Развертывание защищенных приложений в Azure
В этой статье описаны действия по обеспечению безопасности и аспекты управления безопасностью, которые следует учитывать при развертывании приложений в облаке. Здесь рассматриваются вопросы и концепции безопасности, которые следует учитывать на этапах выпуска и реагирования в жизненном цикле разработки защищенных приложений (Майкрософт) (SDL). Цель статьи — помочь вам определить действия и службы Azure, которые можно использовать при развертывании хорошо защищенного приложения.
В этой статье описаны следующие этапы SDL:
- Выпуск
- Response
Выпуск
На этапе выпуска основное внимание уделяется подготовке проекта к выпуску общедоступной версии. В нее входит планирование методов, позволяющих эффективно выполнять обслуживание после выпуска и устранять уязвимости, которые могут возникнуть позже.
Проверка производительности приложения перед запуском
Обязательно проверьте производительность приложения, прежде чем запускать его или развертывать обновления в рабочей среде. Используйте Нагрузочное тестирование Azure для выполнения облачных нагрузочных тестов, чтобы найти проблемы с производительностью в вашем приложении, улучшить качество развертывания, убедиться, что ваше приложение всегда работает или доступно, а также что ваше приложение может обрабатывать трафик для запуска.
Установка брандмауэра веб-приложения
Веб-приложения все чаще подвергаются вредоносным атакам, использующим общеизвестные уязвимости. Повсеместно используются эксплойты для атак путем внедрения кода SQL и межсайтовых сценариев. Иногда непросто сделать код приложения защищенным от таких атак. Для этого требуется строго соблюдать нормы обслуживания, устанавливать исправления и отслеживать топологию приложения на разных уровнях. Централизованный брандмауэр веб-приложения (WAF) помогает упростить управление безопасностью. Решение WAF будет реагировать на угрозы безопасности и устанавливать исправления для известных уязвимостей централизованно, а не отдельно для каждого веб-приложения.
WAF в составе Шлюза приложений Azure обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. Этот WAF основывается на правилах из основных наборов проекта OWASP версии 3.0 или 2.2.9.
Составление плана реагирования на инциденты
Подготовка плана реагирования на инциденты крайне важна для устранения новых угроз, которые могут возникать с течением времени. Подготовка плана реагирования на инциденты включает в себя определение контактных лиц для экстренного реагирования и планов по поддержанию безопасности кода, полученного от других групп организации или сторонних производителей.
Окончательная проверка безопасности
Целенаправленная проверка всех выполненных действий по поддержанию безопасности помогает обеспечить готовность к выпуску программного обеспечения или приложения. Окончательная проверка безопасности обычно включает в себя анализ моделей угроз, выходных данных инструментов и показателей производительности на предмет соответствия нормативам качества и уровня ошибок, заданных на этапе определения требований.
Сертификация выпусков и архивирование
Сертификация программного обеспечения перед выпуском гарантирует соблюдение требований по безопасности и конфиденциальности. Архивация всех необходимых данных важна для выполнения обслуживания после выпуска. Также архивация помогает снизить долгосрочные затраты на поддержку устойчивых процессов проектирования программного обеспечения.
Response
На этапе реагирования после выпуска внимание уделяется тому, чтобы группа разработчиков правильно реагировала на сообщения о новых угрозах и уязвимостях программного обеспечения.
Выполнение плана реагирования на инциденты
Возможность реализации плана реагирования на инциденты, созданного на этапе выпуска, важна для защиты клиентов от возникающих уязвимостей в программном обеспечении и проблем конфиденциальности.
Мониторинг производительности приложений
Постоянный мониторинг приложения после его развертывания помогает выявить проблемы с производительностью и возможные уязвимости системы безопасности.
Службы Azure, которые помогают выполнять мониторинг:
- Azure Application Insights
- Microsoft Defender для облака
Application Insights
Application Insights — это расширяемая служба управления производительностью приложений (APM) для веб-разработчиков на нескольких платформах. Используйте ее для мониторинга вашего работающего веб-приложения. Application Insights автоматически обнаруживает аномалии производительности. Эта служба включает мощные аналитические средства для диагностирования проблем и понимания поведения пользователей в приложении. Эта служба помогает постоянно улучшать производительность и удобство использования.
Microsoft Defender для облака
Microsoft Defender для облака помогает выявлять и предотвращать угрозы, а также принимать ответные меры благодаря более полной информации о состоянии ресурсов Azure, в том числе веб-приложений, и контролю над их безопасностью. Microsoft Defender для облака помогает обнаруживать угрозы, которые в противном случае могут остаться незамеченными. Он работает со многими решениями безопасности.
Defender для облака уровня "Бесплатный" предлагает ограниченные возможности безопасности только для ваших ресурсов Azure. Defender для облака категории "Стандартный" расширяет эти возможности на локальные ресурсы и другие облака. Возможности Defender для облака категории "Стандартный":
- поиск и устранение уязвимостей в системе безопасности;
- применение элементов управления доступом и приложениями для блокирования вредоносных действий;
- обнаружение угроз с помощью аналитики и средств искусственного интеллекта;
- быстрое реагирование в процессе атаки.
Следующие шаги
В следующих статьях описываются средства управления безопасностью и действия, которые рекомендуется использовать при проектировании и развертывании защищенных приложений.