Сводка

Завершено

Тест на проникновение для приложения электронной коммерции Contoso Retail показал три пробела: нет применения проверки подлинности на уровне платформы, никаких ограничений на то, где входящий трафик может возникнуть, и нет Брандмауэр веб-приложений (WAF), защищающихся от атак на уровне приложений. Этот модуль охватывал все три аспекта с помощью средств контроля, которые можно настроить, централизованно применять в широком масштабе и непрерывно отслеживать.

Просмотрите настроенные параметры

Первый пробел — отсутствие принудительной аутентификации — теперь устранён на уровне платформы. Вы настроили EasyAuth в App Service, выбрав Microsoft Entra ID в качестве поставщика удостоверения, и задали для неаутентифицированных запросов действие «Требовать проверку подлинности». Запросы, не прошедшие проверку подлинности, блокируются до того, как они достигают кода приложения. Управляемая идентификация, которую вы включили, устраняет необходимость хранить учетные данные в параметрах приложения, а ссылки на Key Vault гарантируют, что секреты остаются в хранилище, а не в артефактах развертывания или разделах конфигурации.

Второй разрыв ( без ограничения сети для входящего трафика) закрыт с помощью ограничений доступа и развертывания частной конечной точки. Теперь App Service принимает входящий трафик только от Application Gateway, не позволяя злоумышленникам обходить проверку WAF, напрямую обращаясь к имени узла App Service. Интеграция с виртуальной сетью обеспечивает исходящий доступ по частной сети к ресурсам серверной части, а режим «Только HTTPS» с минимальной версией Transport Layer Security (TLS) 1.2 устраняет уязвимости на уровне протокола.

Третий пробел — отсутствие защиты на пограничном уровне от атак на приложения — устраняется с помощью политики WAF в Шлюзе приложений. Вы выбрали базовый набор правил (CRS) 3.2 в качестве управляемого набора правил для защиты от категорий атак из списка OWASP Top 10, включая SQL-инъекции, развернули его в режиме обнаружения для первоначальной настройки и настроили целевые исключения, чтобы уменьшить количество ложных срабатываний перед переходом в режим предотвращения. Пользовательские правила и сопоставления политик на сайте позволяют гибко адаптировать WAF к конкретным требованиям приложения.

Эти три уровня работают как система. WAF без ограничений на стороне бэкенда можно обойти. Ограничение на стороне сервера без WAF оставляет атаки уровня приложений без проверки. Проверка подлинности платформы без сетевых элементов управления по-прежнему предоставляет приложению запросы, не прошедшие проверку подлинности из непреднамеренных источников. Для повышения эффективности безопасности требуются все три уровня вместе.

Узнать больше