Oversigt

Fuldført

Penetrationstesten mod Contoso Retails e-handelsapplikation afslørede tre huller: ingen håndhævelse på platformniveau-autentificering, ingen begrænsning på, hvor indgående trafik kunne komme fra, og ingen Firewall for webprogram (WAF), der forsvarer mod angreb på applikationslaget. Dette modul dækkede alle tre med kontroller, du kan konfigurere, håndhæve i stor skala og overvåge kontinuerligt.

Gennemgå, hvad du har konfigureret

Det første hul—ingen autentificeringshåndhævelse—er nu adresseret på platformlaget. Du konfigurerede EasyAuth på App Service med Microsoft Entra ID som identitetsudbyder og satte den uautentificerede anmodningshandling til at kræve autentificering. Uautentificerede forespørgsler blokeres, før de når applikationskoden. Den administrerede identitet, du har aktiveret, eliminerer behovet for gemte legitimationsoplysninger i app-indstillingerne, og Key Vault-referencer sikrer, at hemmeligheder forbliver i vaulten i stedet for i deployment-artefakter eller konfigurationsblades.

Det andet hul—ingen netværksbegrænsning på indkommende trafik—lukkes gennem adgangsbegrænsninger og udrulning af private endepunkter. App Service accepterer nu kun indgående trafik fra Application Gateway, hvilket forhindrer angribere i at omgå WAF-inspektion ved direkte at målrette App Service-værtsnavnet. Virtuel netværksintegration giver udgående privat adgang til backend-ressourcer, og HTTPS Only med minimum Transport Layer Security (TLS) 1.2 lukker protokolniveau-eksponering.

Det tredje hul—ingen edge-layer beskyttelse mod applikationsangreb—adresseres gennem WAF-politikken for Application Gateway. Du valgte Core Rule Set (CRS) 3.2 som det administrerede regelsæt til at dække OWASP Top 10 angrebskategorier, inklusive SQL-injektion, implementeret i Detection mode til indledende tuning, og konfigurerede målrettede udelukkelser for at reducere falske positiver, før du skiftede til Prevention-mode. Brugerdefinerede regler og per-site policy-foreninger giver dig fleksibilitet til at tilpasse WAF til dine specifikke applikationers krav.

Disse tre lag fungerer som et system. WAF kan omgås uden backend-begrænsning. Backend-begrænsning uden WAF efterlader applikationslagsangreb ukontrollerede. Platformautentificering uden netværkskontroller udsætter stadig applikationen for ikke-autentificerede forespørgsler fra utilsigtede kilder. Sikkerhedseffektivitet kræver, at alle tre lag er på plads sammen.

Lær mere