Quando utilizar o Azure Firewall de Aplicações Web

Concluído

Sabe o que é o Azure Firewall de Aplicações Web e como funciona. Agora, precisa de alguns critérios para o ajudar a avaliar se o Azure Firewall de Aplicações Web é uma opção adequada para a sua empresa. Para o ajudar a decidir, vamos considerar os seguintes cenários:

  • Tem aplicações Web que contêm dados confidenciais ou proprietários
  • Tem aplicações Web que exigem que os utilizadores iniciem sessão
  • Os programadores de aplicações Web não possuem conhecimentos de segurança
  • Os programadores de aplicações Web têm outras prioridades
  • Tem restrições orçamentais de desenvolvimento de aplicações Web
  • Tem restrições de tempo de desenvolvimento de aplicações Web
  • A sua aplicação Web tem de ser criada e implementada rapidamente
  • A iniciação da sua aplicação Web será de grande visibilidade

Como parte da avaliação de Firewall de Aplicações Web do Azure, sabe que a Contoso se adequa a vários destes cenários. Leia as secções correspondentes para obter mais detalhes.

Tem aplicações Web que contêm dados confidenciais ou proprietários

Alguns atacantes da Web são motivados apenas pelo desafio de invadir um sistema. No entanto, a maioria dos hackers maliciosos usam injeção, ataques de protocolo e exploits semelhantes com payoff em mente. Esse pagamento pode ser qualquer um dos seguintes itens:

  • Números de cartão de crédito do cliente
  • Informações pessoais confidenciais, como números de carta de condução ou números de passaporte
  • Dados da empresa proprietária ou secreta

Um atacante pode utilizar estes dados diretamente. Por exemplo, o utilizador pode comprar itens com um número de cartão de crédito roubado. No entanto, é mais provável que o atacante possa vender os dados num mercado criminal ou manter os dados para resgate.

Se a sua empresa executar uma ou mais aplicações Web que armazenam dados confidenciais ou proprietários, o Azure Firewall de Aplicações Web pode proteger esses dados contra tentativas de intrusão e de exfiltração.

Tem aplicações Web que exigem que os utilizadores iniciem sessão

Os atacantes de aplicações Web estão frequentemente a tentar obter nomes de utilizador e palavras-passe de conta. Ter credenciais de conta de utilizador é útil para o atacante das seguintes formas:

  • O atacante pode aceder à aplicação como um utilizador autorizado.
  • O atacante poderá ser capaz de executar scripts ou comandos com privilégios elevados.
  • O atacante poderá conseguir aceder a outras partes da rede.
  • O atacante poderá utilizar as credenciais de uma conta para iniciar sessão noutros sites e serviços.

A sua empresa utiliza aplicações Web que exigem que os utilizadores iniciem sessão? O Azure Firewall de Aplicações Web consegue detetar exploits, como a injeção de SQL e a inclusão de ficheiros locais, que tentam apresentar ou roubar credenciais de conta.

Importante

Tenha em atenção que o Azure Firewall de Aplicações Web é apenas um aspeto do que deveria ser uma estratégia de segurança de rede multifacetada. Para dados de início de sessão, essa estratégia também pode incluir ter requisitos de palavra-passe rigorosos e armazenar palavras-passe em formato encriptado.

Os programadores de aplicações Web não possuem conhecimentos de segurança

Codificar com toda a gama de potenciais exploits de aplicações Web requer conhecimentos significativos. Esta experiência inclui ter conhecimentos detalhados sobre os seguintes conceitos:

  • A estrutura geral dos pedidos e respostas HTTP/HTTPS
  • Tipos de pedido HTTP/HTTPS específicos, como GET, POST e PUT
  • Codificação DE URL e UTF
  • Agentes de utilizador, cadeias de consulta e outras variáveis
  • Comandos, caminhos, shells e dados semelhantes para vários sistemas operativos de servidor
  • Tecnologias Web de front-end, como HTML, CSS e JavaScript
  • Tecnologias Web do lado do servidor, como SQL, PHP e sessões de utilizador

E se a equipa de desenvolvimento Web da sua empresa não tiver conhecimento num ou mais destes conceitos? Nesse caso, as suas aplicações Web são vulneráveis a múltiplas explorações. Em contrapartida, o Azure Firewall de Aplicações Web é mantido e atualizado por uma equipa de especialistas em segurança Microsoft.

Os programadores de aplicações Web têm outras prioridades

É pouco provável que a sua empresa implemente as respetivas aplicações Web com o único objetivo de impedir exploits como a injeção de SQL e a execução remota de comandos. É muito mais provável que a sua empresa tenha outro propósito para as respetivas aplicações Web. Esse objetivo pode ser vender produtos, fornecer serviços ou promover a sua empresa.

É provável que prefira que a sua equipa de desenvolvimento Web se concentre em cumprir estes objetivos em vez de escrever código de segurança de aplicações robusto. Com o Azure Firewall de Aplicações Web, permite Microsoft gerir a segurança enquanto a sua equipa se concentra na sua empresa.

Tem restrições orçamentais de desenvolvimento de aplicações Web

Codificar internamente contra todas as explorações OWASP é uma proposta dispendiosa:

  • Os programadores Web com os conhecimentos de segurança necessários são relativamente raros. Estes programadores podem comandar salários mais elevados do que os colegas que não possuem tal experiência.
  • Codificar com toda a gama de exploits de aplicações Web não é uma proposta única. À medida que as explorações novas ou modificadas se tornam conhecidas, a sua equipa tem de manter e atualizar constantemente o respetivo código de segurança. Os seus especialistas em segurança têm de se tornar membros permanentes da sua equipa de desenvolvimento Web e itens de linha permanentes no seu orçamento.

O Azure Firewall de Aplicações Web não é gratuito. No entanto, poderá considerar que é uma solução mais económica do que contratar uma equipa de especialistas em segurança Web a tempo inteiro.

Tem restrições de tempo de desenvolvimento de aplicações Web

Muitas equipas de desenvolvimento Web codificam internamente todas as explorações OWASP. No entanto, a maioria destas equipas rapidamente percebe que criar e manter este código é laborioso e moroso. Se estiver a tentar cumprir um prazo apertado para iniciar uma nova aplicação Web, os milhares de horas de pessoa necessárias para proteger a aplicação contra todas as explorações OWASP são um grande obstáculo,

Pode configurar uma instância Gateway de Aplicação do Azure ou o perfil do Azure Front Door com o Azure Firewall de Aplicações Web em minutos.

A sua aplicação Web tem de ser criada e implementada rapidamente

Muitas aplicações Web não necessitam do tratamento de desenvolvimento completo. Por exemplo, considere os dois tipos de aplicações seguintes:

  • Prova de conceito: a aplicação destina-se apenas a provar que alguma técnica, proposta ou design é viável.
  • Produto mínimo viável (MVP): a aplicação inclui apenas funcionalidades suficientes para ser utilizável pelos adotantes iniciais que fornecem feedback para versões futuras.

Tanto a prova de conceito como as aplicações Web MVP devem ser criadas e implementadas rapidamente. Nestes casos, não faz sentido fazer código manual contra exploits comuns. Ainda quer proteger estas aplicações contra atores maliciosos, pelo que faz sentido colocá-las atrás de uma firewall de aplicações Web.

A iniciação da sua aplicação Web será de grande visibilidade

A sua equipa de marketing está a promover fortemente uma aplicação Web em breve? Estão a publicar mensagens em várias plataformas de redes sociais para aumentar o interesse na aplicação antes do seu lançamento? É ótimo, mas sabe quem mais poderá estar interessado na versão da sua aplicação? Utilizadores maliciosos que podem decidir tentar interromper a versão da aplicação ao iniciar alguns ataques comuns contra a aplicação.

Para evitar interrupções, pode fazer sentido proteger a aplicação Web com o Azure Firewall de Aplicações Web.