Azure'da güvenli uygulamalar dağıtma

  • Makale

Bu makalede, bulut için uygulama dağıtırken dikkate alınacak güvenlik etkinliklerini ve denetimlerini sunuyoruz. Microsoft Güvenlik Geliştirme Yaşam Döngüsü'nin (SDL) yayın ve yanıt aşamaları sırasında dikkate alınması gereken güvenlik soruları ve kavramları ele alınmıştır. Amaç, daha güvenli bir uygulama dağıtmak için kullanabileceğiniz etkinlikleri ve Azure hizmetlerini tanımlamanıza yardımcı olmaktır.

Bu makalede aşağıdaki SDL aşamaları ele alınmıştır:

  • Yayınla
  • Yanıt

Yayınla

Yayın aşamasının odak noktası, projeyi genel sürüme hazırlamaktır. Bu, yayın sonrası hizmet görevlerini etkili bir şekilde gerçekleştirmenin ve daha sonra ortaya çıkabilecek güvenlik açıklarını gidermenin planlama yollarını içerir.

Başlatmadan önce uygulamanızın performansını denetleyin

Başlatmadan veya güncelleştirmeleri üretime dağıtmadan önce uygulamanızın performansını denetleyin. Azure Yük Testi'ni kullanarak uygulamanızdaki performans sorunlarını bulmak, dağıtım kalitesini geliştirmek, uygulamanızın her zaman çalışır durumda veya kullanılabilir olduğundan ve uygulamanızın başlatma işleminizdeki trafiği işleyebileceğinden emin olmak için bulut tabanlı yük testleri çalıştırın.

Web uygulaması güvenlik duvarı yükleme

Web uygulamaları, bilinen yaygın güvenlik açıklarından yararlanan kötü amaçlı saldırıların giderek daha fazla hedefi olmaktadır. Bu açıklardan yararlanmalar arasında SQL ekleme saldırıları ve siteler arası betik saldırıları bulunur. Uygulama kodunda bu saldırıları önlemek zor olabilir. Uygulama topolojisinin birçok katmanında sıkı bakım, düzeltme eki uygulama ve izleme gerektirebilir. Merkezi waf, güvenlik yönetimini kolaylaştırmada yardımcı olur. WaF çözümü, bilinen bir güvenlik açığına merkezi bir konumda düzeltme eki uygulama ve her bir web uygulamasının güvenliğini sağlama yoluyla da güvenlik tehdidine tepki verebilir.

Azure Application Gateway WAF, web uygulamalarınızın yaygın açıklardan yararlanmaya ve güvenlik açıklarına karşı merkezi korumasını sağlar. WAF, OWASP çekirdek kural kümeleri 3.0 veya 2.2.9'dan gelen kuralları temel alır.

Bir olay yanıtı planı oluşturma

Bir olay yanıtı planı hazırlamak, zaman içinde ortaya çıkacak yeni tehditleri ele alma konusunda size yardımcı olmak için çok önemlidir. Olay yanıtı planı hazırlamak, uygun güvenlik acil durum kişilerini belirlemeyi ve kuruluştaki diğer gruplardan devralınan kod ve lisanslı üçüncü taraf kodu için güvenlik hizmet planları kurmayı içerir.

Son bir güvenlik incelemesi gerçekleştirin

Gerçekleştirilen tüm güvenlik etkinliklerini kasıtlı olarak gözden geçirmek, yazılım sürümünüz veya uygulamanız için hazır olma durumunu sağlamaya yardımcı olur. Son güvenlik incelemesi (FSR) genellikle tehdit modellerini, araç çıkışlarını ve kalite geçitlerine ve gereksinimler aşamasında tanımlanan hata çubuklarına karşı performansı incelemeyi içerir.

Yayın ve arşiv onaylama

Bir yayından önce yazılım onaylama, güvenlik ve gizlilik gereksinimlerinin karşılanmasını sağlamaya yardımcı olur. Tüm ilgili verilerin arşivlenmesi, yayın sonrası bakım görevlerini gerçekleştirmek için gereklidir. Arşivleme, sürekli yazılım mühendisliğiyle ilişkili uzun vadeli maliyetlerin düşürülmesi için de yardımcı olur.

Yanıt

Yayın sonrası aşama, geliştirme ekibinin ortaya çıkan yazılım tehditleri ve güvenlik açıkları raporlarına uygun şekilde yanıt verebilmesini ve sağlayabilmesini sağlar.

Olay yanıt planını yürütme

Yayın aşamasında ortaya çıkan olay yanıtı planını uygulayabilmek, müşterilerin ortaya çıkan yazılım güvenliği veya gizlilik güvenlik açıklarından korunmasına yardımcı olmak için gereklidir.

Uygulama performansını izleme

Dağıtıldıktan sonra uygulamanızın sürekli izlenmesi, hem performans sorunlarını hem de güvenlik açıklarını algılamanıza yardımcı olabilir.

Uygulama izleme konusunda yardımcı olan Azure hizmetleri şunlardır:

  • Azure Application Insights
  • Bulut için Microsoft Defender

Application Insights

Application Insights , birden çok platformdaki web geliştiricileri için genişletilebilir bir Uygulama Performansı Yönetimi (APM) hizmetidir. Canlı web uygulamanızı izlemek için kullanabilirsiniz. Application Insights, performans anomalilerini otomatik olarak algılar. Sorunları tanılamanıza ve kullanıcıların uygulamanızla gerçekte ne yaptığını anlamanıza yardımcı olacak güçlü analiz araçları içerir. Performansı ve kullanılabilirliği sürekli geliştirmenize yardımcı olmak amacıyla tasarlanmıştır.

Bulut için Microsoft Defender

Bulut için Microsoft Defender, web uygulamaları da dahil olmak üzere Azure kaynaklarınızın güvenliğine yönelik daha fazla görünürlük (ve denetim) ile tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Bulut için Microsoft Defender, aksi takdirde fark edilemeyen tehditleri algılamaya yardımcı olur. Çeşitli güvenlik çözümleriyle çalışır.

Bulut için Defender'ın Ücretsiz katmanı yalnızca Azure kaynaklarınız için sınırlı güvenlik sunar. Bulut için Defender Standart katmanı bu özellikleri şirket içi kaynaklara ve diğer bulutlara genişletir. Bulut için Defender Standart şunları kullanmanıza yardımcı olur:

  • Güvenlik açıklarını bulun ve düzeltin.
  • Kötü amaçlı etkinlikleri engellemek için erişim ve uygulama denetimleri uygulayın.
  • Analiz ve zeka kullanarak tehditleri algılama.
  • Saldırı altındayken hızla yanıt verin.

Sonraki adımlar

Aşağıdaki makalelerde, güvenli uygulamalar tasarlamanıza ve geliştirmenize yardımcı olabilecek güvenlik denetimleri ve etkinlikler önerilir.