Implementar aplicações seguras no Azure

Neste artigo, apresentamos atividades e controlos de segurança a considerar quando implementar aplicações para a cloud. As perguntas e conceitos de segurança a considerar durante as fases de lançamento e resposta do Ciclo de Vida de Desenvolvimento de Segurança (SDL) da Microsoft são abordados. O objetivo é ajudá-lo a definir atividades e serviços do Azure que pode utilizar para implementar uma aplicação mais segura.

As seguintes fases de SDL são abordadas neste artigo:

• Libertar
• Resposta

Libertar

O foco da fase de lançamento é preparar um projeto para lançamento público. Isto inclui formas de planear eficazmente as tarefas de manutenção pós-lançamento e resolver vulnerabilidades de segurança que podem ocorrer mais tarde.

Verificar o desempenho da sua aplicação antes de iniciar

Verifique o desempenho da sua aplicação antes de a iniciar ou implementar atualizações para produção. Utilize o Teste de Carga do Azure para executar testes de carga baseados na cloud para encontrar problemas de desempenho na sua aplicação, melhorar a qualidade da implementação, certificar-se de que a sua aplicação está sempre ativa ou disponível e que a sua aplicação consegue processar o tráfego para o seu lançamento.

Instalar uma firewall de aplicações Web

Cada vez mais, as aplicações Web são alvo de ataques maliciosos que exploram vulnerabilidades conhecidas comuns. Entre estas exploits estão os ataques de injeção de SQL e os ataques de scripting entre sites. Impedir estes ataques no código da aplicação pode ser um desafio. Pode exigir uma manutenção rigorosa, aplicação de patches e monitorização em muitas camadas da topologia da aplicação. Uma WAF centralizada ajuda a simplificar a gestão de segurança. Uma solução WAF também pode reagir a uma ameaça de segurança ao corrigir uma vulnerabilidade conhecida numa localização central versus proteger cada aplicação Web individual.

O Gateway de Aplicação do Azure WAF fornece proteção centralizada das suas aplicações Web contra exploits e vulnerabilidades comuns. A WAF baseia-se nas regras dos conjuntos de regras principais do OWASP 3.0 ou 2.2.9.

Criar um plano de resposta a incidentes

Preparar um plano de resposta a incidentes é crucial para o ajudar a lidar com novas ameaças que podem surgir ao longo do tempo. A preparação de um plano de resposta a incidentes inclui a identificação de contactos de emergência de segurança adequados e o estabelecimento de planos de manutenção de segurança para código herdado de outros grupos na organização e para código de terceiros licenciado.

Realizar uma revisão de segurança final

Rever deliberadamente todas as atividades de segurança executadas ajuda a garantir a preparação para a sua versão de software ou aplicação. Normalmente, a revisão de segurança final (FSR) inclui examinar modelos de ameaças, saídas de ferramentas e desempenho em relação às portas de qualidade e barras de erros que foram definidas na fase de requisitos.

Certificar a versão e o arquivo

Certificar software antes de um lançamento ajuda a garantir que os requisitos de segurança e privacidade são cumpridos. Arquivar todos os dados pertinentes é essencial para realizar tarefas de manutenção pós-lançamento. O arquivo também ajuda a reduzir os custos a longo prazo associados à engenharia de software sustentada.

Resposta

A fase de resposta pós-lançamento centra-se na capacidade e disponibilidade da equipa de desenvolvimento para responder adequadamente a quaisquer relatórios de ameaças e vulnerabilidades de software emergentes.

Executar o plano de resposta a incidentes

A capacidade de implementar o plano de resposta a incidentes instituído na fase de lançamento é essencial para ajudar a proteger os clientes de vulnerabilidades de privacidade ou segurança de software que surgem.

Monitorizar o desempenho da aplicação

A monitorização contínua da sua aplicação depois de ser implementada pode ajudá-lo a detetar problemas de desempenho, bem como vulnerabilidades de segurança.

Os serviços do Azure que ajudam na monitorização de aplicações são:

• Azure Application Insights
• Microsoft Defender para a Cloud

Application Insights

O Application Insights é um serviço extensível de Gestão de Desempenho de Aplicações (APM) para programadores Web em várias plataformas. Utilize-o para monitorizar a sua aplicação Web online. O Application Insights deteta automaticamente anomalias de desempenho. Inclui ferramentas de análise avançadas para o ajudar a diagnosticar problemas e compreender o que os utilizadores realmente fazem com a sua aplicação. Foi concebido para o ajudar a melhorar continuamente o desempenho e a usabilidade.

Microsoft Defender para a Cloud

Microsoft Defender para a Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade (e controlo) sobre a segurança dos seus recursos do Azure, incluindo aplicações Web. Microsoft Defender para a Cloud ajuda a detetar ameaças que, de outra forma, podem passar despercebidas. Funciona com várias soluções de segurança.

O escalão Gratuito do Defender para Cloud oferece segurança limitada apenas para os seus recursos do Azure. O escalão Defender para Cloud Standard expande estas capacidades para recursos no local e outras clouds. O Defender para Cloud Standard ajuda-o:

• Localizar e corrigir vulnerabilidades de segurança.
• Aplique controlos de acesso e aplicações para bloquear atividades maliciosas.
• Detetar ameaças através da análise e inteligência.
• Responda rapidamente quando estiver sob ataque.

Passos seguintes

Nos seguintes artigos, recomendamos controlos de segurança e atividades que podem ajudá-lo a conceber e desenvolver aplicações seguras.

• Conceber aplicações seguras
• Desenvolver aplicações seguras