Implementación de aplicaciones seguras en Azure
En esta serie de artículos se presentan las actividades y controles de seguridad que hay que tener en cuenta al implementar aplicaciones para la nube. Se tratan los conceptos y preguntas de seguridad que se deben tener en cuenta durante las fases de versión y de respuesta del Ciclo de vida de desarrollo de seguridad (SDL) de Microsoft. El objetivo es ayudarle a definir actividades y servicios de Azure que pueden usarse para implementar una aplicación más segura.
En este artículo se tratan las siguientes fases del SDL:
- Release
- Response
Release
El enfoque de la fase de lanzamiento es preparar un proyecto para el lanzamiento público. Esto incluye la planeación de formas de realizar eficazmente las tareas de servicio posteriores a la versión y de abordar las vulnerabilidades de seguridad que puedan producirse más adelante.
Comprobación del rendimiento de la aplicación antes de iniciar
Compruebe el rendimiento de su aplicación antes de iniciarla o de implementar actualizaciones en la producción. Use Azure Load Testing para ejecutar las pruebas de carga en la nube para encontrar problemas de rendimiento en la aplicación, mejorar la calidad de la implementación, asegurarse de que la aplicación esté siempre activa o disponible y de que la aplicación pueda tratar el tráfico para el lanzamiento.
Instalar un firewall de aplicaciones web
Las aplicaciones web son cada vez más los objetivos de ataques malintencionados que aprovechan vulnerabilidades comunes conocidas, como Entre estas vulnerabilidades, son comunes los ataques por inyección de código SQL o ataques de scripts de sitios. Evitar estos ataques en el código de la aplicación puede ser todo un desafío. Puede requerir un mantenimiento riguroso, revisión y supervisión en varias capas de la topología de la aplicación. Un WAF centralizado ayuda a simplificar la administración de seguridad. Las soluciones de WAF también pueden reaccionar ante una amenaza de la seguridad aplicando revisiones que aborden una vulnerabilidad conocida en una ubicación central en lugar de proteger cada una de las aplicaciones web por separado.
La característica de Azure Application Gateway WAF que ofrece una protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad más habituales. La solución WAF se basa en las reglas contenidas en OWASP Core Rule Set 3.0 o 2.2.9.
Creación de un plan de respuesta ante incidentes
La preparación de un plan de respuesta a incidentes es fundamental para ayudarle a hacer frente a las nuevas amenazas que puedan surgir con el tiempo. La preparación de un plan de respuesta a incidentes incluye la identificación de contactos de emergencia de seguridad apropiados y el establecimiento de planes de servicio de seguridad para el código heredado de otros grupos de la organización y para el código de terceros con licencia.
Realización de una revisión de seguridad final
La revisión deliberada de todas las actividades de seguridad que se llevaron a cabo ayuda a garantizar la preparación para la versión de software o la aplicación. La revisión de seguridad final (FSR) suele incluir el examen de los modelos de amenazas, las salidas de las herramientas y el rendimiento frente a las puertas de calidad y las barras de error que se han definido en la fase de requisitos.
Certificación de la versión y del archivo
La certificación de software antes de una versión ayuda a garantizar que se cumplen los requisitos de seguridad y privacidad. El archivo de todos los datos pertinentes es esencial para realizar las tareas de mantenimiento posteriores a la versión. El archivado también ayuda a reducir los costos a largo plazo asociados con la ingeniería de software sostenida.
Response
La fase de respuesta posterior al lanzamiento se centra en que el equipo de desarrollo sea capaz y esté disponible para responder adecuadamente a cualquier informe de amenazas y vulnerabilidades de software emergentes.
Ejecución del plan de respuesta ante incidentes
Ser capaz de implementar el plan de respuesta a incidentes instituido en la fase de lanzamiento es esencial para ayudar a proteger a los clientes de la seguridad del software o de las vulnerabilidades de privacidad que surjan.
Supervisión del rendimiento de las aplicaciones
La supervisión continua de la aplicación una vez implementada puede ayudarle a detectar problemas de rendimiento y vulnerabilidades de seguridad.
Los servicios de Azure que ayudan con la supervisión de aplicaciones son los siguientes:
- Azure Application Insights
- Microsoft Defender for Cloud
Application Insights
Application Insights es un servicio de Application Performance Management (APM) extensible para desarrolladores web en varias plataformas. Úselo para supervisar la aplicación web en directo. Application Insights detecta automáticamente anomalías en el rendimiento. Incluye herramientas de análisis eficaces que le ayudan a diagnosticar problemas y comprender lo que hacen realmente los usuarios con la aplicación. Está diseñado para ayudarle a mejorar continuamente el rendimiento y la facilidad de uso.
Microsoft Defender for Cloud
Microsoft Defender for Cloud ayuda a evitar, detectar y responder a amenazas con más visibilidad y control sobre la seguridad de sus recursos de Azure, incluidas las aplicaciones web. Microsoft Defender for Cloud ayuda a detectar amenazas que podrían pasar desapercibidas. Funciona con varias soluciones de seguridad.
El nivel Gratis de Defender for Cloud ofrece seguridad limitada solo para los recursos de Azure. El nivel estándar de Defender for Cloud amplía estas funcionalidades a los recursos locales y otras nubes. El plan estándar de Defender for Cloud le ayuda a:
- Buscar y corregir vulnerabilidades de seguridad
- Aplicar controles de acceso y de aplicación para bloquear actividad malintencionada
- Detectar amenazas mediante análisis e inteligencia
- Responder rápidamente cuando esté siendo atacado
Pasos siguientes
En los siguientes artículos, se recomiendan controles de seguridad y actividades que pueden ayudarle a diseñar y desarrollar aplicaciones seguras.