplikacji internetowej będzie wysoce profilowe

Czy twój zespół marketingowy zdecydowanie promuje wkrótce wydaną aplikację internetową? Czy publikują wiadomości na wielu platformach mediów społecznościowych, aby podnieść zainteresowanie aplikacją przed jej wydaniem? To wspaniałe, ale czy wiesz, kto inny może być zainteresowany wydaniem aplikacji? Złośliwi użytkownicy, którzy mogą zdecydować się na zakłócenie wydania aplikacji, uruchamiając kilka typowych ataków na aplikację.

Aby uniknąć zakłóceń, warto chronić aplikację internetową za pomocą usługi Azure Web Application Firewall.