Quando usar o Firewall de Aplicativo Web do Azure
Você sabe o que é o Firewall de Aplicativo Web do Azure e como ele funciona. Agora você precisa de alguns critérios para ajudá-lo a avaliar se o Firewall de Aplicativo Web do Azure é uma opção adequada para sua empresa. Para ajudar você a decidir, vamos considerar os seguintes cenários:
- Você tem aplicativos Web que contêm dados confidenciais ou proprietários
- Você tem aplicativos Web que exigem que os usuários entrem
- Os desenvolvedores de aplicativos Web não têm conhecimento sobre segurança
- Os desenvolvedores de aplicativos Web têm outras prioridades
- Você tem restrições no orçamento de desenvolvimento de aplicativos Web
- Você tem restrições de tempo no desenvolvimento de aplicativos Web
- Seu aplicativo Web deve ser compilado e implantado rapidamente
- A inicialização do seu aplicativo Web será de grande importância
Como parte da avaliação do Firewall de Aplicativo Web do Azure, você sabe que a Contoso se encaixa em vários desses cenários. Leia as seções correspondentes para obter mais detalhes.
Você tem aplicativos Web que contêm dados confidenciais ou proprietários
Alguns invasores da Web são motivados apenas pelo desafio de invadir um sistema. No entanto, a maioria dos hackers mal-intencionados usa injeção, ataques de protocolo e explorações semelhantes com recompensas em mente. Essa recompensa pode ser qualquer um dos seguintes itens:
- Números de cartão de crédito de clientes
- Informações pessoais confidenciais, como números da carteira de motorista ou números de passaporte
- Dados proprietários ou secretos de empresa
Um invasor pode usar esses dados diretamente. Por exemplo, o usuário pode comprar itens com um número de cartão de crédito roubado. No entanto, é mais provável que o invasor venda os dados em um marketplace criminal ou retenha os dados para exigir um resgate.
Se a sua empresa executa um ou mais aplicativos Web que armazenam dados confidenciais ou proprietários, o Firewall de Aplicativo Web do Azure pode proteger esses dados contra tentativas de invasão e exfiltração.
Você tem aplicativos Web que exigem que os usuários entrem
Os invasores de aplicativos Web costumam tentar obter nomes de usuários e senhas de contas. A posse de credenciais de conta de usuário é útil para o invasor das seguintes maneiras:
- O invasor pode acessar o aplicativo como um usuário autorizado.
- O invasor pode ser capaz de executar scripts ou comandos com privilégios elevados.
- O invasor pode ser capaz de acessar outras partes da rede.
- O invasor pode ser capaz de usar as credenciais de uma conta para entrar em outros sites e serviços.
Sua empresa usa aplicativos Web que exigem que os usuários entrem? O Firewall de Aplicativo Web do Azure pode detectar explorações, como injeção de SQL e inclusão de arquivo local, que tentam exibir ou roubar credenciais de conta.
Importante
Tenha em mente que o Firewall de Aplicativo Web do Azure é apenas um aspecto do que deve ser uma estratégia de segurança de rede de abordagem múltipla. Em relação aos dados de entrada, essa estratégia também pode incluir requisitos de senha rigorosos e armazenamento de senhas em formato criptografado.
Os desenvolvedores de aplicativos Web não têm conhecimento sobre segurança
A codificação contra toda a gama possível de explorações de aplicativos Web exige uma experiência significativa. Essa experiência inclui ter conhecimento detalhado dos seguintes conceitos:
- A estrutura geral de solicitações e respostas HTTP/HTTPS
- Tipos de solicitação HTTP/HTTPS específicos, como GET, POST e PUT
- Codificação URL e UTF
- Agentes de usuário, cadeias de caracteres de consulta e outras variáveis
- Comandos, caminhos, shells e dados semelhantes para vários sistemas operacionais de servidor
- Tecnologias Web de front-end, como HTML, CSS e JavaScript
- Tecnologias da Web do lado do servidor, como SQL, PHP e sessões de usuário
E se a equipe de desenvolvimento na Web da sua empresa não tem conhecimento de um ou mais desses conceitos? Nesse caso, seus aplicativos Web ficam vulneráveis a várias explorações. Por outro lado, o Firewall de Aplicativo Web do Azure é mantido e atualizado por uma equipe de especialistas em segurança da Microsoft.
Os desenvolvedores de aplicativos Web têm outras prioridades
É improvável que sua empresa implante aplicativos Web com o único propósito de frustrar explorações como injeção de SQL e execução de comando remoto. É muito mais provável que sua empresa tenha alguma outra finalidade para os aplicativos Web. Essa finalidade pode ser vender produtos, fornecer serviços ou promover seus negócios.
É provável que você prefira que a equipe de desenvolvimento na Web se concentre em atender a essas finalidades em vez de escrever um código robusto de segurança do aplicativo. Com o Firewall de Aplicativo Web do Azure, você permite que a Microsoft gerencie a segurança enquanto sua equipe se concentra na empresa.
Você tem restrições no orçamento para o desenvolvimento de aplicativos Web
A codificação interna contra todas as explorações de OWASP é uma proposta dispendiosa:
- Desenvolvedores Web com a experiência de segurança necessária são relativamente raros. Esses desenvolvedores podem demandar salários maiores do que os colegas que não têm tal experiência.
- A codificação contra toda a gama de explorações de aplicativos Web não é uma proposta para ser usada uma só vez. À medida que as explorações novas ou modificadas se tornam conhecidas, sua equipe deve manter e atualizar o código de segurança constantemente. Seus especialistas em segurança precisam se tornar membros permanentes da equipe de desenvolvimento na Web e itens de linha permanentes no seu orçamento.
O Firewall de Aplicativo Web do Azure não é gratuito. No entanto, você pode achar que essa é uma solução mais econômica do que contratar uma equipe de especialistas em segurança da Web em tempo integral.
Você tem restrições de tempo para o desenvolvimento de aplicativos Web
Muitas equipes de desenvolvimento na Web fazem a codificação internamente contra todas as explorações do OWASP. No entanto, a maioria dessas equipes percebe rapidamente que a criação e manutenção desses códigos é trabalhosa e demorada. Se você estiver tentando atender a um prazo apertado para lançar um novo aplicativo Web, as milhares de horas de trabalho necessárias para proteger o aplicativo contra todas as explorações OWASP se constituem em um grande obstáculo,
Você pode configurar uma instância do Gateway de Aplicativo do Azure ou um perfil do Azure Front Door com o Firewall de Aplicativo Web do Azure em minutos.
Seu aplicativo Web deve ser compilado e implantado rapidamente
Muitos aplicativos Web não requerem o tratamento completo do desenvolvimento. Por exemplo, considere os dois tipos de aplicativo abaixo:
- Prova de conceito: o aplicativo só se destina a provar que alguma técnica, proposta ou design é viável.
- MVP (produto mínimo viável): o aplicativo inclui apenas os recursos suficientes para serem utilizáveis por usuários pioneiros que fornecem comentários para versões futuras.
Os aplicativos Web de prova de conceito e MVP devem ser criados e implantados rapidamente. Nesses casos, não faz sentido codificar manualmente contra explorações comuns. Apesar disso, você deseja proteger esses aplicativos contra atores mal-intencionados, portanto, faz sentido colocá-los sob a proteção de um Firewall de Aplicativo Web.
A inicialização do seu aplicativo Web será de grande importância
Sua equipe de marketing está promovendo intensamente um aplicativo Web para ser lançado em breve? Eles estão postando mensagens em várias plataformas de mídia social para angariar o interesse no aplicativo antes do lançamento? Isso é ótimo, mas você sabe quem mais pode estar interessado no lançamento do seu aplicativo? Usuários mal-intencionados que podem decidir tentar interromper o lançamento do aplicativo iniciando alguns ataques comuns contra ele.
Para evitar a interrupção, é importante proteger o aplicativo Web com o Firewall de Aplicativo Web do Azure.