Summary

Effectué

Le test d'intrusion contre l'application e-commerce de Contoso Retail a révélé trois lacunes : aucune application de l'authentification au niveau de la plateforme, aucune restriction sur l'endroit où le trafic entrant pouvait provenir et aucun Web Application Firewall (WAF) ne défendant contre les attaques de couche application. Ce module a traité les trois contrôles que vous pouvez configurer, appliquer à grande échelle et surveiller en continu.

Passer en revue ce que vous avez configuré

La première lacune, sans application de l’authentification, est désormais traitée au niveau de la couche plateforme. Vous avez configuré EasyAuth sur App Service avec Microsoft Entra ID en tant que fournisseur d’identité et définissez l’action de requête non authentifiée pour exiger l’authentification. Les requêtes non authentifiées sont bloquées avant d’atteindre le code de l’application. L’identité managée que vous avez activée évite d’avoir à stocker des informations d’identification dans les paramètres de l’application, et les références à Key Vault garantissent que les secrets restent dans le coffre Key Vault plutôt que dans les artefacts de déploiement ou les volets de configuration.

La deuxième lacune — l’absence de restriction réseau sur le trafic entrant — est comblée grâce à des restrictions d’accès et au déploiement de points de terminaison privés. App Service accepte désormais le trafic entrant uniquement à partir d’Application Gateway, empêchant les attaquants de contourner l’inspection waf en ciblant directement le nom d’hôte App Service. L’intégration au réseau virtuel fournit un accès privé sortant aux ressources de back-end, et le mode HTTPS uniquement avec TLS 1.2 au minimum élimine l’exposition au niveau du protocole.

Le troisième écart — l’absence de protection de couche Edge contre les attaques applicatives — est comblé grâce à la stratégie WAF sur Application Gateway. Vous avez sélectionné Core Rule Set (CRS) 3.2 comme jeu de règles managées pour couvrir les catégories d’attaques OWASP top 10, notamment l’injection SQL, déployée en mode détection pour le réglage initial et configuré des exclusions ciblées pour réduire les faux positifs avant de passer au mode prévention. Les règles personnalisées et les associations de stratégie par site vous permettent d’adapter le WAF aux exigences spécifiques de votre application.

Ces trois couches fonctionnent en tant que système. Un WAF sans restriction au niveau du back-end peut être contourné. Une restriction côté back-end en l’absence de WAF laisse les attaques au niveau de la couche applicative non inspectées. L’authentification de plateforme sans contrôle réseau expose toujours l’application aux requêtes non authentifiées provenant de sources inattendues. L’efficacité de la sécurité nécessite les trois couches en place ensemble.

Learn more