Implantar aplicativos seguros no Azure

  • Artigo

Neste artigo, apresentamos as atividades de segurança e os controles a serem considerados ao implantar aplicativos para a nuvem. Perguntas e conceitos de segurança a serem considerados durante as fases de lançamento e resposta do Microsoft SDL (Security Development Lifecycle) que são cobertos. O objetivo é ajudá-lo a definir atividades e serviços do Azure que você possa usar para implantar um aplicativo mais seguro.

As seguintes fases do SDL são abordadas neste artigo:

  • Versão
  • Resposta

Versão

O foco da fase de lançamento é preparar um projeto para lançamento público. Isso inclui formas de planejamento para executar efetivamente tarefas de manutenção após o lançamento e resolver vulnerabilidades de segurança que podem ocorrer mais tarde.

Verifique o desempenho do aplicativo antes da inicialização

Verificar o desempenho do seu aplicativo antes de iniciá-lo ou implantar atualizações na produção. Use o Teste de Carga do Azure para executar testes de carga baseados em nuvem para encontrar problemas de desempenho em seu aplicativo, melhorar a qualidade da implantação, garantir que seu aplicativo esteja sempre ativo ou disponível e que ele possa lidar com o tráfego para sua inicialização.

Instalar um firewall do aplicativo Web

Os aplicativos Web cada vez mais são alvos de ataques mal-intencionados que exploram vulnerabilidades conhecidas comuns. Os ataques de injeção de SQL e os ataques de scripts entre sites são comuns entre essas explorações. Impedir esses ataques no código do aplicativo pode ser desafiador. Ele pode necessitar de manutenção rigorosa, aplicação de patch e monitoramento em muitas camadas da topologia do aplicativo. Um WAF centralizado ajuda a tornar o gerenciamento de segurança mais simples. Uma solução WAF também pode reagir a uma ameaça de segurança ao aplicar um patch contra uma vulnerabilidade conhecida em um local central do que a proteção de cada aplicativo Web individual.

O Gateway de Aplicativo do Azure WAF fornece proteção centralizada dos aplicativos Web contra explorações e vulnerabilidades comuns. O WAF é baseado em regras dos conjuntos de regras principais do OWASP 3.0 ou 2.2.9.

Criar um plano de resposta a incidentes

Preparar um plano de resposta a incidentes é crucial para ajudar você a resolver novas ameaças que podem surgir ao longo do tempo. Preparar um plano de resposta a incidentes inclui a identificação de contatos de emergência de segurança apropriados e o estabelecimento de planos de serviço de segurança para o código herdado de outros grupos na organização e para código de terceiros licenciados.

Conduzir uma revisão de segurança final

Revisar deliberadamente todas as atividades de segurança que foram executadas ajuda a garantir a prontidão para o aplicativo ou lançamento de software. A FSR (análise de segurança final) geralmente inclui examinar modelos de ameaças, saídas de ferramentas e desempenho em relação aos Gates de qualidade e barras de bugs que foram definidas na fase de requisitos.

Certificar lançamento e arquivos

A certificação de software antes de um lançamento ajuda a garantir que os requisitos de segurança e privacidade sejam atendidos. O arquivamento de todos os dados pertinentes é essencial para executar tarefas de manutenção após o lançamento. O arquivamento também ajuda a reduzir os custos de longo prazo associados à engenharia de software sustentada.

Resposta

A fase de resposta após o lançamento está focada na equipe de desenvolvimento sendo capaz e disponível para responder adequadamente os relatórios de vulnerabilidades e ameaças de software que surgirem.

Executar o plano de resposta a incidentes

Ser capaz de implementar o plano de resposta a incidentes instituído na fase de lançamento é essencial para ajudar a proteger os clientes contra a segurança de software ou vulnerabilidades de privacidade que surgem.

Monitorar desempenho do aplicativo

O monitoramento contínuo de seu aplicativo depois de implantado pode ajudar a detectar problemas de desempenho assim como vulnerabilidades de segurança.

Os serviços do Azure que auxiliam no monitoramento de aplicativos são:

  • Azure Application Insights
  • Microsoft Defender para Nuvem

Application Insights

O Application Insights é um serviço APM (Gerenciamento de Desempenho de Aplicativos) extensível para desenvolvedores da Web em várias plataformas. Use-o para monitorar seu aplicativo Web online. O Application Insights detecta automaticamente anomalias de desempenho. Ele inclui ferramentas de análise avançadas para ajudar você a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo. Ele foi projetado para ajudar você a aprimorar continuamente o desempenho e a usabilidade do seu aplicativo.

Microsoft Defender para Nuvem

O Microsoft Defender para Nuvem ajuda você a prevenir, detectar e responder a ameaças com maior visibilidade e controle da segurança de seus recursos do Azure, inclusive de aplicativos Web. O Microsoft Defender para Nuvem ajuda a detectar ameaças que poderiam passar despercebidas. Ele funciona com várias soluções de segurança.

A camada gratuita do Defender para Nuvem oferece segurança limitada somente para seus recursos do Azure. A camada Standard do Defender para Nuvem estende esses recursos para recursos locais e outras nuvens. O Defender para Nuvem Standard ajuda você a:

  • Localizar e corrigir vulnerabilidades de segurança.
  • Aplicar controles de acesso e de aplicativo para bloquear atividades mal-intencionadas.
  • Detectar ameaças usando análise e inteligência.
  • Responder rapidamente quando está sob ataque.

Próximas etapas

Nos artigos a seguir, recomendamos os controles de segurança e as atividades que podem ajudá-lo a projetar e desenvolver aplicativos seguros.