Nasazení zabezpečených aplikací v Azure

  • Článek

V tomto článku představujeme aktivity zabezpečení a kontrolní mechanismy, které je potřeba vzít v úvahu při nasazování aplikací do cloudu. Jsou probírané bezpečnostní otázky a koncepty, které je potřeba vzít v úvahu během fází vydávání a reakcí životního cyklu SDL (Microsoft Security Development Lifecycle). Cílem je pomoct vám definovat aktivity a služby Azure, které můžete použít k nasazení bezpečnější aplikace.

Tento článek popisuje následující fáze SDL:

  • Vydat
  • Odpověď

Vydat

Fáze vydávání je zaměřena na příprava projektu pro veřejné vydání. To zahrnuje plánování způsobů, jak efektivně provádět úlohy údržby po vydání verze a řešit chyby zabezpečení, ke kterým může dojít později.

Kontrola výkonu aplikace před spuštěním

Zkontrolujte výkon aplikace před jejím spuštěním nebo nasazením aktualizací do produkčního prostředí. Pomocí služby Azure Load Testing můžete spustit cloudové zátěžové testy a zjistit problémy s výkonem vaší aplikace, zlepšit kvalitu nasazení, zajistit, aby vaše aplikace byla vždy spuštěná nebo dostupná a aby vaše aplikace zvládla provoz při spuštění.

Instalace firewallu webových aplikací

Webové aplikace se čím dál častěji stávají cílem škodlivých útoků, které zneužívají běžně známé chyby zabezpečení. Mezi tyto zneužití patří útoky prostřednictvím injektáže SQL a skriptovací útoky mezi weby. Prevence těchto útoků v kódu aplikace může být náročná. Může vyžadovat důkladnou údržbu, opravy a monitorování v mnoha vrstvách topologie aplikace. Centralizovaný WAF usnadňuje správu zabezpečení. Řešení WAF může také reagovat na bezpečnostní hrozbu opravou známé chyby zabezpečení v centrálním umístění a zabezpečením jednotlivých webových aplikací.

Azure Application Gateway WAF poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. WAF je založený na pravidlech ze základních sad pravidel OWASP 3.0 nebo 2.2.9.

Vytvoření plánu reakcí na incidenty

Příprava plánu reakce na incidenty je zásadní, aby vám pomohla řešit nové hrozby, které se můžou v průběhu času objevit. Příprava plánu reakce na incidenty zahrnuje identifikaci vhodných kontaktů pro nouzové zabezpečení a vytvoření plánů údržby zabezpečení pro kód, který je zděděný z jiných skupin v organizaci, a pro licencovaný kód třetích stran.

Provedení závěrečné kontroly zabezpečení

Záměrná kontrola všech provedených aktivit zabezpečení pomáhá zajistit připravenost pro vydání softwaru nebo aplikaci. Závěrečná kontrola zabezpečení (FSR) obvykle zahrnuje zkoumání modelů hrozeb, výstupů nástrojů a výkonu s využitím bran kvality a chybových úsečí definovaných ve fázi požadavků.

Certifikace vydané verze a archivace

Certifikace softwaru před vydáním pomáhá zajistit splnění požadavků na zabezpečení a ochranu osobních údajů. Archivace všech relevantních dat je nezbytná pro provádění úloh údržby po vydání verze. Archivace také pomáhá snížit dlouhodobé náklady spojené s trvalou softwarovou technikou.

Odpověď

Fáze reakce po vydání verze se zaměřuje na to, že vývojový tým dokáže a je k dispozici, aby odpovídajícím způsobem reagoval na jakékoli zprávy o vznikajících softwarových hrozbách a ohroženích zabezpečení.

Spuštění plánu reakce na incidenty

Schopnost implementovat plán reakce na incidenty zavedený ve fázi vydání je zásadní pro ochranu zákazníků před zjištěným ohrožením zabezpečení softwaru nebo ochrany osobních údajů.

Monitorování výkonu aplikací

Průběžné monitorování aplikace po jejím nasazení vám může pomoct odhalit problémy s výkonem a také ohrožení zabezpečení.

Služby Azure, které pomáhají s monitorováním aplikací, jsou:

  • Azure Application Insights
  • Microsoft Defender for Cloud

Application Insights

Application Insights je rozšiřitelná služba APM (Application Performance Management) pro webové vývojáře na různých platformách. Slouží k monitorování živé webové aplikace. Application Insights automaticky detekuje anomálie výkonu. Obsahuje výkonné analytické nástroje, které vám pomůžou diagnostikovat problémy a pochopit, co uživatelé s vaší aplikací ve skutečnosti dělají. Je navržena tak, aby pomáhala průběžně vylepšovat výkon a možnosti využití.

Microsoft Defender for Cloud

Microsoft Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně se zvýšeným přehledem (a kontrolou) zabezpečení prostředků Azure, včetně webových aplikací. Microsoft Defender for Cloud pomáhá detekovat hrozby, které by jinak mohly být bez povšimnutí. Funguje s různými řešeními zabezpečení.

Úroveň Free v Defenderu for Cloud nabízí omezené zabezpečení jenom pro vaše prostředky Azure. Úroveň Defender for Cloud Standard rozšiřuje tyto možnosti na místní prostředky a další cloudy. Defender for Cloud Standard vám pomůže:

  • Vyhledejte a opravte ohrožení zabezpečení.
  • Použití řízení přístupu a aplikací k blokování škodlivých aktivit
  • Detekujte hrozby pomocí analýz a inteligentních funkcí.
  • Rychle reagujte, když budete napadeni.

Další kroky

V následujících článcích doporučujeme bezpečnostní prvky a aktivity, které vám můžou pomoct s návrhem a vývojem zabezpečených aplikací.