Quando usare Web application firewall di Azure

  • 8 minuti

Si sa che cos'è Web application firewall di Azure e come funziona. A questo punto sono necessari alcuni criteri per valutare se Web application firewall di Azure è una scelta adatta per l'azienda. Per facilitare la decisione, si considerino gli scenari seguenti:

  • Sono disponibili app Web che contengono dati sensibili o proprietari.
  • Sono disponibili app Web che richiedono agli utenti di accedere.
  • Gli sviluppatori di app Web non dispongono di competenze in materia di sicurezza.
  • Gli sviluppatori di app Web hanno altre priorità.
  • Sono presenti vincoli relativi al budget per lo sviluppo di app Web.
  • Sono presenti vincoli di tempo per lo sviluppo di app Web.
  • L'app Web deve essere compilata e distribuita rapidamente.
  • L'avvio delle app Web avrà un profilo elevato.

Nell'ambito della tua valutazione del Web Application Firewall di Azure, sai che Contoso si adatta a alcuni di questi scenari. Per maggiori dettagli, vedere le sezioni corrispondenti.

Sono disponibili app Web che contengono dati sensibili o proprietari

La sfida di penetrare in un sistema è la sola motivazione per alcuni attaccanti web. Tuttavia, la maggior parte degli hacker malintenzionati usa attacchi di iniezione, attacchi ai protocolli ed exploit simili con il guadagno in mente. Il pagamento potrebbe essere uno dei seguenti elementi:

  • Numeri di carta di credito del cliente
  • Informazioni personali riservate, ad esempio numeri di patente o numeri di passaporto
  • Dati aziendali proprietari o segreti

Un utente malintenzionato potrebbe usare questi dati direttamente. Ad esempio, l'utente potrebbe acquistare articoli con un numero di carta di credito rubato. Più probabile, tuttavia, l'utente malintenzionato potrebbe vendere i dati in un marketplace criminale o conservare i dati per riscatto.

Se l'azienda esegue una o più app Web che archivia dati sensibili o proprietari, Web Application Firewall di Azure può proteggere tali dati da tentativi di intrusione ed esfiltrazione.

Sono disponibili app Web che richiedono agli utenti di accedere

Gli attaccanti delle app Web tentano spesso di ottenere nomi utente e password. Possedere le credenziali dell'account utente è utile per l'attaccante nei modi seguenti:

  • L'utente malintenzionato può accedere all'app come utente autorizzato.
  • L'utente malintenzionato potrebbe essere in grado di eseguire script o comandi con privilegi elevati.
  • L'utente malintenzionato potrebbe essere in grado di accedere ad altre parti della rete.
  • L'utente malintenzionato potrebbe essere in grado di usare le credenziali di un account per accedere ad altri siti e servizi.

L'azienda usa app Web che richiedono agli utenti di accedere? Il firewall per applicazioni web di Azure può rilevare exploit, come l'SQL injection e l'inclusione di file locali, che tentano di visualizzare o rubare le credenziali dell'account.

Importante

Tenere presente che Web application firewall di Azure è solo un aspetto di ciò che deve essere una strategia di sicurezza di rete a più livelli. Per i dati di accesso, tale strategia potrebbe includere anche requisiti rigorosi per le password e l'archiviazione delle password in formato crittografato.

Gli sviluppatori di app Web non dispongono di competenze in materia di sicurezza

La codifica in base alla gamma completa di potenziali exploit di app Web richiede un'esperienza significativa. Questa esperienza include una conoscenza dettagliata dei concetti seguenti:

  • Struttura generale delle richieste e delle risposte HTTP/HTTPS
  • Tipi di richiesta HTTP/HTTPS specifici, ad esempio GET, POST e PUT
  • URL e codifica UTF
  • Agenti utente, stringhe di query e altre variabili
  • Comandi, percorsi, shell e dati simili per più sistemi operativi server
  • Tecnologie Web front-end, ad esempio HTML, CSS e JavaScript
  • Tecnologie Web lato server, ad esempio SQL, PHP e sessioni utente

Cosa accade se il team di sviluppo Web dell'azienda non ha conoscenze in uno o più di questi concetti? In tal caso, le app Web sono vulnerabili a più exploit. Al contrario, un team di esperti di sicurezza Microsoft gestisce e aggiorna Web application firewall di Azure.

Gli sviluppatori di app Web hanno altre priorità

È improbabile che l'azienda distribuisca le app Web allo scopo esclusivo di contrastare gli exploit, ad esempio SQL injection ed esecuzione di comandi remoti. È molto più probabile che l'azienda abbia altri scopi per le app Web. Questo scopo potrebbe essere quello di vendere prodotti, fornire servizi o promuovere la tua attività.

È probabile che si preferisca che il team di sviluppo Web si concentri sull'adempimento di questi scopi anziché sulla scrittura di codice di sicurezza delle app affidabile. Con Web application firewall di Azure è possibile consentire a Microsoft di gestire la sicurezza mentre il team è incentrato sull'azienda.

Sono presenti vincoli di budget per lo sviluppo di app Web

La codifica interna contro tutti gli exploit OWASP è una proposta costosa. Gli sviluppatori Web con le competenze necessarie per la sicurezza sono relativamente rari. Questi sviluppatori possono ottenere salari più elevati rispetto ai colleghi che non possiedono tali competenze.

Inoltre, proteggersi contro l'intera gamma di exploit delle app web non è un'attività che si fa una sola volta. Man mano che gli exploit nuovi o modificati diventano noti, il team deve mantenere e aggiornare costantemente il codice di sicurezza. Gli esperti di sicurezza devono diventare membri permanenti del team di sviluppo Web e voci permanenti del budget.

Web application firewall di Azure non è gratuito. Tuttavia, si potrebbe scoprire che si tratta di una soluzione più conveniente rispetto all'assunzione di un team di esperti di sicurezza Web a tempo pieno.

Sono presenti vincoli temporali di sviluppo di app Web

Molti team di sviluppo web scrivono codice internamente per difendersi da tutti gli exploit OWASP. Tuttavia, la maggior parte di questi team si rende presto conto che la creazione e la gestione di questo codice richiede molto tempo. Se si sta tentando di rispettare una scadenza stretta per avviare una nuova app Web, le migliaia di ore di lavoro necessarie per proteggere l'app da tutti gli exploit OWASP è un ostacolo importante.

È possibile configurare un'istanza di Azure Application Gateway o un profilo di Azure Front Door con Azure Web Application Firewall in pochi minuti.

L'app Web deve essere compilata e distribuita rapidamente

Molte app Web non richiedono il processo completo di sviluppo. Si considerino ad esempio i due tipi di app seguenti:

  • Modello di verifica: l'app è destinata solo a dimostrare che è fattibile una tecnica, una proposta o una progettazione.
  • Prodotto minimo funzionante (MVP): l'app include solo funzionalità sufficienti per essere utilizzabili dagli early adopter che forniscono feedback per le versioni future.

Sia le app Web proof-of-concept che le app Web MVP devono essere create e distribuite rapidamente. In questi casi, non ha senso scrivere manualmente un codice per exploit comuni. Si vuole comunque proteggere queste app da attori malintenzionati, quindi è opportuno posizionarle dietro un web application firewall.

Il lancio della tua app web sarà di grande rilievo.

Il team di marketing promuove fortemente un'app Web che verrà rilasciata a breve? Stanno pubblicando messaggi su più piattaforme di social media per attirare l'interesse per l'app prima del suo rilascio? È fantastico, ma sai chi altro potrebbe essere interessato al rilascio della tua app? Utenti malintenzionati che potrebbero decidere di provare a interrompere il rilascio dell'app avviando alcuni attacchi comuni contro l'app.

Per evitare interruzioni, potrebbe essere opportuno proteggere l'app Web con Web application firewall di Azure.