使用 Azure Web 應用程式防火牆的時機

  • 8 分鐘

您知道什麼是 Azure Web 應用程式防火牆及其運作方式。 現在您需要一些準則來協助您評估 Azure Web 應用程式防火牆是否適合貴公司。 為了協助您決定,讓我們考慮下列案例:

  • 您有包含敏感性或專屬數據的 Web 應用程式。
  • 您有需要使用者登入的 Web 應用程式。
  • 您的 Web 應用程式開發人員缺乏安全性專業知識。
  • 您的 Web 應用程式開發人員有其他優先順序。
  • 您有 Web 應用程式開發預算限制。
  • 您有 Web 應用程式開發時間限制。
  • 您的 Web 應用程式必須快速建置和部署。
  • 您的網頁應用程式啟動將會備受矚目。

在 Azure Web 應用程式防火牆評估中,您知道 Contoso 符合其中幾個案例。 如需詳細資料,請參閱對應章節。

您有包含敏感性或專屬數據的 Web 應用程式

對於一些網路攻擊者而言,闖入系統的挑戰是他們唯一的動機。 不過,大多數惡意駭客會使用注入攻擊、協議攻擊,以及以回報為目標的類似漏洞利用。 該回報可能是下列任一項目:

  • 客戶信用卡號碼
  • 敏感性個人資訊,例如駕駛執照號碼或護照號碼
  • 專屬或秘密公司數據

攻擊者可能會直接使用此數據。 例如,使用者可以使用遭竊的信用卡號碼購買商品。 然而,更有可能的是,攻擊者可能會在暗網市場上出售數據,或將數據挾持勒索贖金。

如果您的公司執行一或多個儲存敏感性或專屬數據的 Web 應用程式,Azure Web 應用程式防火牆可以保護該數據免於入侵和外泄嘗試。

您有需要使用者登入的 Web 應用程式

Web 應用程式攻擊者通常會嘗試取得帳戶使用者名稱和密碼。 擁有使用者帳號憑證對攻擊者來說以下列方式非常有用:

  • 攻擊者可以以授權使用者身分存取應用程式。
  • 攻擊者可能能夠執行具有更高許可權的腳本或命令。
  • 攻擊者可能能夠存取網路的其他部分。
  • 攻擊者可能可以使用帳戶的認證登入其他網站和服務。

您的企業是否使用需要使用者登入的 Web 應用程式? Azure Web 應用程式防火牆可以偵測嘗試顯示或竊取帳戶認證的惡意探索,例如 SQL 插入式攻擊和本機檔案包含攻擊。

這很重要

請記住,Azure Web 應用程式防火牆只是多管齊下網路安全性策略的一個方面。 針對登入數據,該策略也可能包括具有嚴格的密碼需求,並以加密形式儲存密碼。

您的 Web 應用程式開發人員缺乏安全性專業知識

針對可能的 Web 應用程式漏洞撰寫程式碼,需要大量的專業知識。 此專業知識包括具備下列概念的詳細知識:

  • HTTP/HTTPS 要求和回應的一般結構
  • 特定的 HTTP/HTTPS 要求類型,例如 GET、POST 和 PUT
  • URL 和 UTF 編碼
  • 使用者代理程式、查詢字串和其他變數
  • 多個伺服器操作系統的命令、路徑、指令集和類似數據等
  • 前端 Web 技術,例如 HTML、CSS 和 JavaScript
  • 伺服器端 Web 技術,例如 SQL、PHP 和用戶會話

如果您的公司的 Web 開發小組在這些概念中缺乏一或多個知識,該怎麼辦? 在這種情況下,您的網頁應用程式容易受到多重攻擊。 相較之下,Microsoft安全性專家小組維護及更新 Azure Web 應用程式防火牆。

您的 Web 應用程式開發人員有其他優先順序

您的公司不太可能僅僅為了防止 SQL 注入攻擊和遠端命令執行等漏洞而部署其 Web 應用程式。 您的公司更可能對其 Web 應用程式有一些其他用途。 此目的可能是銷售產品、提供服務或促銷您的業務。

您最好讓 Web 開發小組專注於完成這些用途,而不是撰寫健全的應用程式安全性程序代碼。 使用 Azure Web 應用程式防火牆,您可以讓Microsoft管理安全性,而小組則著重於您的業務。

您有 Web 應用程式開發預算限制

針對所有 OWASP 漏洞進行內部程式碼編寫是一項昂貴的方案。 具有必要安全性專業知識的 Web 開發人員相對罕見。 這些開發人員的薪水比缺乏這類專業知識的同事高。

同時,撰寫程式碼以防止各種 Web 應用程式惡意探索不是僅限一次的提議。 當新的或修改的漏洞利用被發現時,您的小組必須不斷維護和更新其安全程式碼。 您的安全專家必須成為網站開發團隊的永久成員,並成為您預算中的固定預算項目。

Azure Web 應用程式防火牆不是免費的。 不過,您可能會發現這是比僱用全職 Web 安全性專家小組更具成本效益的解決方案。

您有 Web 應用程式開發時間限制

許多 Web 開發團隊會在內部編寫程式碼,以防範所有 OWASP 漏洞。 不過,大部分的小組很快就會意識到建立和維護此程式代碼相當費時且耗時。 如果新 Web 應用程式的上市期限很急迫,則保護應用程式免於遭受所有 OWASP 惡意探索所需的數千小時人力會是一大阻礙。

您可以在幾分鐘內設定 Azure 應用程式閘道實例或 Azure Front Door 設定檔與 Azure Web 應用程式防火牆。

您的 Web 應用程式必須快速建置和部署

許多 Web 應用程式不需要完整的開發處理。 例如,請考慮下列兩種應用程式類型:

  • 概念證明:應用程式只是為了證明某些技術、提案或設計是可行的。
  • 最低可行產品 (MVP):應用程式只包含足夠的功能,供提供未來版本意見反應的早期採用者使用。

概念證明和 MVP Web 應用程式都必須快速建立和部署。 在這些情況下,針對常見攻擊手動編寫程式並無意義。 您仍然想要保護這些應用程式免受惡意執行者的攻擊,因此將其放在 Web 應用程式防火牆後面是合理的。

您的網路應用程式發佈將會廣受矚目

您的營銷團隊是否大力推廣即將發行的to-beWeb 應用程式? 他們在多個社交媒體平臺上發佈資訊,以在發佈前鼓起對應用程式的興趣嗎? 這很好,但您知道哪些人可能對您的應用程式版本感興趣嗎? 惡意使用者可能會決定嘗試通過對應用程式發行過程發動一些常見的攻擊來干擾應用程式的發布。

為了避免中斷,使用 Azure Web 應用程式防火牆保護 Web 應用程式可能很合理。