Quando usar o Firewall do Aplicativo Web do Azure
Você sabe o que é o Firewall do Aplicativo Web do Azure e como ele funciona. Agora você precisa de alguns critérios para ajudá-lo a avaliar se o Firewall do Aplicativo Web do Azure é uma opção adequada para sua empresa. Para ajudar você a decidir, vamos considerar os seguintes cenários:
- Você tem aplicativos Web que contêm dados confidenciais ou proprietários.
- Você tem aplicativos Web que exigem que os usuários entrem.
- Seus desenvolvedores de aplicativos Web não têm experiência em segurança.
- Os desenvolvedores do aplicativo Web têm outras prioridades.
- Você tem restrições de orçamento de desenvolvimento de aplicativo Web.
- Você tem restrições de tempo de desenvolvimento do aplicativo Web.
- Seu aplicativo Web deve ser criado e implantado rapidamente.
- A inicialização do seu aplicativo Web será de grande importância.
Como parte da avaliação do Firewall do Aplicativo Web do Azure, você sabe que a Contoso se encaixa em vários desses cenários. Leia as seções correspondentes para obter mais detalhes.
Você tem aplicativos Web que contêm dados confidenciais ou proprietários
O desafio de invadir um sistema é apenas motivação para alguns invasores da Web. No entanto, a maioria dos hackers mal-intencionados usa injeção, ataques de protocolo e explorações semelhantes com recompensas em mente. Esse pagamento pode ser qualquer um dos seguintes itens:
- Números do cartão de crédito do cliente
- Informações pessoais confidenciais, como números de carteira de motorista ou números de passaporte
- Dados proprietários ou secretos da empresa
Um invasor pode usar esses dados diretamente. Por exemplo, o usuário pode comprar itens com um número de cartão de crédito roubado. É mais provável, no entanto, que o invasor possa vender os dados em um marketplace criminoso ou armazenar os dados para resgate.
Se sua empresa executar um ou mais aplicativos Web que armazenam dados confidenciais ou proprietários, o Firewall do Aplicativo Web do Azure poderá proteger esses dados contra tentativas de intrusão e exfiltração.
Você tem aplicativos Web que exigem que os usuários entrem
Os invasores de aplicativo Web geralmente tentam obter nomes de usuário e senhas da conta. Ter credenciais de conta de usuário é útil para o invasor das seguintes maneiras:
- O invasor pode acessar o aplicativo como um usuário autorizado.
- O invasor pode ser capaz de executar scripts ou comandos com privilégios elevados.
- O invasor pode ser capaz de acessar outras partes da rede.
- O invasor pode ser capaz de usar as credenciais de uma conta para entrar em outros sites e serviços.
Sua empresa usa aplicativos Web que exigem que os usuários entrem? O Firewall do Aplicativo Web do Azure pode detectar explorações, como injeção de SQL e inclusão de arquivo local, que tentam exibir ou roubar credenciais de conta.
Importante
Tenha em mente que o Firewall do Aplicativo Web do Azure é apenas um aspecto do que deve ser uma estratégia de segurança de rede multifacetada. Para dados de login, essa estratégia também pode incluir ter requisitos de senha rigorosos e armazenar senhas em forma criptografada.
Os desenvolvedores do aplicativo Web não têm experiência em segurança
Codificar contra toda a gama de possíveis vulnerabilidades em aplicativos web requer conhecimentos significativos. Essa experiência inclui ter conhecimento detalhado dos seguintes conceitos:
- A estrutura geral de solicitações e respostas HTTP/HTTPS
- Tipos de solicitação HTTP/HTTPS específicos, como GET, POST e PUT
- Codificação de URL e UTF
- Agentes de usuário, cadeias de caracteres de consulta e outras variáveis
- Comandos, caminhos, shells e dados semelhantes para vários sistemas operacionais de servidor
- Tecnologias da Web de front-end, como HTML, CSS e JavaScript
- Tecnologias web do lado do servidor, como SQL, PHP e sessões de usuário
E se a equipe de desenvolvimento da Web da sua empresa não tiver conhecimento em um ou mais desses conceitos? Nesse caso, seus aplicativos Web são vulneráveis a várias explorações. Por outro lado, uma equipe de especialistas em segurança da Microsoft mantém e atualiza o Firewall do Aplicativo Web do Azure.
Seus desenvolvedores de aplicativo Web têm outras prioridades
É improvável que sua empresa implante seus aplicativos Web com a única finalidade de impedir explorações como injeção de SQL e execução remota de comandos. É muito mais provável que sua empresa tenha algum outro propósito para seus aplicativos Web. Essa finalidade pode ser vender produtos, fornecer serviços ou promover seus negócios.
As chances são de que você prefira que sua equipe de desenvolvimento na Web se concentre em cumprir esses propósitos em vez de escrever um código de segurança de aplicativo robusto. Com o Firewall de Aplicativo Web do Azure, você permite que a Microsoft gerencie a segurança enquanto sua equipe se concentra em sua empresa.
Você tem restrições de orçamento de desenvolvimento de aplicativo Web
Codificar internamente contra todas as explorações OWASP é uma proposta cara. Os desenvolvedores Web com a experiência de segurança necessária são relativamente raros. Esses desenvolvedores podem comandar salários mais altos do que colegas que não têm tal experiência.
Além disso, a codificação em relação a toda a gama de explorações de aplicativos Web não é uma proposta única. À medida que as explorações novas ou modificadas se tornam conhecidas, sua equipe deve manter e atualizar o código de segurança constantemente. Seus especialistas em segurança devem se tornar membros permanentes de sua equipe de desenvolvimento na Web e itens de linha permanentes em seu orçamento.
O Firewall do Aplicativo Web do Azure não é gratuito. No entanto, você pode achar que é uma solução mais econômica do que contratar uma equipe de especialistas em segurança da Web em tempo integral.
Você tem restrições de tempo de desenvolvimento do aplicativo Web
Muitas equipes de desenvolvimento da Web codificam internamente contra todas as vulnerabilidades OWASP. No entanto, a maioria dessas equipes logo percebe que criar e manter esse código é trabalhoso e demorado. Se você estiver tentando cumprir um prazo apertado para iniciar um novo aplicativo Web, as milhares de horas de pessoa necessárias para proteger o aplicativo contra todas as explorações OWASP são um grande obstáculo.
Você pode configurar uma instância do Gateway de Aplicativo do Azure ou um perfil do Azure Front Door com o Firewall do Aplicativo Web do Azure em minutos.
Seu aplicativo Web deve ser criado e implantado rapidamente
Muitos aplicativos Web não exigem o tratamento de desenvolvimento completo. Por exemplo, considere os dois tipos de aplicativo a seguir:
- Prova de conceito: o aplicativo destina-se apenas a provar que alguma técnica, proposta ou design é viável.
- MVP (produto mínimo viável): o aplicativo inclui apenas recursos suficientes para ser utilizável por adotantes iniciais que fornecem comentários para versões futuras.
Tanto a prova de conceito quanto os aplicativos Web MVP devem ser criados e implantados rapidamente. Nesses casos, não faz sentido codificar manualmente contra explorações comuns. Você ainda deseja proteger esses aplicativos contra atores mal-intencionados, portanto, faz sentido colocá-los atrás de um firewall de aplicativo Web.
A inicialização do seu aplicativo Web será de grande importância
Sua equipe de marketing está promovendo fortemente um aplicativo web que será lançado em breveto-be? Eles estão postando mensagens em várias plataformas de mídia social para aumentar o interesse pelo aplicativo antes de seu lançamento? Isso é ótimo, mas você sabe quem mais pode estar interessado na versão do seu aplicativo? Usuários mal-intencionados que podem decidir tentar interromper o lançamento do aplicativo lançando alguns ataques comuns contra o aplicativo.
Para evitar interrupções, pode fazer sentido proteger o aplicativo Web com o Firewall do Aplicativo Web do Azure.