Introduction
La aplicación de comercio electrónico orientada al cliente de Contoso Retail se ejecuta en Azure App Service y se expone directamente a la red pública de Internet. Una prueba de penetración reciente reveló tres brechas de seguridad que siguen sin abordarse en la implementación actual. La aplicación no tiene ningún mecanismo de autenticación a nivel de plataforma; cualquier petición no autenticada llega hasta el código de la aplicación. App Service acepta el tráfico entrante de cualquier dirección IP de origen, lo que significa que un atacante que detecta el nombre de host de App Service puede omitir cualquier control de seguridad colocado delante de él. La aplicación no está protegida por un firewall de aplicaciones web, y la prueba de penetración demostró que se llevó a cabo con éxito un ataque de inyección SQL contra el endpoint de búsqueda de productos.
Estos tres huecos forman un problema en capas. Cerrar solo uno sin cerrar los demás deja expuesto un riesgo importante. La autenticación de nivel de plataforma no impide que un atacante eluda un firewall de aplicaciones web (WAF) atacando directamente App Service. Un WAF situado delante de la aplicación no proporciona protección si la aplicación sigue aceptando tráfico directo desde Internet. Cada capa depende de los demás para que sean eficaces.
En este módulo, trabajas en cada una de las tres capas en orden. Para empezar, puede proteger la propia plataforma de App Service, configurar la autenticación con Microsoft Entra ID, asignar una identidad administrada para las llamadas de servicio salientes, aplicar HTTPS y aplicar restricciones de acceso y controles de red que limiten dónde se puede originar el tráfico entrante. Después, configure una directiva de Web Application Firewall en Application Gateway. A continuación, seleccione conjuntos de reglas administradas, establezca modos de WAF y defina exclusiones y reglas personalizadas. Por último, conecte los dos componentes para que todo el tráfico entrante pase a través de la inspección de WAF antes de llegar a App Service y aprenda a supervisar los registros de WAF y ajustar la directiva para reducir los falsos positivos.
Objetivos de aprendizaje
Después de completar este módulo, podrá:
- Implementación de controles de autenticación, identidad administrada y red para Azure App Service
- Configuración de directivas de Web Application Firewall, incluidos conjuntos de reglas administradas y reglas personalizadas
- Integración de Web Application Firewall con App Service para aplicar la protección de capa perimetral