Nasazení zabezpečených aplikací v Azure
V tomto článku prezentujeme aktivity zabezpečení a kontrolní mechanismy, které je potřeba vzít v úvahu při nasazování aplikací pro cloud. Otázky a koncepty zabezpečení, které je potřeba vzít v úvahu ve fázích vydávání verzí a odpovědí životního cyklu SDL (Microsoft Security Development Lifecycle). Cílem je pomoct definovat aktivity a služby Azure, které můžete použít k nasazení bezpečnější aplikace.
V tomto článku jsou popsané následující fáze SDL:
- Verze
- Response
Verze
Cílem fáze vydání je příprava projektu pro veřejnou verzi. To zahrnuje způsoby plánování efektivního provádění servisních úloh po vydání a řešení ohrožení zabezpečení, ke kterým může dojít později.
Před spuštěním zkontrolujte výkon aplikace.
Než aplikaci spustíte nebo nasadíte aktualizace do produkčního prostředí, zkontrolujte její výkon. Pomocí zátěžového testování Azure můžete spouštět cloudové zátěžové testy , abyste zjistili problémy s výkonem vaší aplikace, zlepšili kvalitu nasazení, zajistili, že je vaše aplikace vždy v provozu nebo je dostupná a že vaše aplikace dokáže zpracovat provoz při spuštění.
Instalace firewallu webových aplikací
Webové aplikace se čím dál častěji stávají cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení. Mezi tyto zneužití patří útoky prostřednictvím injektáže SQL a skriptování mezi weby. Zabránění těmto útokům v kódu aplikace může být náročné. Může vyžadovat důkladnou údržbu, opravy a monitorování v mnoha vrstvách topologie aplikace. Centralizovaný WAF pomáhá zjednodušit správu zabezpečení. Řešení WAF může také reagovat na bezpečnostní hrozbu opravou známého ohrožení zabezpečení v centrálním umístění a zabezpečením jednotlivých webových aplikací.
WaF brány Aplikace Azure poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF je založen na pravidlech ze základních sad pravidel OWASP 3.0 nebo 2.2.9.
Vytvoření plánu reakcí na incidenty
Příprava plánu reakce na incidenty je zásadní, aby vám pomohla řešit nové hrozby, které se můžou v průběhu času objevit. Příprava plánu reakce na incidenty zahrnuje identifikaci vhodných kontaktů tísňového volání zabezpečení a vytvoření plánů údržby zabezpečení pro kód zděděný z jiných skupin v organizaci a pro licencovaný kód třetí strany.
Provedení závěrečné kontroly zabezpečení
Úmyslně zkontrolujte všechny aktivity zabezpečení, které byly provedeny, pomáhá zajistit připravenost pro vaši verzi softwaru nebo aplikaci. Konečná kontrola zabezpečení (FSR) obvykle zahrnuje zkoumání modelů hrozeb, výstupů nástrojů a výkonu proti branám kvality a pruhům chyb definovaným ve fázi požadavků.
Certifikace vydané verze a archivu
Certifikace softwaru před vydáním pomáhá zajistit splnění požadavků na zabezpečení a ochranu osobních údajů. Archivace všech relevantních dat je nezbytná pro provádění servisních úloh po vydání. Archivace také pomáhá snižovat dlouhodobé náklady spojené s trvalou softwarovou technikou.
Response
Reakce po vydání fáze se soustředí na schopnost a dostupnost vývojového týmu, aby správně reagovala na všechny zprávy o vznikajících softwarových hrozbách a ohroženích zabezpečení.
Spuštění plánu reakce na incidenty
Schopnost implementovat plán reakce na incidenty zavedený ve fázi vydání je nezbytné k ochraně zákazníků před zabezpečením softwaru nebo ohroženími zabezpečení osobních údajů, které se objevují.
Monitorování výkonu aplikací
Průběžné monitorování aplikace po nasazení vám může pomoct odhalit problémy s výkonem a také ohrožení zabezpečení.
Služby Azure, které pomáhají s monitorováním aplikací, jsou:
- Azure Application Insights
- Microsoft Defender for Cloud
Application Insights
Aplikační Přehledy je rozšiřitelná služba APM (Application Performance Management) pro webové vývojáře na více platformách. Slouží k monitorování živé webové aplikace. Aplikační Přehledy automaticky detekuje anomálie výkonu. Obsahuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, co uživatelé ve skutečnosti s vaší aplikací dělají. Je navržená tak, aby pomáhala průběžně vylepšovat výkon a možnosti využití.
Microsoft Defender for Cloud
Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně, a to se zvýšenou viditelností (a kontrolou) zabezpečení vašich prostředků Azure, včetně webových aplikací. Microsoft Defender for Cloud pomáhá zjišťovat hrozby, které by jinak nemusely být nepozorované. Funguje s různými řešeními zabezpečení.
Úroveň Free v defenderu for Cloud nabízí omezené zabezpečení jenom pro prostředky Azure. Úroveň Defender for Cloud Standard rozšiřuje tyto možnosti na místní prostředky a další cloudy. Defender for Cloud Standard vám pomůže:
- Vyhledejte a opravte ohrožení zabezpečení.
- Využijte ovládání přístupu a aplikací k blokování škodlivých aktivit.
- Detekce hrozeb pomocí analýz a inteligentních funkcí
- Rychle reagovat při útoku.
Další kroky
V následujících článcích doporučujeme kontrolní mechanismy zabezpečení a aktivity, které vám pomůžou navrhovat a vyvíjet zabezpečené aplikace.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro