Shrnutí

Dokončeno

Penetrační test pro aplikaci elektronického obchodování společnosti Contoso Retail odhalil tři mezery: žádné vynucení ověřování na úrovni platformy, žádné omezení, odkud by příchozí provoz mohl pocházet, a žádné Web Application Firewall (WAF) bránící útokům na aplikační vrstvu. Tento modul se zabývá všemi třemi ovládacími prvky, které můžete konfigurovat, vynucovat ve velkém měřítku a průběžně monitorovat.

Zkontrolujte, co jste nakonfigurovali.

První mezera ( bez vynucení ověřování) se teď řeší na vrstvě platformy. Nakonfigurovali jste EasyAuth ve službě App Service s Microsoft Entra ID jako poskytovatelem identity a nastavili akci pro neověřené požadavky na Vyžadovat ověření. Neautentizované požadavky jsou blokovány dříve, než se dostanou ke kódu aplikace. Spravovaná identita, kterou jste povolili, odstraňuje potřebu ukládat přihlašovací údaje do nastavení aplikace a odkazy na Key Vault zajišťují, že tajné údaje zůstanou v trezoru, a ne v artefaktech nasazení nebo panelech konfigurace.

Druhá mezera – bez omezení sítě pro příchozí provoz – je uzavřena prostřednictvím omezení přístupu a nasazení privátního koncového bodu. App Service teď přijímá příchozí provoz jenom ze služby Application Gateway, což útočníkům brání v obejití kontroly WAF tak, že přímo cílí na název hostitele služby App Service. Integrace virtuální sítě poskytuje odchozí privátní přístup k back-endovým zdrojům a režim Pouze HTTPS s minimální verzí protokolu TLS 1.2 eliminuje expozici na úrovni protokolu.

Třetí mezera – bez ochrany na hraniční vrstvě proti útokům aplikací – se řeší prostřednictvím zásad WAF ve službě Application Gateway. Jako spravovanou sadu pravidel jste vybrali Core Rule Set (CRS) 3.2 pro pokrytí kategorií útoků z OWASP Top 10, včetně útoků typu SQL injection, nasadili ji v režimu Detection pro počáteční ladění a nakonfigurovali cílené výjimky, aby se před přepnutím do režimu Prevention snížil počet falešně pozitivních nálezů. Vlastní pravidla a přidružení zásad ke konkrétním webům vám poskytují flexibilitu přizpůsobit WAF konkrétním požadavkům vaší aplikace.

Tyto tři vrstvy fungují jako systém. WAF bez omezení na backendu lze obejít. Omezení back-endu bez WAF ponechá útoky na aplikační vrstvu nepozorované. Ověřování platformy bez síťových ovládacích prvků stále zpřístupňuje aplikaci neověřeným požadavkům z nezamýšlených zdrojů. Efektivita zabezpečení vyžaduje všechny tři vrstvy na místě.

Další informace