Implantar aplicativos seguros no Azure
Neste artigo, apresentamos as atividades de segurança e os controles a serem considerados ao implantar aplicativos para a nuvem. Perguntas e conceitos de segurança a serem considerados durante as fases de lançamento e resposta do Microsoft SDL (Security Development Lifecycle) que são cobertos. O objetivo é ajudá-lo a definir atividades e serviços do Azure que você possa usar para implantar um aplicativo mais seguro.
As seguintes fases do SDL são abordadas neste artigo:
- Versão
- Resposta
Versão
O foco da fase de lançamento é preparar um projeto para lançamento público. Isso inclui formas de planejamento para executar efetivamente tarefas de manutenção após o lançamento e resolver vulnerabilidades de segurança que podem ocorrer mais tarde.
Verifique o desempenho do aplicativo antes da inicialização
Verificar o desempenho do seu aplicativo antes de iniciá-lo ou implantar atualizações na produção. Use o Teste de Carga do Azure para executar testes de carga baseados em nuvem para encontrar problemas de desempenho em seu aplicativo, melhorar a qualidade da implantação, garantir que seu aplicativo esteja sempre ativo ou disponível e que ele possa lidar com o tráfego para sua inicialização.
Instalar um firewall do aplicativo Web
Os aplicativos Web cada vez mais são alvos de ataques mal-intencionados que exploram vulnerabilidades conhecidas comuns. Os ataques de injeção de SQL e os ataques de scripts entre sites são comuns entre essas explorações. Impedir esses ataques no código do aplicativo pode ser desafiador. Ele pode necessitar de manutenção rigorosa, aplicação de patch e monitoramento em muitas camadas da topologia do aplicativo. Um WAF centralizado ajuda a tornar o gerenciamento de segurança mais simples. Uma solução WAF também pode reagir a uma ameaça de segurança ao aplicar um patch contra uma vulnerabilidade conhecida em um local central do que a proteção de cada aplicativo Web individual.
O Gateway de Aplicativo do Azure WAF fornece proteção centralizada dos aplicativos Web contra explorações e vulnerabilidades comuns. O WAF é baseado em regras dos conjuntos de regras principais do OWASP 3.0 ou 2.2.9.
Criar um plano de resposta a incidentes
Preparar um plano de resposta a incidentes é crucial para ajudar você a resolver novas ameaças que podem surgir ao longo do tempo. Preparar um plano de resposta a incidentes inclui a identificação de contatos de emergência de segurança apropriados e o estabelecimento de planos de serviço de segurança para o código herdado de outros grupos na organização e para código de terceiros licenciados.
Conduzir uma revisão de segurança final
Revisar deliberadamente todas as atividades de segurança que foram executadas ajuda a garantir a prontidão para o aplicativo ou lançamento de software. A FSR (análise de segurança final) geralmente inclui examinar modelos de ameaças, saídas de ferramentas e desempenho em relação aos Gates de qualidade e barras de bugs que foram definidas na fase de requisitos.
Certificar lançamento e arquivos
A certificação de software antes de um lançamento ajuda a garantir que os requisitos de segurança e privacidade sejam atendidos. O arquivamento de todos os dados pertinentes é essencial para executar tarefas de manutenção após o lançamento. O arquivamento também ajuda a reduzir os custos de longo prazo associados à engenharia de software sustentada.
Resposta
A fase de resposta após o lançamento está focada na equipe de desenvolvimento sendo capaz e disponível para responder adequadamente os relatórios de vulnerabilidades e ameaças de software que surgirem.
Executar o plano de resposta a incidentes
Ser capaz de implementar o plano de resposta a incidentes instituído na fase de lançamento é essencial para ajudar a proteger os clientes contra a segurança de software ou vulnerabilidades de privacidade que surgem.
Monitorar desempenho do aplicativo
O monitoramento contínuo de seu aplicativo depois de implantado pode ajudar a detectar problemas de desempenho assim como vulnerabilidades de segurança.
Os serviços do Azure que auxiliam no monitoramento de aplicativos são:
- Azure Application Insights
- Microsoft Defender para Nuvem
Application Insights
O Application Insights é um serviço APM (Gerenciamento de Desempenho de Aplicativos) extensível para desenvolvedores da Web em várias plataformas. Use-o para monitorar seu aplicativo Web online. O Application Insights detecta automaticamente anomalias de desempenho. Ele inclui ferramentas de análise avançadas para ajudar você a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo. Ele foi projetado para ajudar você a aprimorar continuamente o desempenho e a usabilidade do seu aplicativo.
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem ajuda você a prevenir, detectar e responder a ameaças com maior visibilidade e controle da segurança de seus recursos do Azure, inclusive de aplicativos Web. O Microsoft Defender para Nuvem ajuda a detectar ameaças que poderiam passar despercebidas. Ele funciona com várias soluções de segurança.
A camada gratuita do Defender para Nuvem oferece segurança limitada somente para seus recursos do Azure. A camada Standard do Defender para Nuvem estende esses recursos para recursos locais e outras nuvens. O Defender para Nuvem Standard ajuda você a:
- Localizar e corrigir vulnerabilidades de segurança.
- Aplicar controles de acesso e de aplicativo para bloquear atividades mal-intencionadas.
- Detectar ameaças usando análise e inteligência.
- Responder rapidamente quando está sob ataque.
Próximas etapas
Nos artigos a seguir, recomendamos os controles de segurança e as atividades que podem ajudá-lo a projetar e desenvolver aplicativos seguros.