Introduction

Ukończone

Aplikacja handlu elektronicznego firmy Contoso Retail działa na Azure App Service i jest widoczna bezpośrednio w publicznym Internecie. Niedawny test penetracyjne ujawnił trzy luki w zabezpieczeniach, które pozostają niezaubrane w bieżącym wdrożeniu. Aplikacja nie ma wymuszania uwierzytelniania na poziomie platformy — każde nieuwierzytelnione żądanie dociera do kodu aplikacji. Usługa App Service akceptuje ruch przychodzący z dowolnego źródłowego adresu IP, co oznacza, że osoba atakująca, która odnajduje nazwę hosta usługi App Service, może pominąć wszelkie mechanizmy kontroli zabezpieczeń umieszczone przed nią. Aplikacja nie jest chroniona przez zaporę Web Application Firewall, a test penetracyjny wykazał skuteczny atak typu SQL injection na punkt końcowy wyszukiwania produktów.

Te trzy luki stanowią problem warstwowy. Zamknięcie jednego bez pozostałych pozostawia znaczące ryzyko otwarte. Uwierzytelnianie na poziomie platformy nie uniemożliwia atakującemu ominięcia zapory aplikacji internetowej (WAF) przez kierowanie ruchu bezpośrednio do usługi App Service. WAF umieszczony przed aplikacją nie zapewnia żadnej ochrony, jeśli aplikacja nadal przyjmuje bezpośredni ruch z Internetu. Każda warstwa zależy od innych, aby zapewnić skuteczność.

W tym module przepracujesz każdą z trzech warstw w kolejności. Zacznij od zabezpieczenia samej platformy usługi App Service — skonfigurowanie uwierzytelniania przy użyciu Microsoft Entra ID, przypisanie tożsamości zarządzanej dla wywołań usługi wychodzącej, wymuszanie protokołu HTTPS oraz stosowanie ograniczeń dostępu i kontroli sieci, które ograniczają miejsce, z którego może pochodzić ruch przychodzący. Następnie skonfigurujesz zasady Web Application Firewall w usłudze Application Gateway. Następnie wybierz zarządzane zestawy reguł, ustaw tryby WAF oraz zdefiniuj wykluczenia i reguły niestandardowe. Na koniec połączysz dwa komponenty, aby cały ruch przychodzący przechodził przez inspekcję WAF, zanim dotrze do usługi App Service, a także dowiesz się, jak monitorować dzienniki WAF i dostosować politykę, aby ograniczyć liczbę fałszywych alarmów.

Cele nauczania

Po ukończeniu tego modułu będziesz mieć następujące umiejętności:

  • Implementowanie uwierzytelniania, tożsamości zarządzanej i kontrolek sieci dla Azure App Service
  • Konfigurowanie zasad Web Application Firewall, w tym zarządzanych zestawów reguł i reguł niestandardowych
  • Integrowanie Web Application Firewall z usługą App Service w celu wymuszania ochrony warstwy brzegowej