まとめ
Contoso Retail の e コマース アプリケーションに対する侵入テストでは、プラットフォーム レベルの認証の適用なし、受信トラフィックの発生場所の制限なし、アプリケーション層攻撃に対する防御Web Application Firewall (WAF) の 3 つのギャップが明らかになっています。 このモジュールでは、構成、大規模な適用、および継続的な監視が可能なコントロールを使用して、3 つすべてに対処しました。
構成内容を確認する
最初のギャップ (認証の強制なし) は、プラットフォーム レイヤーで対処されるようになりました。 Microsoft Entra IDを ID プロバイダーとして App Service で EasyAuth を構成し、認証されていない要求アクションを [認証を要求する] に設定しました。 認証されていない要求は、アプリケーション コードに到達する前にブロックされます。 有効にしたマネージド ID を使用すると、アプリ設定に格納されている資格情報が不要になり、Key Vault参照により、デプロイアーティファクトや構成ブレードではなく、シークレットがコンテナーに残ります。
2 つ目のギャップ (受信トラフィックに対するネットワーク制限なし) は、アクセス制限とプライベート エンドポイントのデプロイによって閉じられます。 App Service が Application Gateway からの受信トラフィックのみを受け入れるようになったため、攻撃者は App Service ホスト名を直接ターゲットにすることで WAF 検査をバイパスできなくなります。 仮想ネットワーク統合により、バックエンド リソースへの送信プライベート アクセスが提供され、HTTPS は最小トランスポート層セキュリティ (TLS) 1.2 でのみプロトコル レベルの公開を終了します。
3 番目のギャップ (アプリケーション攻撃に対するエッジ層保護なし) は、Application Gateway の WAF ポリシーを通じて対処されます。 SQL インジェクションを含む OWASP Top 10 の攻撃カテゴリを対象とするマネージド ルール セットとして Core Rule Set (CRS) 3.2 を選択し、初期チューニングのために検出モードで展開したうえで、防止モードに切り替える前に誤検知を減らすための対象を絞った除外を構成しました。 カスタムルールとサイトごとのポリシーの関連付けにより、WAF をアプリケーションの特定の要件に柔軟に適応させることができます。
これら 3 つのレイヤーはシステムとして機能します。 バックエンド制限のない WAF はバイパスできます。 WAF を使用しないバックエンドの制限により、アプリケーション層の攻撃は検出されません。 ネットワーク制御のないプラットフォーム認証では、意図しないソースからの認証されていない要求にアプリケーションが引き続き公開されます。 セキュリティの有効性には、3 つのレイヤーすべてが一緒に配置されている必要があります。