Resumen

Completado

La prueba de penetración de la aplicación de comercio electrónico de Contoso Retail reveló tres carencias: ausencia de aplicación obligatoria de autenticación a nivel de plataforma, ninguna restricción sobre el origen del tráfico entrante y ausencia de un firewall de aplicaciones web (WAF) que protegiera frente a ataques de la capa de aplicación. En este módulo se trataron los tres controles con los que puede configurar, aplicar a escala y supervisar continuamente.

Revise lo que configuró.

La primera brecha, sin aplicación de autenticación, ahora se aborda en la capa de plataforma. Ha configurado EasyAuth en App Service con Microsoft Entra ID como proveedor de identidad y ha establecido la acción para las solicitudes no autenticadas en Requerir autenticación. Las solicitudes no autenticadas se bloquean antes de que lleguen al código de la aplicación. La identidad administrada que ha activado elimina la necesidad de credenciales almacenadas en la configuración de la aplicación, y las referencias de Key Vault garantizan que los secretos permanezcan en el almacén en lugar de en artefactos de implementación o paneles de configuración.

La segunda brecha, ninguna restricción de red en el tráfico entrante, se cierra a través de restricciones de acceso y implementación de puntos de conexión privados. App Service ahora acepta tráfico entrante solo desde Application Gateway, lo que impide que los atacantes omitan la inspección de WAF al dirigirse directamente al nombre de host de App Service. La integración de redes virtuales proporciona acceso privado de salida a los recursos de back-end, y la opción Solo HTTPS con el protocolo Seguridad de la capa de transporte (TLS) 1.2, como mínimo, elimina la exposición a nivel de protocolo.

La tercera brecha, sin protección de capa perimetral contra ataques de aplicaciones, se aborda a través de la directiva waf en Application Gateway. Ha seleccionado Core Rule Set (CRS) 3.2 como el conjunto de reglas gestionado para cubrir las 10 categorías principales de ataques de OWASP, incluida la inyección SQL; se ha implementado en modo de detección para el ajuste inicial y se han configurado exclusiones específicas para reducir los falsos positivos antes de cambiar al modo de prevención. Las reglas personalizadas y las asociaciones de directivas por sitio proporcionan flexibilidad para adaptar el WAF a los requisitos específicos de la aplicación.

Estas tres capas funcionan como un sistema. Un WAF sin restricciones en el backend puede eludirse. La restricción del backend sin WAF deja los ataques de la capa de aplicación sin inspeccionar. La autenticación de plataforma sin controles de red todavía expone la aplicación a solicitudes no autenticadas de orígenes no deseados. La eficacia de la seguridad requiere que las tres capas estén implantadas conjuntamente.

Aprende más