Güvenli uygulama yapılandırması ve bağımlılıklar

  • Makale
  • Okumak için 3 dakika

Uygulama yapılandırma bilgileri uygulamayla depolanabilir. Bununla birlikte, önerilen bir uygulama değildir. Azure Uygulama yapılandırması veya Azure Key Vault gibi adanmış bir yapılandırma yönetimi sistemi kullanmayı düşünün. Bu şekilde, uygulama kodundan bağımsız olarak güncelleştirilebilen olabilir.

Uygulamalar, veritabanı bağlantı dizeleri, sertifika anahtarları vb. gibi gizli dizileri de içerebilir. Gizli dizileri kaynak kodunda veya yapılandırma dosyalarında saklamayın. Bunun yerine, Azure Key Vault gibi güvenli bir mağazada saklayın. Statik kod tarama araçlarıyla koddaki gizli dizileri belirler. Tarama işlemini sürekli tümleştirme (CI) işlem hattınızda ekleyin.

Gizli dizi yönetimi, başvuru anahtarı ve gizli dizi yönetimihakkında daha fazla bilgi için.

Hatalar ve özel durumlar, bu bilgileri kullanıcılara kullanıma sunulmadan düzgün şekilde işlensin mi?

Uygulama özel durumlarını işlerken, uygulamayı düzgün bir şekilde başarısız yapın ve hatayı günlüğe kaydedin. çağrı yığını, SQL sorguları veya aralık dışı hatalar gibi hatayla ilgili ayrıntılı bilgiler sağlamaz. Bu bilgiler, saldırganlar uygulamanın iç işlevleri hakkında değerli bilgiler sağlayabilir.

Yapılandırma ayarları, uygulamayı yeniden derlemek veya yeniden dağıtmak zorunda kalmadan değiştirilebilir veya değiştirilebilir mi?

Uygulama kodu ve yapılandırması, işletimsel etkinlikleri etkinleştirmek için aynı yaşam döngüsünü paylaşmamalıdır. Bu etkinlikler, geliştirici katılımı veya yeniden dağıtımı olmadan belirli yapılandırmaların değiştirilmesini ve güncelleştirilmesini içerir.

Platforma özgü bilgiler sunucu-istemci iletişiminden kaldırıldı mi?

Uygulama platformuyla ilgili bilgileri açığa çıkarmayın. Bu tür bilgiler (örneğin, X-Powered-ByX-ASPNET-VERSION ) http BAŞLıKLARı, http üstbilgileri, hata iletileri ve Web sitesi altbilgileri aracılığıyla sunulabilir. Kötü amaçlı aktörler, uygulamanın saldırı vektörlerini eşlerken bu bilgileri kullanabilir.

Önerilen Eylemler

Platforma özgü HTTP üstbilgilerini kaldırmak için Azure ön kapısı veya API Management kullanmayı düşünün. bunun yerine, barındırma platformunu son kullanıcılardan ayırmak için Azure CDN kullanın. Azure API Management, HTTP üstbilgilerini değiştirmenize ve hassas bilgileri kaldırmanıza imkan tanıyan dönüştürme ilkeleri sunar.

Daha fazla bilgi edinin

Azure ilkeleri, çözüm kaynaklarının yapılandırılmasını denetlemek için kullanılır mi?

Uygun yerlerde ayarları dağıtmak için Azure Ilkesini kullanın. Hizmet etkinleştirme sırasında tanımlanan uygun güvenlik gereksinimlerini karşılamayan kaynakları engelleyin.

Bağımlılıklar, çerçeveler ve kitaplıklar

Uygulama tarafından kullanılan çerçeveler ve kitaplıklar nelerdir?

Uygulama çerçeveleri, genellikle satıcı veya topluluklara göre güncelleştirilir ve serbest bırakılır. Uygulama tarafından kullanılan çerçeveleri ve kitaplıkları, sağladıkları tüm ortaya çıkan güvenlik açıklarını da içerecek şekilde izlemek çok önemlidir. Bu çerçeveler ve kitaplıklar özel, OSS, üçüncü taraf ve diğerlerini içerir. Uygulamanın kullandığı teknolojileri anlayın ve yönetin, örneğin:

  • .NET Core
  • Spring
  • Node.js

Otomatikleştirilmiş çözümler bu değerlendirmede yardımcı olabilir.

Aşağıdaki en iyi yöntemleri göz önünde bulundurun:

  • Uygulamanıza eklenen herhangi bir açık kaynaklı kodun güvenliğini doğrulayın. Bu değerlendirmede yardımcı olmaya yönelik ücretsiz araçlar şunlardır:

    • OWASP Dependency-Check
    • NPM denetimi
    • WhiteSource Bolt

    Bu araçlar güncel olmayan bileşenleri bulur ve bunları en son sürümlere güncelleştirir.

  • Uygulama envanterinin bir parçası olarak çerçeve ve kitaplıkların bir listesini saklayın. Ayrıca, kullanımda olan sürümlerin izini saklayın. Güvenlik açıkları yayımlanıyorsa, bu tanıma etkilenen iş yüklerini belirlemesine yardımcı olur.

  • Uygulama yaşam döngüsünün bir parçası olarak çerçeveleri ve kitaplıkları güncelleştirin. Kritik güvenlik düzeltme eklerinin önceliklerini belirleyin.

Görüntülenen SSL/TLS sertifikalarının süre sonu tarihleri ve bunları yenilemek için süreçler var mı?

SSL/TLS sertifikalarının süre sonu tarihlerini izlemek ve bunları geçen zamanda yenilemek son derece önemlidir. İdeal olarak, işlem otomatik olmalıdır, ancak bu genellikle sertifika için kullanılan CA 'ya bağlıdır. Otomatik değilse, süre sonu tarihlerinin karşılanmadığından emin olmak için yeterli uyarı uygulanması gerekir.

Daha fazla bilgi edinin

Başvurulan Azure hizmetleri

Sonraki adımlar

Topluluk kaynakları

Azure 'da barındırılan bir uygulamanın güvenliği, size uygulama sahibi ve Azure gibi paylaşılan bir sorumluluktur. IaaS için VM, işletim sistemi ve üzerinde yüklü bileşenlerle ilgili yapılandırmalardan sorumlu olursunuz. PaaS için, uygulama hizmeti yapılandırmalarının güvenliği ve uygulama tarafından kullanılan bağımlılıkların da güvenli olduğundan emin olmanız sizin sorumluluğunuzdadır.

Önemli noktalar

  • Gizli dizileri kaynak kodunda veya yapılandırma dosyalarında saklamayın. Bunun yerine, Azure Uygulama yapılandırması veya Azure Key Vault gibi güvenli bir depoda saklayın.
  • Uygulama özel durumlarını işlerken ayrıntılı hata bilgilerini açığa çıkarın.
  • Platforma özgü bilgileri kullanıma sunma.
  • Uygulama yapılandırmasını ayrı olarak güncelleştirmek ve daha sıkı erişim denetimi yapmak için uygulama kodunun dışında saklayın.
  • Güvenlik gereksinimlerini karşılamayan Azure kaynaklarına erişimi kısıtlayın.
  • Uygulamanıza eklenen herhangi bir açık kaynaklı kodun güvenliğini doğrulayın.
  • Uygulama yaşam döngüsünün bir parçası olarak çerçeveleri ve kitaplıkları güncelleştirin.

Yapılandırma güvenliği

Tasarım aşamasında, gizli dizileri depolamanıza ve özel durumları nasıl işleyeceğinizi göz önünde bulundurun. Aşağıda bazı noktaları bulabilirsiniz.

Uygulama yapılandırması nasıl depolanır ve uygulama ona nasıl erişir?