PaaS-környezetek védelme
Ez a cikk a következőkben nyújt segítséget:
- Az alkalmazások felhőben való üzemeltetésének biztonsági előnyeinek megismerése
- A szolgáltatásként nyújtott platform (PaaS) és más felhőszolgáltatási modellek biztonsági előnyeinek értékelése
- A biztonsági fókusz módosítása hálózatközpontúról identitásközpontú szegélybiztonsági megközelítésre
- Általános PaaS-biztonsági ajánlott eljárásokra vonatkozó javaslatok implementálása
A biztonságos alkalmazások fejlesztése az Azure-ban általános útmutató azokhoz a biztonsági kérdésekhez és vezérlőkhöz, amelyeket a szoftverfejlesztési életciklus minden fázisában figyelembe kell vennie a felhőbeli alkalmazások fejlesztésekor.
Felhőbiztonsági előnyök
Fontos megérteni az Ön és a Microsoft közötti felelősségmegosztást . A helyszínen öné az egész verem, de a felhőbe lépéskor bizonyos felelősségek átkerülnek a Microsoftnak.
A felhőben való használata biztonsági előnyökkel jár. Helyszíni környezetben a szervezetek valószínűleg nem megfelelő felelősségekkel és korlátozott erőforrásokkal rendelkeznek a biztonságba való befektetéshez, ami olyan környezetet hoz létre, amelyben a támadók minden rétegben képesek kihasználni a biztonsági réseket.
A szervezetek a felhőalapú biztonsági képességek és a felhőintelligencia használatával javíthatják fenyegetésészlelési és válaszidejüket. Ha a felelősségeket a felhőszolgáltatóra helyezi át, a szervezetek nagyobb biztonsági lefedettséget érhetnek el, ami lehetővé teszi számukra, hogy a biztonsági erőforrásokat és a költségvetést átcsoportosítsák más üzleti prioritásokra.
A PaaS-felhőszolgáltatás-modell biztonsági előnyei
Tekintsük át az Azure PaaS-környezet és a helyszíni környezet biztonsági előnyeit.
A verem alján kezdődően a fizikai infrastruktúra, a Microsoft mérsékli a gyakori kockázatokat és felelősségeket. Mivel a Microsoft folyamatosan figyeli a Microsoft felhőt, nehéz támadni. A támadóknak nincs értelme célként követni a Microsoft-felhőt. Hacsak a támadó nem rendelkezik sok pénzzel és erőforrással, a támadó valószínűleg továbblép egy másik célpontra.
A verem közepén nincs különbség a PaaS-üzemelő példány és a helyszíni között. Az alkalmazásrétegben, valamint a fiók- és hozzáférés-kezelési rétegben hasonló kockázatokkal kell számolnia. A cikk következő lépéseit ismertető szakaszban bemutatjuk azokat az ajánlott eljárásokat, amelyek kiküszöbölik vagy minimalizálják ezeket a kockázatokat.
A verem tetején, az adatszabályozás és a jogkezelés területén egyetlen kockázatot vállal, amelyet a kulcskezeléssel mérsékelhet. (A kulcskezelést az ajánlott eljárások ismertetik.) Bár a kulcskezelés további felelősség, a PaaS-üzemelő példányok olyan területei vannak, amelyeket már nem kell kezelnie, így erőforrásokat helyezhet át a kulcskezelésre.
Az Azure platform emellett erős DDoS-védelmet is biztosít különböző hálózati technológiák használatával. A hálózatalapú DDoS védelmi módszerek minden típusa azonban kapcsolatonkénti és adatközpontonkénti korlátozásokkal rendelkezik. A nagy DDoS-támadások hatásának elkerülése érdekében kihasználhatja az Azure alapvető felhőalapú képességét, amely lehetővé teszi a DDoS-támadások elleni védelem gyors és automatikus felskálázását. Az ajánlott eljárásokról szóló cikkekben részletesebben is bemutatjuk, hogyan teheti ezt meg.
A Felhőhöz készült Defender szemléletének modernizálása
A PaaS-üzemelő példányok áttűnnek a biztonság általános megközelítésében. Át kell helyeznie a szükségletet, hogy mindent saját maga irányítson, hogy megossza a felelősséget a Microsofttal.
A PaaS és a hagyományos helyszíni üzemelő példányok között egy másik jelentős különbség az elsődleges biztonsági szegélyt meghatározó új nézet. Korábban az elsődleges helyszíni biztonsági szegély az Ön hálózata volt, és a legtöbb helyszíni biztonsági terv a hálózatot használja elsődleges biztonsági kimutatásként. PaaS-üzemelő példányok esetén az identitás az elsődleges biztonsági szegély.
Identitásszabályzat elfogadása elsődleges biztonsági szegélyként
A felhőalapú számítástechnika öt alapvető jellemzője közül az egyik a széles körű hálózati hozzáférés, ami kevésbé relevánssá teszi a hálózatközpontú gondolkodást. A felhőalapú számítástechnika nagy részének az a célja, hogy a felhasználók helytől függetlenül hozzáférhessenek az erőforrásokhoz. A legtöbb felhasználó számára a tartózkodási helyük valahol az interneten lesz.
Az alábbi ábra bemutatja, hogyan alakult a biztonsági szegély a hálózati szegélyről az identitás szegélyére. A biztonság kevésbé a hálózat védelméről és az adatok védelméről, valamint az alkalmazások és a felhasználók biztonságának kezeléséről szól. A legfontosabb különbség az, hogy a biztonságot közelebb szeretné helyezni a vállalat számára fontoshoz.
Kezdetben az Azure PaaS-szolgáltatások (például webes szerepkörök és Azure SQL) kevés vagy egyáltalán nem biztosítottak hagyományos hálózati szegélyvédelmet. Megértettük, hogy az elem célja az internet (webes szerepkör) elérése, és hogy a hitelesítés biztosítja az új szegélyt (például BLOB vagy Azure SQL).
A modern biztonsági eljárások feltételezik, hogy a támadó átlépte a hálózati szegélyt. Ezért a modern védelmi gyakorlatok átkerültek az identitásba. A szervezeteknek identitásalapú biztonsági szegélyt kell létrehozniuk erős hitelesítéssel és engedélyezési higiéniával (ajánlott eljárások).
A hálózati szegély alapelvei és mintái évtizedek óta elérhetők. Ezzel szemben az iparág viszonylag kevesebb tapasztalattal rendelkezik az identitás elsődleges biztonsági szegélyként való használatával kapcsolatban. Ezzel együtt elég tapasztalatot gyűjtöttünk ahhoz, hogy általános javaslatokat nyújtsunk, amelyek a területen bizonyítottak, és szinte minden PaaS-szolgáltatásra vonatkoznak.
Az alábbiakban az identitás szegélyének kezelésével kapcsolatos ajánlott eljárásokat követjük.
Ajánlott eljárás: Biztonságossá teheti a kulcsokat és a hitelesítő adatokat a PaaS-környezet biztonságossá tételéhez. Részletek: A kulcsok és a hitelesítő adatok elvesztése gyakori probléma. Használhat központosított megoldást, ahol a kulcsok és titkos kódok hardveres biztonsági modulokban (HSM-ben) tárolhatók. Az Azure Key Vault a hitelesítési kulcsok, a tárfiókkulcsok, az adattitkosítási kulcsok, a .pfx-fájlok és a jelszavak HSM-ekkel védett kulcsok használatával történő titkosításával védi a kulcsokat és a titkos kulcsokat.
Ajánlott eljárás: Ne helyezzen el hitelesítő adatokat és egyéb titkos kódokat a forráskódban vagy a GitHubon. Részletek: A kulcsok és a hitelesítő adatok elvesztésénél az egyetlen rosszabb, ha egy illetéktelen fél hozzáfér hozzájuk. A támadók kihasználhatják a robottechnológiák előnyeit a kódtárakban, például a GitHubon tárolt kulcsok és titkos kódok megtalálásához. Ne helyezzen kulcsokat és titkos kulcsokat ezekben a nyilvános kódtárakban.
Ajánlott eljárás: A virtuális gépek felügyeleti felületeinek védelme hibrid PaaS- és IaaS-szolgáltatásokon egy olyan felügyeleti felület használatával, amely lehetővé teszi a virtuális gépek közvetlen távoli kezelését. Részletek: Távoli felügyeleti protokollok, például SSH, RDP és PowerShell-remoting használhatók. Általában azt javasoljuk, hogy ne engedélyezze a virtuális gépekhez való közvetlen távoli hozzáférést az internetről.
Ha lehetséges, használjon alternatív megközelítéseket, például virtuális magánhálózatokat egy Azure-beli virtuális hálózatban. Ha nem áll rendelkezésre alternatív megközelítés, győződjön meg arról, hogy összetett jelszót és kétfaktoros hitelesítést (például Azure AD Multi-Factor Authenticationt) használ.
Ajánlott eljárás: Használjon erős hitelesítési és engedélyezési platformokat. Részletek: Egyéni felhasználói tárolók helyett összevont identitásokat használjon Azure AD. Összevont identitások használata esetén kihasználja a platformalapú megközelítést, és delegálja az engedélyezett identitások kezelését a partnereinek. Az összevont identitás megközelítése különösen fontos az alkalmazottak leállásakor, és ezt az információt több identitás- és engedélyezési rendszeren keresztül kell tükrözni.
Egyéni kód helyett használjon platformalapú hitelesítési és engedélyezési mechanizmusokat. Ennek az az oka, hogy az egyéni hitelesítési kód fejlesztése hibalehetőséget jelenthet. A fejlesztők többsége nem biztonsági szakértő, és nem valószínű, hogy tisztában van a hitelesítés és engedélyezés finomságával és legújabb fejlesztésével. A kereskedelmi kódot (például a Microsofttól) gyakran széles körben ellenőrzik.
Használjon kétfaktoros hitelesítést. A kétfaktoros hitelesítés a hitelesítés és az engedélyezés jelenlegi szabványa, mivel elkerüli a felhasználónév- és jelszótípusokban rejlő biztonsági hiányosságokat. Az Azure felügyeleti (portál-/távoli PowerShell-) felületekhez és az ügyféloldali szolgáltatásokhoz való hozzáférést úgy kell megtervezni és konfigurálni, hogy Azure AD Multi-Factor Authenticationt használják.
Használjon szabványos hitelesítési protokollokat, például az OAuth2-t és a Kerberost. Ezeket a protokollokat alaposan felülvizsgálták, és valószínűleg a platformkódtárak részeként implementálták őket hitelesítés és engedélyezés céljából.
Fenyegetésmodellezés használata az alkalmazás tervezése során
A Microsoft biztonsági fejlesztési életciklusa meghatározza, hogy a csapatoknak a tervezési fázisban részt kell vennie egy fenyegetésmodellezés nevű folyamatban. A folyamat megkönnyítése érdekében a Microsoft létrehozta az SDL-Threat Modeling Tool. Az alkalmazásterv modellezése és a STRIDE-fenyegetések számbavétele az összes megbízhatósági határon korai tervezési hibákat okozhat.
Az alábbi táblázat felsorolja a STRIDE-fenyegetéseket, és néhány példát mutat be az Azure-funkciókat használó kockázatcsökkentésekre. Ezek a kockázatcsökkentések nem működnek minden helyzetben.
| Fenyegetés | Biztonsági tulajdonság | Lehetséges Azure-platform-kockázatcsökkentések |
|---|---|---|
| Identitáshamisítás | Hitelesítés | HTTPS-kapcsolatok megkövetelése. |
| Illetéktelen adatmódosítás | Integritás | TLS-/SSL-tanúsítványok ellenőrzése. |
| Letagadhatóság | Letagadhatatlanság | Engedélyezze az Azure monitorozását és diagnosztikát. |
| Információfelfedés | Titkosság | Bizalmas adatok titkosítása inaktív állapotban szolgáltatástanúsítványok használatával. |
| Szolgáltatásmegtagadás | Rendelkezésre állás | A szolgáltatásmegtagadási feltételek teljesítménymetrikáinak monitorozása. Kapcsolatszűrők implementálása. |
| Jogosultsági szint emelése | Engedélyezés | Használja Privileged Identity Management. |
Fejlesztés a Azure App Service
Azure App Service egy PaaS-ajánlat, amellyel webes és mobilalkalmazásokat hozhat létre bármely platformhoz vagy eszközhöz, és bárhol, a felhőben vagy a helyszínen csatlakozhat az adatokhoz. App Service tartalmazza azokat a webes és mobil képességeket, amelyeket korábban külön az Azure Websites és az Azure Mobile Services szolgáltatásként szállítottak. Ezenkívül új lehetőségek is elérhetők az üzleti folyamatok automatizálásához és felhőalapú API-k üzemeltetéséhez. Egyetlen integrált szolgáltatásként a App Service számos funkciót kínál a webes, mobil és integrációs forgatókönyvekhez.
Az alábbiakban a App Service használatának ajánlott eljárásait követjük.
Ajánlott eljárás: Hitelesítés az Azure Active Directoryn keresztül. Részletek: App Service OAuth 2.0-szolgáltatást biztosít az identitásszolgáltató számára. Az OAuth 2.0 az ügyfélfejlesztők egyszerűségére összpontosít, miközben konkrét engedélyezési folyamatokat biztosít a webalkalmazásokhoz, asztali alkalmazásokhoz és mobiltelefonokhoz. Azure AD az OAuth 2.0 használatával engedélyezi a mobil- és webalkalmazásokhoz való hozzáférést.
Ajánlott eljárás: A hozzáférés korlátozása a szükséges ismeretek és a minimális jogosultsági szintű biztonsági alapelvek alapján. Részletek: A hozzáférés korlátozása elengedhetetlen azoknak a szervezeteknek, amelyek biztonsági szabályzatokat szeretnének kikényszeríteni az adathozzáféréshez. Az Azure RBAC használatával engedélyeket rendelhet felhasználókhoz, csoportokhoz és alkalmazásokhoz egy adott hatókörben. További információ a felhasználók alkalmazásokhoz való hozzáférésének biztosításáról: Ismerkedés a hozzáférés-kezeléssel.
Ajánlott eljárás: A kulcsok védelme. Részletek: Az Azure Key Vault segít megvédeni a felhőalapú alkalmazások és szolgáltatások által használt titkosítási kulcsokat és titkos kulcsokat. A Key Vault segítségével titkosíthatja a kulcsokat és titkos kulcsokat (például hitelesítési kulcsokat, tárfiókkulcsokat, adattitkosítási kulcsokat, . PFX-fájlok és jelszavak) hardveres biztonsági modulok (HSM-ek) által védett kulcsok használatával. A még nagyobb biztonság érdekében lehetőség van arra is, hogy kulcsokat importáljon és generáljon a hardveres biztonsági modulokban. További információt az Azure Key Vault című témakörben talál. A TLS-tanúsítványok automatikus megújítással történő kezeléséhez Key Vault is használhatja.
Ajánlott eljárás: A bejövő forrás IP-címeinek korlátozása. Részletek: App Service Environment rendelkezik egy virtuális hálózati integrációs funkcióval, amellyel hálózati biztonsági csoportokon keresztül korlátozhatja a bejövő forrás IP-címeket. A virtuális hálózatok lehetővé teszik, hogy az Azure-erőforrásokat egy nem internetes, szabályozható hálózatba helyezze, amelyhez ön szabályozza a hozzáférést. További információ: Alkalmazás integrálása Azure-beli virtuális hálózattal.
Ajánlott eljárás: A App Service környezetek biztonsági állapotának monitorozása. Részletek: A App Service-környezetek monitorozásához használja a Microsoft Defender for Cloudot. Amikor a Defender for Cloud azonosítja a lehetséges biztonsági réseket, javaslatokat hoz létre, amelyek végigvezetik a szükséges vezérlők konfigurálásának folyamatán.
Azure Cloud Services
Az Azure Cloud Services egy paaS-példa. A Azure App Service-hez hasonlóan ez a technológia is olyan alkalmazások támogatására szolgál, amelyek méretezhetőek, megbízhatóak és olcsók. Ugyanúgy, ahogy a App Service virtuális gépeken üzemeltetik, az Azure Cloud Services is. A virtuális gépek azonban nagyobb mértékben szabályozhatóak. Saját szoftvert telepíthet az Azure Cloud Services használó virtuális gépekre, és távolról is elérheti őket.
Webalkalmazási tűzfal telepítése
A webalkalmazások egyre inkább ki vannak téve rosszindulatú támadásoknak, amelyek az ismert biztonsági réseket használják ki. Az ilyen jellegű támadások között például gyakoriak az SQL-injektálásos és a webhelyek közötti, parancsprogramot alkalmazó támadások. Az ilyen támadások megakadályozása az alkalmazás kódjában kihívást jelenthet, és szigorú felügyeletet, javítást és megfigyelést igényelhet az alkalmazás topológiájának számos rétegén. A központosított webalkalmazási tűzfal egyszerűbbé teszi a biztonságfelügyeletet, és segít az alkalmazás-rendszergazdáknak a fenyegetések vagy a behatolások elleni védekezésben. Emellett a WAF-megoldás gyorsabban képes kezelni a biztonsági fenyegetéseket azáltal, hogy kijavítja az ismert biztonsági réseket egy központi helyen, ahelyett hogy az egyes webalkalmazások védelmét biztosítaná.
Web Application Firewall (WAF) központi védelmet biztosít a webalkalmazásoknak a gyakori biztonsági résekkel és biztonsági résekkel szembeni védelmével kapcsolatban.
DDoS Protection
Az Azure DDoS Protection alkalmazástervezési ajánlott eljárásokkal kombinálva továbbfejlesztett DDoS-kockázatcsökkentési funkciókat biztosít, hogy nagyobb védelmet nyújtson a DDoS-támadásokkal szemben. Az Azure DDOS Protectiont minden szegélyhálózaton engedélyeznie kell.
Az alkalmazások teljesítményének monitorozása
A monitorozás az alkalmazások teljesítményének, állapotának és rendelkezésre állásának meghatározásához szükséges adatok gyűjtésének és elemzésének feladata. A hatékony monitorozási stratégia pontos információkat nyújt az alkalmazás összetevőinek működéséről. Ez segít növelni az üzemidőt azáltal, hogy értesíti Önt a kritikus problémákról, hogy megoldhassa őket, mielőtt problémákba ütköznének. Emellett segít észlelni azokat az anomáliákat is, amelyek biztonsági jellegűek lehetnek.
Az Azure-alkalmazás Insights használatával monitorozza az alkalmazás rendelkezésre állását, teljesítményét és használatát, függetlenül attól, hogy az a felhőben vagy a helyszínen van-e üzemeltetve. Az Application Insights használatával gyorsan azonosíthatja és diagnosztizálhatja az alkalmazás hibáit anélkül, hogy megvárja, amíg a felhasználó jelentést készít róluk. A gyűjtött információk alapján megalapozott döntéseket hozhat az alkalmazás karbantartásával és továbbfejlesztésével kapcsolatban.
Az Application Insights kiterjedt eszközkészlettel rendelkezik az általa gyűjtött adatok feldolgozásához. Az Application Insights egy általános adattárban tárolja az adatait. A Kusto lekérdezési nyelvével kihasználhatja a megosztott funkciókat, például a riasztásokat, az irányítópultokat és a mély elemzést.
Biztonsági behatolástesztelés végrehajtása
A biztonsági védelem ellenőrzése ugyanolyan fontos, mint bármely más funkció tesztelése. A behatolástesztelést a buildelési és üzembehelyezési folyamat standard részévé teheti. Rendszeres biztonsági tesztek és biztonságirés-vizsgálat ütemezése az üzembe helyezett alkalmazásokon, valamint a nyitott portok, végpontok és támadások figyelése.
Az Fuzz-tesztelés a programhibák (kódhibák) felderítésére szolgáló módszer, ha helytelen formátumú bemeneti adatokat ad meg az adatokat elemző és használó programillesztőknek (belépési pontoknak).
Következő lépések
Ebben a cikkben az Azure PaaS üzembe helyezésének biztonsági előnyeire és a felhőalkalmazások biztonsági ajánlott eljárásaira összpontosítottunk. Ezután megismerheti a PaaS-web- és mobilmegoldások adott Azure-szolgáltatások használatával történő biztonságossá tételéhez ajánlott eljárásokat. Első lépésként Azure App Service, Azure SQL Database és Azure Synapse Analytics, Azure Storage és Azure Cloud Services. Ahogy a más Azure-szolgáltatások ajánlott eljárásairól szóló cikkek elérhetővé válnak, a hivatkozások a következő listában lesznek megadva:
- Azure App Service
- Azure SQL Database és Azure Synapse Analytics
- Azure Storage
- Azure Cloud Services
- Azure Cache for Redis
- Azure Service Bus
- Webalkalmazási tűzfal
A felhőbeli alkalmazások fejlesztésekor a szoftverfejlesztési életciklus minden fázisában megfontolandó biztonsági kérdésekért és vezérlőkért lásd: Biztonságos alkalmazások fejlesztése az Azure-ban .
Tekintse meg az Azure biztonsági ajánlott eljárásait és mintáit a felhőmegoldások Azure-beli tervezésekor, üzembe helyezésekor és kezelésekor használható további ajánlott biztonsági eljárásokért.
A következő források állnak rendelkezésre az Azure biztonságával és a kapcsolódó Microsoft-szolgáltatásokkal kapcsolatos általánosabb információk biztosításához:
- Microsoft termékéletciklus – a termék teljes élettartama során történő támogatás konzisztens és kiszámítható irányelveiért
- Microsoft Security Response Center – ahol a Microsoft biztonsági rései, beleértve az Azure-ral kapcsolatos problémákat is, jelenthetik vagy e-mailben a secure@microsoft.com