Metodtips för slutpunktssäkerhet i Azure
Ett första designbeslut är att utvärdera om du behöver en offentlig slutpunkt alls. Om du gör det kan du skydda den med hjälp av dessa metoder.
Mer information finns i Virtual Network tjänstslutpunkter och Vad är privat Azure-slutpunkt?
Brandväggar för webbaserade program (WAF)
WAF ger en grundläggande säkerhetsnivå för webbprogram. WAF är lämpliga om de organisationer som har investerat i programsäkerhet som WAF ger ytterligare skydd på djupet.
WAF minskar risken för att en angripare utnyttjar vanliga säkerhetsproblem för program. WAF ger en grundläggande säkerhetsnivå för webbprogram. Den här mekanismen är en viktig åtgärd eftersom angripare riktar in sig på webbprogram för en ingresspunkt i en organisation (liknar en klientslutpunkt).
Externa programslutpunkter bör skyddas mot vanliga attackvektorer, från DoS-attacker (Denial of Service) som Slowloris till kryphål på appnivå för att förhindra potentiella avbrott i programmet på grund av skadlig avsikt. Azure-inbyggda tekniker som Azure Firewall, Application Gateway/Azure Front Door, WAF och DDoS Protection Standard Plan kan användas för att uppnå nödvändigt skydd (Azure DDoS Protection).
Azure Application Gateway waf-funktioner för att inspektera webbtrafik och identifiera attacker på HTTP-lagret. Det är en lastbalanserare och en fullständig omvänd HTTP(S)-proxy som kan kryptera och dekryptera secure socket layer (SSL).
Din arbetsbelastning finns till exempel i Programtjänstmiljöer (ILB ASE). API:erna konsolideras internt och exponeras för externa användare. Den här externa exponeringen kan uppnås med hjälp av en Application Gateway. Den här tjänsten är en lastbalanserare. Den vidarebefordrar begäran till den interna API Management tjänsten, som i sin tur använder de API:er som distribueras i ASE. Application Gateway också via port 443 för säkra och tillförlitliga utgående anrop.
Tips
Designöverväganden för föregående exempel beskrivs i Publicera interna API:er för externa användare.
Azure Front Door och Azure Content Delivery Network (CDN) har också WAF-funktioner.
Förslagsåtgärder
Skydda alla offentliga slutpunkter med lämpliga lösningar som Azure Front Door, Application Gateway, Azure Firewall, Azure DDOS Protection eller någon lösning från tredje part.
Läs mer
- Vad är Azure Firewall?
- Översikt över Azure DDoS Protection Standard
- Azure Front Door dokumentation
- Vad är Azure Application Gateway?
Azure Firewall
Skydda hela det virtuella nätverket mot potentiellt skadlig trafik från Internet och andra externa platser. Den inspekterar inkommande trafik och skickar endast de tillåtna begäranden som ska passera.
En vanlig design är att implementera en DMZ eller ett perimeternätverk framför programmet. DMZ är ett separat undernät med brandväggen.
Tips
Designöverväganden beskrivs i Distribuera NVA:er med hög tillgänglig .
Kombinationsmetod
När du vill ha högre säkerhet och det finns en blandning av webb- och icke-webbarbetsbelastningar i det virtuella nätverket använder du både Azure Firewall och Application Gateway. Det finns flera sätt på vilka dessa två tjänster kan fungera tillsammans.
Du vill till exempel filtrera utgående trafik. Du vill tillåta anslutning till ett specifikt Azure Storage men inte andra. Du behöver fullständigt kvalificerade domännamnsbaserade filter . I det här fallet kör du brandväggen Application Gateway körs parallellt.
En annan populär design är när du vill Azure Firewall att inspektera all trafik och WAF för att skydda webbtrafik, och programmet måste känna till klientens IP-källadress. I det här fallet placerar Application Gateway framför brandväggen. Omvänt kan du placera brandväggen framför WAF om du vill inspektera och filtrera trafik innan den når Application Gateway.
Mer information finns i Brandvägg och Application Gateway för virtuella nätverk.
Det är svårt att skriva koncisa brandväggsregler för nätverk där olika molnresurser dynamiskt sätts upp och ned. Använd Microsoft Defender för molnet för att identifiera felkonfigurationsrisker.
Autentisering
Inaktivera osäkra äldre protokoll för Internetuppriktade tjänster. Äldre autentiseringsmetoder är bland de främsta attackvektorerna för molnbaserade tjänster. Dessa metoder stöder inte andra faktorer utöver lösenord och är primära mål för lösenordsutsänkning, ordlisteattacker eller brute force-attacker.
Minimera DDoS-attacker
I en DDoS-attack (Distributed Denial-of-Service) överbelastas servern med falsk trafik. DDoS-attacker är vanliga och kan dekryptera. En attack kan helt blockera åtkomst eller ta bort tjänster. Se till att alla affärskritiska webbprogram och tjänster har DDoS-åtgärder utöver standardförsvaret så att programmet inte drabbas av driftstopp eftersom det kan påverka verksamheten negativt.
Microsoft rekommenderar att du använder avancerat skydd för alla tjänster där driftstopp kan ha en negativ inverkan på verksamheten.
Hur implementerar du DDoS-skydd?
Här är några saker att tänka på:
- DDoS-skydd på infrastrukturnivå där din arbetsbelastning körs. Azure-infrastrukturen har inbyggda försvar för DDoS-attacker.
- DDoS-skydd på nätverkslagret (skikt 3). Azure ger ytterligare skydd för tjänster som etablerats i ett virtuellt nätverk.
- DDoS-skydd med cachelagring. Nätverk för innehållsleverans (CDN) kan lägga till ytterligare ett skyddslager. I en DDoS-attack fångar CDN upp trafiken och hindrar den från att nå serverservern. Azure CDN är inbyggt. Azure har också stöd för populära CDN-nätverk som skyddas med en egen DDoS-skyddsplattform.
- Avancerat DDoS-skydd. I din säkerhetsbaslinje bör du överväga funktioner med övervakningstekniker som använder maskininlärning för att identifiera avvikande trafik och proaktivt skydda ditt program innan tjänstförsämring inträffar.
Till exempel använder Windows N-nivåprogrammet på Azure SQL Server referensarkitekturen Azure DDoS Protection Standard eftersom det här alternativet:
- Använder anpassningsbar justering, baserat på programmets nätverkstrafikmönster, för att identifiera hot.
- Garanterar 100 % serviceavtal.
- Kan vara kostnadseffektivt. Under en DDoS-attack gör till exempel den första uppsättningen attacker att de etablerade resurserna skalas ut. För en resurs, till exempel en VM-skalningsuppsättning, kan 10 datorer växa till 100, vilket ökar de totala kostnaderna. Med standardskydd behöver du inte bekymra dig om kostnaden för de skalade resurserna eftersom Azure ger en kostnadskredit.
Mer information om Azure DDoS Protection-tjänster finns i Azure DDoS Protection Standard-dokumentationen.
Föreslagen åtgärd
Identifiera kritiska arbetsbelastningar som är sårbara för DDoS-attacker och aktivera DDoS-åtgärder (Distributed Denial of Service) för alla affärskritiska webbprogram och tjänster.
Läs mer
En lista över referensarkitekturer som demonstrerar användningen av DDoS-skydd finns i Azure DDoS Protection referensarkitekturer.
Införa DevOps
Utvecklare bör inte publicera sin kod direkt till appservrar.
Har organisationen en CI/CD-process för att publicera kod i den här arbetsbelastningen?
Implementera livscykeln för kontinuerlig integrering, kontinuerlig leverans (CI/CD) för program. Ha processer och verktyg på plats som hjälper till i en automatiserad och gated CI/CD-distributionsprocess.
Hur skyddas publiceringsmetoderna?
Programresurser som tillåter flera metoder för att publicera appinnehåll, till exempel FTP, Web Deploy bör ha de oanvända slutpunkterna inaktiverade. För Azure Web Apps är SCM den rekommenderade slutpunkten. Det kan skyddas separat med nätverksbegränsningar för känsliga användningsfall.
Nästa steg
Relaterade länkar
- Azure Firewall
- Vad är Azure Web Application Firewall på Azure Application Gateway?
- Azure DDoS Protection Standard
Gå tillbaka huvudartikeln: Nätverkssäkerhet
En slutpunkt är en adress som exponeras av en webbapp så att externa entiteter kan kommunicera med den. En skadlig eller oavsiktlig interaktion med slutpunkten kan äventyra säkerheten för programmet och hela systemet. Ett sätt att skydda slutpunkten är att placera filterkontroller på nätverkstrafiken som den tar emot, till exempel definiera regeluppsättningar. En djup defense-in-depth-metod kan ytterligare minska riskerna. Inkludera kompletterande kontroller som skyddar slutpunkten om de primära trafikkontrollerna misslyckas.
I den här artikeln beskrivs hur du kan skydda webbprogram med Azure-tjänster och -funktioner. Produktdokumentation finns i Relaterade länkar.
Huvudpunkter
- Skydda alla offentliga slutpunkter med Azure Front Door, Application Gateway, Azure Firewall, Azure DDoS Protection.
- Använd brandväggen för webbaserade program (WAF) för att skydda webbarbetsbelastningar.
- Skydda publiceringsmetoder för arbetsbelastningar och begränsa sätt som inte används.
- Minimera DDoS-attacker. Använd standardskydd för kritiska arbetsbelastningar där avbrott skulle påverka verksamheten. Överväg också CDN som ett annat skyddslager.
- Utveckla processer och procedurer för att förhindra direkt Internetåtkomst till virtuella datorer (till exempel proxy eller brandvägg) med loggning och övervakning för att genomdriva principer.
- Implementera en automatiserad och gated CI/CD-distributionsprocess.
Offentliga slutpunkter
En offentlig slutpunkt tar emot trafik via Internet. Slutpunkterna gör tjänsten lättillgänglig för angripare.
Tjänstslutpunkter och Private Link kan användas för att begränsa åtkomsten till PaaS-slutpunkter endast från auktoriserade virtuella nätverk, vilket effektivt minimerar dataintrångsrisker och tillhörande påverkan på programmets tillgänglighet. Tjänstslutpunkter ger åtkomst på tjänstnivå till en PaaS-tjänst, medan Private Link ger direkt åtkomst till en specifik PaaS-resurs för att minimera data exfiltreringsrisker, till exempel skadliga administratörsscenarier.
Konfigurera tjänstslutpunkter och privata länkar där det är lämpligt.
Skyddas alla offentliga slutpunkter för den här arbetsbelastningen?