Azure'da güvenli uygulamalar dağıtma
Bu makalede, bulut için uygulama dağıtırken göz önünde bulundurmanız gereken güvenlik etkinliklerini ve denetimlerini sunuyoruz. Microsoft Güvenlik Geliştirme Yaşam Döngüsü'ne (SDL) ilişkin sürüm ve yanıt aşamalarında dikkate alınacak güvenlik soruları ve kavramları ele alınmıştır. Amaç, daha güvenli bir uygulama dağıtmak için kullanabileceğiniz etkinlikleri ve Azure hizmetlerini tanımlamanıza yardımcı olmaktır.
Bu makalede aşağıdaki SDL aşamaları ele alınmıştır:
- Sürüm
- Response
Sürüm
Yayın aşamasının odak noktası, bir projeyi genel sürüme hazırlamaktır. Bu, yayın sonrası hizmet görevlerini etkili bir şekilde gerçekleştirmenin ve daha sonra oluşabilecek güvenlik açıklarını gidermenin yollarını planlamayı içerir.
Başlatmadan önce uygulamanızın performansını denetleyin
Başlatmadan veya güncelleştirmeleri üretime dağıtmadan önce uygulamanızın performansını denetleyin. Azure Yük Testi'ni kullanarak uygulamanızdaki performans sorunlarını bulmak, dağıtım kalitesini geliştirmek, uygulamanızın her zaman çalışır durumda veya kullanılabilir olduğundan ve uygulamanızın başlatma işlemi için trafiği işleyebileceğinden emin olmak için bulut tabanlı yük testleri çalıştırın.
Web uygulaması güvenlik duvarı yükleme
Web uygulamaları, bilinen yaygın güvenlik açıklarından yararlanan kötü amaçlı saldırıların giderek daha fazla hedefi olmaktadır. Bu açıklardan yararlanma işlemleri arasında SQL ekleme saldırıları ve siteler arası betik saldırıları bulunur. Uygulama kodunda bu saldırıları önlemek zor olabilir. Uygulama topolojisinin birçok katmanında sıkı bakım, düzeltme eki uygulama ve izleme gerektirebilir. Merkezi bir WAF, güvenlik yönetimini basitleştirmeye yardımcı olur. WAF çözümü, bilinen bir güvenlik açığına merkezi bir konumda düzeltme eki uygulama ve her bir web uygulamasının güvenliğini sağlama yoluyla da bir güvenlik tehdidine tepki verebilir.
Azure Uygulaması lication Gateway WAF, web uygulamalarınıza yaygın açıklardan ve güvenlik açıklarından merkezi koruma sağlar. WAF, OWASP çekirdek kural kümeleri 3.0 veya 2.2.9'dan gelen kuralları temel alır.
Bir olay yanıtı planı oluşturma
Olay yanıtı planının hazırlanması, zaman içinde ortaya çıkabilecek yeni tehditleri gidermenize yardımcı olmak için çok önemlidir. Olay yanıtı planı hazırlamak, uygun güvenlik acil durum kişilerini belirlemeyi ve kuruluştaki diğer gruplardan devralınan kodlar ve lisanslı üçüncü taraf kodu için güvenlik hizmeti planları oluşturmayı içerir.
Son güvenlik gözden geçirmesini gerçekleştirme
Gerçekleştirilen tüm güvenlik etkinliklerini kasıtlı olarak gözden geçirmek, yazılım sürümünüz veya uygulamanız için hazır olma durumunu sağlamaya yardımcı olur. Son güvenlik incelemesi (FSR) genellikle tehdit modellerini, araç çıkışlarını ve performans ile gereksinimler aşamasında tanımlanan kalite geçitlerine ve hata çubuklarına karşı incelemeyi içerir.
Yayın ve arşiv onaylama
Bir yayından önce yazılımı onaylamak, güvenlik ve gizlilik gereksinimlerini karşılamaya yardımcı olur. Tüm ilgili verilerin arşivlenmesi, yayın sonrası hizmet görevlerini gerçekleştirmek için gereklidir. Arşivleme, sürekli yazılım mühendisliğiyle ilişkili uzun vadeli maliyetlerin düşürülmesine de yardımcı olur.
Response
Yayın sonrası aşama, geliştirme ekibinin yeni ortaya çıkan yazılım tehditleri ve güvenlik açıkları raporlarına uygun şekilde yanıt verebilmesini ve sağlayabilmesini sağlar.
Olay yanıt planını yürütme
Yayın aşamasında ortaya çıkan olay yanıt planını uygulayabilmek, müşterilerin ortaya çıkan yazılım güvenliği veya gizlilik güvenlik açıklarından korunmasına yardımcı olmak için gereklidir.
Uygulama performansını izleme
Dağıtıldıktan sonra uygulamanızın sürekli izlenmesi, performans sorunlarının yanı sıra güvenlik açıklarını algılamanıza yardımcı olabilir.
Uygulama izleme konusunda yardımcı olan Azure hizmetleri şunlardır:
- Azure Application Insights
- Bulut için Microsoft Defender
Application Insights
Uygulama Analizler, birden çok platformdaki web geliştiricileri için genişletilebilir bir Uygulama Performansı Yönetimi (APM) hizmetidir. Canlı web uygulamanızı izlemek için kullanabilirsiniz. Uygulama Analizler performans anomalilerini otomatik olarak algılar. Sorunları tanılamanıza ve kullanıcıların uygulamanızla gerçekte ne yaptığını anlamanıza yardımcı olacak güçlü analiz araçları içerir. Performansı ve kullanılabilirliği sürekli geliştirmenize yardımcı olmak amacıyla tasarlanmıştır.
Bulut için Microsoft Defender
Bulut için Microsoft Defender, web uygulamaları da dahil olmak üzere Azure kaynaklarınızın güvenliğine yönelik daha fazla görünürlük (ve denetim) ile tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Bulut için Microsoft Defender, aksi takdirde farkında olunmayan tehditleri algılamaya yardımcı olur. Çeşitli güvenlik çözümleriyle çalışır.
Bulut için Defender Ücretsiz katmanı yalnızca Azure kaynaklarınız için sınırlı güvenlik sunar. Bulut için Defender Standart katmanı bu özellikleri şirket içi kaynaklara ve diğer bulutlara genişletir. Bulut için Defender Standard şunları kullanmanıza yardımcı olur:
- Güvenlik açıklarını bulun ve düzeltin.
- Kötü amaçlı etkinlikleri engellemek için erişim ve uygulama denetimleri uygulayın.
- Analiz ve zeka kullanarak tehditleri algılama.
- Saldırı altındayken hızla yanıt verin.
Sonraki adımlar
Aşağıdaki makalelerde, güvenli uygulamalar tasarlamanıza ve geliştirmenize yardımcı olabilecek güvenlik denetimlerini ve etkinlikleri öneririz.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin