Повысьте безопасность своего приложения в Azure
3 июня 2023 г.Когда облачные вычисления впервые стали популярными, они рассматривались как способ снижения трения и затрат. Намного быстрее и дешевле было развернуть виртуальную машину в облаке, чем ждать, пока физический сервер будет одобрен, заказан, доставлен и настроен.
ПОСМОТРЕТЬ: используйте этот шаблон политики управления доступом от TechRepublic Premium для создания безопасных политик доступа пользователей.
Теперь облачные вычисления достаточно мощны и надежны для выполнения критически важных рабочих нагрузок — если вы знаете, как разрабатывать масштабируемые приложения, настраивать облачные службы для их поддержки и справляться со сбоями, неизбежными в любой сложной системе.
Перейти к:
- Избегайте недостатков безопасности при создании приложений в Azure
Заблокируйте свои приложения
Проверьте свою сеть
Избегайте недостатков безопасности при создании приложений в Azure
Если вы создаете приложения в Azure, у Microsoft есть Well-Architected Framework, которая поможет вам спроектировать и запустить ваше приложение для обеспечения надежности, безопасности, эффективности производительности и эффективности операций. Он даже предлагает викторину, чтобы помочь вам оценить, все ли вы охватили.
Также растет число инструментов и служб, которые помогают сделать приложения, которые вы запускаете в Azure, более надежными и безопасными. Эти инструменты варьируются от службы Azure Chaos Studio, которая помогает вам проверить, как ваше приложение справляется с ошибкой, до проекта OneFuzz с открытым исходным кодом, который будет искать недостатки в вашем коде.
Если вы используете контейнеры, конфигурация по умолчанию для контейнеров .NET 8 Linux теперь «без root», и требуется всего одна строка кода, чтобы ваше приложение запускалось от имени обычного пользователя, а не от пользователя с root-доступом. Это делается для того, чтобы злоумышленники не могли изменять файлы или устанавливать и запускать свой собственный код, если они смогут проникнуть в ваше приложение.
Заблокируйте свои приложения
В дополнение к тому, чтобы избежать недостатков безопасности при написании приложения, вам необходимо убедиться, что вы предоставляете доступ только нужным людям.
Вы можете применять блокировки к любому ресурсу Azure или даже ко всей подписке Azure, гарантируя, что их нельзя будет удалить или даже изменить. Но поскольку блокировки влияют на плоскость управления Azure, а не на плоскость данных Azure, база данных, заблокированная от изменений, по-прежнему может создавать, обновлять и удалять данные, поэтому ваше приложение будет продолжать работать правильно.
Для старых приложений, в которых нет подробных параметров управления использованием учетных данных, в Azure Active Directory есть новый параметр, помогающий защитить эти учетные данные. Таким образом, злоумышленник не может вносить изменения, которые могут позволить ему получить контроль над ключевым корпоративным приложением и получить учетные данные для перемещения по вашей сети и атаки на другие системы.
Около 70% всех утечек данных начинаются с атаки на веб-приложения, поэтому необходимо убедиться, что злоумышленники не смогут использовать их в качестве трамплина к другим ресурсам.
ПОСМОТРЕТЬ: узнайте, как BYOD и личные приложения могут привести к утечке данных.
Новая функция блокировки свойств экземпляра приложения охватывает подписывание учетных данных с помощью SAML и OpenID Connect, что означает, что вы можете предлагать единый вход, который позволяет пользователям входить в Azure AD и получать доступ к нескольким приложениям.
Он также шифрует токены, созданные с помощью открытого ключа, поэтому приложения, которые хотят использовать эти токены, должны иметь правильный закрытый ключ, прежде чем они смогут использовать эти токены для пользователя, который в данный момент вошел в систему. Это затрудняет кражу и воспроизведение токенов для получить доступ.
Современные приложения обычно уже имеют такие средства защиты. Если вы используете устаревшее приложение, которое не было создано для защиты этих потоков входа, вы можете использовать Azure AD, чтобы запретить изменение учетных данных, используемых для подписи маркеров, шифрования маркеров или проверки маркеров. Таким образом, даже если злоумышленник получит доступ к приложению, он не сможет заблокировать законных администраторов и захватить управление.
Вы также можете посмотреть разрешения, которые пользователи имеют для приложений, которые они устанавливают или регистрируют в вашем арендаторе Azure AD, и что увидит любой пользователь с гостевым доступом.
Проверьте свою сеть
Если у вашего облачного приложения есть проблема, иногда это проблема сети, а иногда проблема в том, как вы настроили параметры сети.
Azure Virtual Network Manager — это новый инструмент для группировки сетевых ресурсов, настройки подключения и безопасности для этих ресурсов и автоматического развертывания этих конфигураций в нужных сетевых группах. В то же время он допускает исключения для ресурсов, которым требуется что-то вроде входящего трафика Secure Shell, который вы обычно блокируете.
Вы можете использовать это для создания общих сетевых топологий, таких как концентратор и луч, который соединяет несколько виртуальных сетей с виртуальной сетью концентратора, которая содержит подключение к брандмауэру Azure или ExpressRoute. Диспетчер виртуальной сети Azure также автоматически добавляет новые виртуальные сети, которым необходимо подключиться к этому ресурсу, или (скоро) сетку, которая позволяет вашим виртуальным сетям взаимодействовать друг с другом.
Наблюдатель за сетями Azure уже имеет ряд инструментов, которые помогут вам отслеживать вашу сеть и отслеживать проблемы, которые могут повлиять на ваши виртуальные машины или виртуальную сеть. Он может рисовать карту топологии в реальном времени, которая охватывает несколько подписок, регионов и групп ресурсов Azure, а также отслеживать подключение, потерю пакетов и задержку для виртуальных машин в облаке и в вашей собственной инфраструктуре.
Но наличие нескольких инструментов для поиска конкретных проблем означает, что вы должны знать, что ищете. Новый инструмент устранения неполадок с подключением в Наблюдателе за сетями запускает эти инструменты и сообщает о сетевых переходах, задержке, использовании памяти и ЦП, а также о том, может ли он установить подключение, а если нет, то из-за DNS, правил сетевой маршрутизации, сетевой безопасности. правила или настройки брандмауэра.
Вы также можете использовать Наблюдатель за сетями для запуска других инструментов, таких как сеанс захвата пакетов или Azure Traffic Analytics, которые помогают визуализировать сетевой поток в вашем приложении. Azure Traffic Analytics может даже отображать топологию сети, чтобы вы могли видеть, какие ресурсы находятся в какой подсети и частью какой виртуальной сети является каждая подсеть.
Если вы используете группы сетевой безопасности Наблюдателя за сетями, вы можете использовать аналитику трафика, чтобы понять журналы потоков, которые отслеживают входящий и исходящий трафик для поиска точек доступа или просто для просмотра того, откуда в мире поступает ваш сетевой трафик и соответствует ли он. что вы ожидаете.
Вы также можете использовать это, чтобы убедиться, что вы используете частные ссылки, а не общедоступные IP-подключения для доступа к конфиденциальным ресурсам, таким как Azure Key Vault — ошибку, которую на удивление легко совершить, если вы используете общедоступный DNS-сервер, а не DNS-сервер Azure. Правильная настройка сети — важная часть обеспечения безопасности ваших приложений в облаке.
Оригинал