تأمين عمليات توزيع النظام الأساسي كخدمة (PaaS)
هذه المقالة توفر معلومات تساعدك على ما يلي:
- فهم مزايا الأمان لاستضافة التطبيقات في السحابة
- تقييم مزايا الأمان للنظام الأساسي كخدمة (PaaS) مقابل نماذج الخدمة السحابية الأخرى
- تغيير تركيز الأمان الخاص بك من نهج أمان محيط يركز على الشبكة إلى نهج أمان محيطي يركز على الهوية
- تنفيذ توصيات أفضل ممارسات أمان PaaS العامة
يعد تطوير التطبيقات الآمنة على Azure دليلا عاما لأسئلة الأمان وعناصر التحكم التي يجب مراعاتها في كل مرحلة من مراحل دورة حياة تطوير البرامج عند تطوير التطبيقات للسحابة.
مزايا أمان السحابة
من المهم فهم تقسيم المسؤولية بينك وبين Microsoft. محليًا، أنت تملك المكدس بأكمله، ولكن أثناء الانتقال إلى السحابة، يتم نقل بعض المسؤوليات إلى Microsoft.
هناك مزايا أمان لوجودك في السحابة. وفي بيئة محلية، من المرجح أن يكون لدى المؤسسات مسؤوليات غير ملباة وموارد محدودة متاحة للاستثمار في الأمن، ما يخلق بيئة يمكن فيها للمهاجمين استغلال نقاط الضعف في جميع الطبقات.
يمكن للمؤسسات تحسين أوقات الكشف عن التهديدات والاستجابة لها باستخدام قدرات الأمان المستندة إلى السحابة للموفر والذكاء السحابي. من خلال نقل المسؤوليات إلى مزود السحابة، يمكن للمؤسسات الحصول على المزيد من التغطية الأمنية، مما يمكنها من إعادة تخصيص موارد الأمان والميزانية لأولويات الأعمال الأخرى.
مزايا الأمان لنموذج خدمة سحابة PaaS
لنلق نظرة على مزايا الأمان لتوزيع Azure PaaS مقابل المزايا المحلية.
بدءًا من أسفل المكدس، البنية الأساسية المادية، تخفف Microsoft من المخاطر والمسؤوليات الشائعة. نظرًا لأن Microsoft تراقب سحابة Microsoft باستمرار، فمن الصعب الهجوم عليها. ليس من المنطقي للمهاجم أن يلاحق سحابة Microsoft كهدف. ما لم يكن لدى المهاجم الكثير من المال والموارد، فمن المحتمل أن ينتقل المهاجم إلى هدف آخر.
في منتصف المكدس، لا يوجد فرق بين توزيع PaaS والأماكن المحلية. في طبقة التطبيق وطبقة إدارة الحساب والوصول، لديك مخاطر مماثلة. في قسم الخطوات التالية من هذه المقالة، سنرشدك إلى أفضل الممارسات للقضاء على هذه المخاطر أو تقليلها.
في الجزء العلوي من المكدس وإدارة البيانات وإدارة الحقوق، فإنك تواجه مخاطرة واحدة يمكن التخفيف منها بواسطة الإدارة الرئيسية. (تتم تغطية إدارة المفاتيح في أفضل الممارسات.) في حين أن إدارة المفاتيح هي مسؤولية إضافية، لديك مناطق في توزيع PaaS لم تعد مضطرًا لإدارتها حتى تتمكن من نقل الموارد إلى إدارة المفاتيح.
يوفر لك النظام الأساسي Azure أيضًا حماية DDoS قوية باستخدام العديد من التقنيات المستندة إلى الشبكة. ومع ذلك، فإن جميع أنواع أساليب حماية DDoS المستندة إلى الشبكة لها حدودها على أساس كل ارتباط وكل مركز بيانات. للمساعدة في تجنب تأثير هجمات DDoS الكبيرة، يمكنك الاستفادة من الإمكانية السحابية الأساسية لـ Azure لتمكينك من التوسع بسرعة وتلقائية للدفاع ضد هجمات DDoS. سننتقل إلى مزيد من التفاصيل حول كيفية القيام بذلك في مقالات الممارسات الموصى بها.
تحديث عقلية Defender for Cloud
مع عمليات توزيع PaaS يأتي تحولاً في نهجك العام نحو الأمان. يمكنك التحول من الحاجة إلى التحكم في كل شيء بنفسك إلى مشاركة المسؤولية مع Microsoft.
هناك اختلاف كبير آخر بين PaaS وعمليات التوزيع المحلية التقليدية، وهو عرض جديد لما يعرف محيط الأمان الأساسي. سابقًا، كان محيط الأمان المحلي الأساسي هو شبكتك، وتستخدم معظم تصميمات الأمان المحلية الشبكة كعرض محوري أمان أساسي لها. بالنسبة إلى عمليات توزيع PaaS، يتم تقديم خدمة أفضل لك من خلال اعتبار الهوية هي محيط الأمان الأساسي.
اعتماد سياسة هوية كمحيط أمني أساسي
إحدى الخصائص الخمس الأساسية لحوسبة السحابة هي الوصول الواسع إلى الشبكة، ما يجعل التفكير الذي يركز على الشبكة أقل صلة. الهدف من الكثير من حوسبة السحابة هو السماح للمستخدمين بالوصول إلى الموارد بغض النظر عن الموقع. بالنسبة لمعظم المستخدمين، سيكون موقعهم في مكان ما على الإنترنت.
الشكل التالي يوضح كيفية تطور محيط الأمان من محيط الشبكة إلى محيط هوية. الأمان يصبح أقل حول الدفاع عن شبكتك وأكثر حول الدفاع عن بياناتك، بالإضافة إلى إدارة أمان تطبيقاتك ومستخدميك. الفرق الرئيسي هو أنك تريد دفع الأمان أقرب إلى ما هو مهم لشركتك.
في البداية، قدمت خدمات Azure PaaS (على سبيل المثال، أدوار الويب وAzure SQL) دفاعات فرعية تقليدية قليلة أو معدومة. تم فهم أن الغرض من العنصر هو التعرض للإنترنت (دور الويب) وأن المصادقة توفر المحيط الجديد (على سبيل المثال، BLOB أو Azure SQL).
تفترض الممارسات الأمنية الحديثة أن الخصم قد خرق محيط الشبكة. لذلك، انتقلت ممارسات الدفاع الحديثة إلى الهوية. يجب على المؤسسات إنشاء محيط أمني قائم على الهوية مع مصادقة قوية ونظافة تخويل (أفضل الممارسات).
المبادئ والأنماط لمحيط الشبكة متاحة لعقود. في المقابل، تتمتع الصناعة بخبرة أقل نسبيا في استخدام الهوية كمحيط أمني أساسي. ومع ذلك، تراكمت لدينا خبرة كافية لتقديم بعض التوصيات العامة التي ثبتت في هذا المجال وتنطبق على جميع خدمات النظام الأساسي كخدمة تقريبا.
فيما يلي أفضل الممارسات لإدارة محيط الهوية.
أفضل الممارسات: تأمين المفاتيح وبيانات الاعتماد لتأمين توزيع PaaS الخاص بك. التفاصيل: فقدان المفاتيح وبيانات الاعتماد مشكلة شائعة. يمكنك استخدام حل مركزي حيث يمكن تخزين المفاتيح والأسرار في وحدات أمان الأجهزة (HSMs). Azure Key Vault يحمي المفاتيح والأسرار من خلال تشفير مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات وملفات .pfx وكلمات المرور باستخدام المفاتيح المحمية بواسطة HSMs.
أفضل الممارسات: لا تضع بيانات الاعتماد والأسرار الأخرى في التعليمات البرمجية المصدر أو GitHub. التفاصيل: الشيء الوحيد الأسوأ من فقدان المفاتيح وبيانات الاعتماد الخاصة بك هو وجود طرف غير مصرح له بالوصول إليها. يمكن للمهاجمين الاستفادة من تقنيات الروبوت للعثور على المفاتيح والأسرار المخزنة في مستودعات التعليمات البرمجية مثل GitHub. لا تضع المفاتيح والأسرار في مستودعات التعليمات البرمجية العامة هذه.
أفضل الممارسات: حماية واجهات إدارة الجهاز الظاهري على خدمات PaaS وIaaS المختلطة باستخدام واجهة إدارة تمكنك من إدارة هذه الأجهزة الظاهرية عن بعد مباشرة. التفاصيل: يمكن استخدام بروتوكولات الإدارة عن بُعد مثل SSH وRDP وPowerShell عن بُعد. بشكل عام، نوصي بعدم تمكين الوصول المباشر عن بُعد إلى الأجهزة الظاهرية من الإنترنت.
إذا كان ذلك ممكنًا، فاستخدم أساليب بديلة مثل استخدام الشبكات الخاصة الظاهرية في شبكة Azure الظاهرية. إذا لم تكن الأساليب البديلة متوفرة، فتأكد من استخدام عبارات المرور المعقدة والمصادقة الثنائية (مثل مصادقة Microsoft Entra متعددة العوامل).
أفضل الممارسات: استخدام أنظمة أساسية قوية للمصادقة والتخويل. التفاصيل: استخدم الهويات الموحدة في معرف Microsoft Entra بدلا من مخازن المستخدمين المخصصة. عند استخدام الهويات الموحدة، يمكنك الاستفادة من نهج قائم على النظام الأساسي وتفويض إدارة الهويات المعتمدة إلى شركائك. نهج الهوية الموحدة مهم بشكل خاص عند إنهاء الموظفين، ويجب أن تنعكس المعلومات من خلال أنظمة الهوية والتخويل المتعددة.
استخدم آليات المصادقة والتخويل التي يوفرها النظام الأساسي بدلاً من التعليمات البرمجية المخصصة. والسبب هو أن تطوير التعليمات البرمجية للمصادقة المخصصة يمكن أن يكون عرضة للخطأ. معظم المطورين ليسوا خبراء في الأمان، ومن غير المحتمل أن يكونوا على دراية بالدقة وأحدث التطورات في المصادقة والتخويل. غالبًا ما تتم مراجعة التعليمات البرمجية التجارية (على سبيل المثال، من Microsoft) على نطاق واسع للأمان.
استخدم المصادقة ثنائية العوامل. المصادقة ثنائية العوامل هي المعيار الحالي للمصادقة والتخويل لأنها تتجنب نقاط الضعف الأمنية الكامنة في أنواع اسم المستخدم وكلمة المرور للمصادقة. يجب تصميم الوصول إلى كل من واجهات إدارة Azure (المدخل/PowerShell البعيد) والخدمات التي تواجه العملاء وتكوينها لاستخدام مصادقة Microsoft Entra متعددة العوامل.
استخدم بروتوكولات المصادقة القياسية، مثل OAuth2 وKerberos. تمت مراجعة هذه البروتوكولات على نطاق واسع من قبل النظراء، ومن المحتمل أن يتم تنفيذها كجزء من مكتبات النظام الأساسي للمصادقة والتخويل.
استخدام نمذجة المخاطر أثناء تصميم التطبيق
تحدد دورة حياة تطوير أمان Microsoft أنه يجب على الفرق المشاركة في عملية تسمى نمذجة المخاطر أثناء مرحلة التصميم. للمساعدة في تسهيل هذه العملية، أنشأت Microsoft أداة نمذجة المخاطر SDL. يمكن أن يؤدي تصميم التطبيق وتعداد تهديدات تصنيف المخاطر عبر جميع حدود الثقة إلى اكتشاف أخطاء التصميم في وقت مبكر.
الجدول التالي يسرد تهديدات تصنيف المخاطر ويقدم بعض أمثلة التخفيف التي تستخدم ميزات Azure. لن تعمل عوامل التخفيف هذه في كل حالة.
| التهديد | خاصية الأمان | عوامل التخفيف المحتملة من منصة Azure |
|---|---|---|
| تزييف الهوية | المصادقة | يتطلب اتصالات HTTPS. |
| العبث بالبيانات | تكامل البيانات | تحقق من شهادات TLS/SSL. |
| القدرة على الإنكار | عدم القدرة على الإنكار | مكّن المراقبة والتشخيص من Azure. |
| كشف المعلومات | السرية | تشفير البيانات الثابتة الحساسة باستخدام شهادات الخدمة. |
| رفض الخدمة | التوافر | مراقبة مقاييس الأداء لظروف رفض الخدمة المحتملة. طبّق عوامل تصفية الاتصال. |
| رفع الامتيازات | التصريح | استخدم إدارة الهويةَ المتميزة. |
التطوير على Azure App Service
Azure App Service عبارة عن خدمة منصة كخدمة تتيح لك إنشاء تطبيقات الويب والهاتف المحمول لأي نظام أساسي أو جهاز والاتصال بالبيانات في أي مكان أو في السحابة أو في الموقع. تتضمن App Service إمكانات الويب والأجهزة المحمولة التي تم تسليمها مسبقًا بشكل منفصل كمواقع Azure على الويب وخدمات Azure Mobile. كما تتضمن قدرات جديدة لأتمتة العمليات التجارية واستضافة واجهات برمجة التطبيقات السحابية. كخدمة متكاملة واحدة، توفر App Service مجموعة قيمة من الإمكانات لسيناريوهات الويب والجوال والتكامل.
فيما يلي أفضل الممارسات لاستخدام App Service.
أفضل الممارسات: المصادقة من خلال معرف Microsoft Entra. التفاصيل: توفر App Service خدمة OAuth 2.0 لموفر الهوية الخاص بك. يركز OAuth 2.0 على بساطة مطور العميل مع توفير تدفقات تخويل محددة لتطبيقات الويب وتطبيقات سطح المكتب والهواتف المحمولة. يستخدم معرف Microsoft Entra OAuth 2.0 لتمكينك من تخويل الوصول إلى تطبيقات الجوال والويب.
أفضل الممارسات: تقييد الوصول استنادًا إلى الحاجة إلى المعرفة والمبادئ الأمنية الأقل امتيازًا. التفاصيل: هذا أمر ضروري للمؤسسات التي تريد فرض نهج الأمان للوصول إلى البيانات. يمكنك استخدام Azure RBAC لتعيين الأذونات للمستخدمين والمجموعات والتطبيقات في نطاق معين. لمعرفة المزيد حول منح المستخدمين حق الوصول إلى التطبيقات، راجع البدء في إدارة الوصول.
أفضل الممارسات: حماية المفاتيح الخاصة بك. التفاصيل: يساعد Azure Key Vault في حماية مفاتيح التشفير والبيانات السرية التي تستخدمها التطبيقات والخدمات السحابية. باستخدام Key Vault، يمكنك تشفير المفاتيح والأسرار (مثل مفاتيح المصادقة ومفاتيح حساب التخزين ومفاتيح تشفير البيانات و. PFX الملفات وكلمات المرور) باستخدام مفاتيح محمية بواسطة الوحدات النمطية أمان الأجهزة (HSMs). لضمان إضافي، يمكنك استيراد أو إنشاء مفاتيح في HSMs. راجع Azure Key Vault لمعرفة المزيد. يمكنك أيضًا استخدام Key Vault لإدارة شهادات TLS الخاصة بك بالتجديد التلقائي.
أفضل الممارسات: تقييد عناوين IP المصدر الواردة. التفاصيل: تحتوي بيئات خدمة التطبيقات على ميزة تكامل شبكة افتراضية تساعدك على تقييد عناوين IP المصدر الواردة من خلال مجموعات أمان الشبكة. تمكنك الشبكات الظاهرية من وضع موارد Azure في شبكة غير متصلة بالإنترنت وقابلة للتوجيه تتحكم في الوصول إليها. لمعرفة المزيد، راجع تكامل التطبيق مع شبكة Azure الظاهرية.
أفضل الممارسات: مراقبة حالة الأمان لبيئات App Service. التفاصيل: استخدم Microsoft Defender for Cloud لمراقبة بيئات App Service. يحدد Defender for Cloud الثغرات الأمنية المحتملة، فإنه ينشئ توصيات ترشدك خلال عملية تكوين عناصر التحكم المطلوبة.
خدمات Azure السحابية
خدمات Azure السحابية هي مثال على النظام الأساسي كخدمة. مثل Azure App Service، تم تصميم هذه التقنية لدعم التطبيقات القابلة للتوسع والموثوقية وغير المكلفة في التشغيل. بنفس الطريقة التي تتم بها استضافة App Service على الأجهزة الظاهرية (VMs)، كذلك هو الحال مع خدمات Azure Cloud. ومع ذلك، تتمتع بسيطرة أكبر على الأجهزة الظاهرية. يمكنك تثبيت برنامجك على الأجهزة الظاهرية التي تستخدم Azure Cloud Services، ويمكنك الوصول إليها عن بُعد.
تثبيت جدار حماية لتطبيق الويب
تعتبر تطبيقات الويب أهداف متزايدة للهجمات الضارة التي تستغل نقاط الضعف المعروفة والشائعة. إن الشائع من بين محاولات الاختراق هي حقنة هجوم SQL، وهجمات لبرنامج نصي عبر الموقع على سبيل المثال لا الحصر. قد يكون منع مثل هذه الهجمات في رمز التطبيق صعبًا، وقد يتطلب صيانة صارمة، وتصحيح ورصد على طبقات متعددة من مخطط التطبيق. يزيد جدار حماية تطبيق الويب المركزي من بساطة إدارة الأمان ويعطي ضمانًا أفضل لمسؤولي التطبيقات في مواجهة التهديدات أو الاختراقات. يمكن أن يتفاعل حل جدار حماية تطبيق الويب WAF أيضًا مع تهديد أمني بشكل أسرع عن طريق تصحيح ثغرة أمنية معروفة في موقع مركزي في مقابل تأمين كل تطبيق من تطبيقات الويب.
يوفر جدار حماية تطبيق الويب (WAF) حماية مركزية لتطبيقات الويب الخاصة بك من عمليات الاستغلال والثغرات الأمنية الشائعة.
حماية DDoS
توفر Azure DDoS Protection، جنبا إلى جنب مع أفضل ممارسات تصميم التطبيق، ميزات محسنة لتخفيف DDoS لتوفير المزيد من الدفاع ضد هجمات DDoS. يجب تمكين Azure DDOS Protection على أي شبكة ظاهرية محيطة.
مراقبة أداء تطبيقاتك
المراقبة هي عملية جمع البيانات وتحليلها لتحديد الأداء والصحة وتوافر تطبيقك. تساعدك استراتيجية المراقبة الفعالة على فهم العملية التفصيلية لمكونات التطبيق الخاص بك. تساعدك على زيادة وقت التشغيل عن طريق إعلامك بالمسائل الحرجة، حتى تتمكن من حلها قبل أن تصبح مشكلات. كما يساعدك على اكتشاف الحالات الشاذة التي قد تكون متعلقة بالأمان.
استخدم Azure Application Insights لمراقبة توفر تطبيقات الويب وأداؤها واستخدامها سواء كانت مستضافة في السحابة أو في الموقع. باستخدام Application Insights، يمكنك تحديد الأخطاء وتشخيصها بسرعة في تطبيقك دون انتظار قيام المستخدم بالإبلاغ عنها. باستخدام المعلومات التي تجمعها، يمكنك اتخاذ خيارات مستنيرة حول صيانة تطبيقك وتحسيناته.
يحتوي Application Insights على أدوات واسعة للتفاعل مع البيانات التي يجمعها. Application Insights يخزن بياناته في مستودع مشترك. يمكن الاستفادة من الوظائف المشتركة مثل التنبيهات ولوحات المعلومات والتحليل العميق مع لغة استعلام Kusto.
إجراء اختبار اختراق الأمان
التحقق من صحة دفاعات الأمان لا يقل أهمية عن اختبار أي وظائف أخرى. اجعل اختبار الاختراق جزءًا قياسيًا من عملية الإنشاء والتوزيع الخاصة بك. قم بجدولة اختبارات الأمان المنتظمة ومسح الثغرات الأمنية على التطبيقات التي تم توزيعها، وراقب المنافذ المفتوحة ونقاط النهاية والهجمات.
اختبار Fuzz هو طريقة للعثور على فشل البرنامج (أخطاء التعليمات البرمجية) عن طريق توفير بيانات إدخال غير منظمة لواجهات البرنامج (نقاط الإدخال) التي تحلل هذه البيانات وتستهلكها.
الخطوات التالية
في هذه المقالة، ركزنا على مزايا الأمان لتوزيع Azure PaaS وأفضل ممارسات الأمان للتطبيقات السحابية. بعد ذلك، تعرف على الممارسات الموصى بها لتأمين حلول الويب والجوال PaaS باستخدام خدمات Azure محددة. سنبدأ ب Azure App Service وAzure SQL Database وAzure Synapse Analytics وAzure Storage وAzure Cloud Services. مع توفر مقالات حول الممارسات الموصى بها لخدمات Azure الأخرى، سيتم توفير ارتباطات في القائمة التالية:
- Azure App Service
- Azure SQL Database وAzure Synapse Analytics
- تخزين Azure
- خدمات Azure السحابية
- ذاكرة التخزين المؤقت في Azure لـ Redis
- ناقل خدمة Azure
- جدار حماية تطبيق الويب
راجع تطوير تطبيقات آمنة على Azure لأسئلة الأمان وعناصر التحكم التي يجب مراعاتها في كل مرحلة من مراحل دورة حياة تطوير البرامج عند تطوير التطبيقات للسحابة.
راجع أفضل ممارسات وأنماط أمان Azure لمزيد من أفضل ممارسات الأمان لاستخدامها عند تصميم حلول السحابة وتوزيعها وإدارتها باستخدام Azure.
تتوفر الموارد التالية لتوفير مزيد من المعلومات العامة حول أمان Azure وخدمات Microsoft ذات الصلة:
- دورة حياة منتج Microsoft - للحصول على إرشادات متسقة ويمكن التنبؤ بها للدعم طوال عمر المنتج
- Microsoft Security Response Center - حيث يمكن الإبلاغ عن الثغرات الأمنية من Microsoft، بما في ذلك المشكلات المتعلقة بـ Azure، أو عبر البريد الإلكتروني إلى secure@microsoft.com