När du ska använda Azure Web Application Firewall

  • 8 minuter

Du vet vad Azure Web Application Firewall är och hur den fungerar. Nu behöver du några kriterier som hjälper dig att utvärdera om Azure Web Application Firewall är ett lämpligt val för ditt företag. Låt oss tänka på följande scenarier för att hjälpa dig att bestämma:

  • Du har webbappar som innehåller känsliga eller upphovsrättsskyddade data
  • Du har webbappar som kräver att användare loggar in
  • Webbappsutvecklare saknar säkerhetsexpertis
  • Dina webbappsutvecklare har andra prioriteringar
  • Du har budgetbegränsningar för webbappsutveckling
  • Du har begränsningar för webbappens utvecklingstid
  • Webbappen måste skapas och distribueras snabbt
  • Lanseringen av webbappen kommer att vara hög profil

Som en del av utvärderingen av Azure Web Application Firewall vet du att Contoso passar flera av dessa scenarier. Läs motsvarande avsnitt för mer information.

Du har webbappar som innehåller känsliga eller upphovsrättsskyddade data

Vissa webbanfallare motiveras bara av utmaningen att bryta sig in i ett system. Men de flesta skadliga hackare använder injektion, protokollattacker och liknande kryphål med vinst i åtanke. Den här utbetalningen kan vara något av följande:

  • Kundens kreditkortsnummer
  • Känslig personlig information, till exempel körkortsnummer eller passnummer
  • Upphovsrättsskyddade eller hemliga företagsdata

En angripare kan använda dessa data direkt. Användaren kan till exempel köpa objekt med ett stulet kreditkortsnummer. Mer troligt är dock att angriparen kan sälja data på en kriminell marknadsplats eller lagra data mot lösensumma.

Om ditt företag kör en eller flera webbappar som lagrar känsliga eller upphovsrättsskyddade data kan Azure Web Application Firewall skydda dessa data från intrångs- och exfiltreringsförsök.

Du har webbappar som kräver att användare loggar in

Webbappsanfallare försöker ofta hämta kontoanvändarnamn och lösenord. Att ha autentiseringsuppgifter för användarkontot är användbart för angriparen på följande sätt:

  • Angriparen kan komma åt appen som behörig användare.
  • Angriparen kanske kan köra skript eller kommandon med utökade privilegier.
  • Angriparen kanske kan komma åt andra delar av nätverket.
  • Angriparen kanske kan använda ett kontos autentiseringsuppgifter för att logga in på andra webbplatser och tjänster.

Använder ditt företag webbappar som kräver att användarna loggar in? Azure Web Application Firewall kan identifiera kryphål, till exempel SQL-inmatning och lokal filinkludering, som försöker visa eller stjäla kontoautentiseringsuppgifter.

Viktigt!

Tänk på att Azure Web Application Firewall bara är en aspekt av vad som ska vara en strategi för nätverkssäkerhet med flera delar. För inloggningsdata kan den strategin även omfatta att ha strikta lösenordskrav och lagra lösenord i krypterad form.

Webbappsutvecklare saknar säkerhetsexpertis

Kodning mot alla möjliga webbappsexploateringar kräver betydande expertis. Den här expertisen omfattar att ha detaljerad kunskap om följande begrepp:

  • Den allmänna strukturen för HTTP/HTTPS-begäranden och svar
  • Specifika typer av HTTP/HTTPS-begäranden, till exempel GET, POST och PUT
  • URL- och UTF-kodning
  • Användaragenter, frågesträngar och andra variabler
  • Kommandon, sökvägar, gränssnitt och liknande data för flera serveroperativsystem
  • Frontend-webbtekniker, till exempel HTML, CSS och JavaScript
  • Webbtekniker på serversidan, till exempel SQL-, PHP- och användarsessioner

Vad händer om företagets webbutvecklingsteam saknar kunskap om ett eller flera av dessa begrepp? I så fall är dina webbappar sårbara för flera kryphål. Azure Web Application Firewall underhålls och uppdateras däremot av ett team med Microsofts säkerhetsexperter.

Dina webbappsutvecklare har andra prioriteringar

Det är osannolikt att ditt företag distribuerar sina webbappar enbart i syfte att förhindra kryphål som SQL-inmatning och fjärrkommandokörning. Det är mycket mer troligt att ditt företag har något annat syfte för sina webbappar. Det kan vara att sälja produkter, tillhandahålla tjänster eller marknadsföra ditt företag.

Chansen är stor att du föredrar att ditt webbutvecklingsteam fokuserar på att uppfylla dessa syften i stället för att skriva robust appsäkerhetskod. Med Azure Web Application Firewall låter du Microsoft hantera säkerheten medan ditt team fokuserar på din verksamhet.

Du har budgetbegränsningar för webbappsutveckling

Att koda internt mot alla OWASP-bedrifter är ett dyrt förslag:

  • Webbutvecklare med nödvändig säkerhetsexpertis är relativt sällsynta. Dessa utvecklare kan ha högre löner än kollegor som saknar sådan expertis.
  • Kodning mot hela utbudet av webbappsexploateringar är inte ett engångsförslag. När nya eller ändrade kryphål blir kända måste ditt team hela tiden underhålla och uppdatera sin säkerhetskod. Dina säkerhetsexperter måste bli permanenta medlemmar i ditt webbutvecklingsteam och permanenta poster i din budget.

Azure Web Application Firewall är inte kostnadsfritt. Du kan dock upptäcka att det är en mer kostnadseffektiv lösning än att anställa ett team med webbsäkerhetsexperter på heltid.

Du har tidsbegränsningar för webbappens utveckling

Många webbutvecklingsteam kodar internt mot alla OWASP-kryphål. De flesta av dessa team inser dock snart att det är tidskrävande och tidskrävande att skapa och underhålla den här koden. Om du försöker uppfylla en snäv tidsgräns för att starta en ny webbapp är de tusentals persontimmar som krävs för att skydda appen mot alla OWASP-kryphål ett stort hinder,

Du kan konfigurera en Azure Application Gateway-instans eller Azure Front Door-profil med Azure Web Application Firewall på några minuter.

Webbappen måste skapas och distribueras snabbt

Många webbappar kräver inte fullständig utveckling. Tänk till exempel på följande två apptyper:

  • Konceptbevis: Appen är bara avsedd att bevisa att viss teknik, förslag eller design är möjlig.
  • Minsta livskraftiga produkt (MVP): Appen innehåller endast tillräckligt med funktioner för att kunna användas av tidiga användare som ger feedback för framtida versioner.

Både konceptbevis och MVP-webbappar är avsedda att skapas och distribueras snabbt. I dessa fall är det inte meningsfullt att handkoda mot vanliga kryphål. Du vill fortfarande skydda dessa appar från skadliga aktörer, så det är klokt att placera dem bakom en brandvägg för webbprogram.

Lanseringen av webbappen kommer att vara hög profil

Marknadsför marknadsföringsteamet starkt en webbapp som snart släpps? Publicerar de meddelanden på flera plattformar för sociala medier för att trumma upp intresset för appen inför lanseringen? Det är bra, men vet du vem mer som kan vara intresserad av appens lansering? Skadliga användare som kan välja att försöka störa appversionen genom att starta några vanliga attacker mot appen.

För att undvika avbrott kan det vara klokt att skydda webbappen med Azure Web Application Firewall.