Implantar aplicativos seguros no Azure

Neste artigo, apresentamos atividades e controles de segurança a serem considerados ao implantar aplicativos para a nuvem. São abordadas questões de segurança e conceitos a considerar durante as fases de lançamento e resposta do Microsoft Security Development Lifecycle (SDL). O objetivo é ajudá-lo a definir atividades e serviços do Azure que você pode usar para implantar um aplicativo mais seguro.

As seguintes fases do SDL são abordadas neste artigo:

  • Versão
  • Response

Versão

O foco da fase de lançamento é preparar um projeto para lançamento público. Isso inclui o planejamento de maneiras de executar efetivamente tarefas de manutenção pós-lançamento e resolver vulnerabilidades de segurança que possam ocorrer posteriormente.

Verifique o desempenho do seu aplicativo antes de iniciar

Verifique o desempenho do seu aplicativo antes de iniciá-lo ou implantar atualizações na produção. Use o Teste de Carga do Azure para executar testes de carga baseados em nuvem para encontrar problemas de desempenho em seu aplicativo, melhorar a qualidade da implantação, garantir que seu aplicativo esteja sempre ativo ou disponível e que seu aplicativo possa lidar com o tráfego para sua inicialização.

Instalar um firewall de aplicativo Web

Cada vez mais, as aplicações Web são alvo de ataques maliciosos que exploram vulnerabilidades conhecidas comuns. Comum entre essas explorações são ataques de injeção de SQL e ataques de script entre sites. Prevenir esses ataques no código do aplicativo pode ser um desafio. Pode exigir manutenção, aplicação de patches e monitoramento rigorosos em muitas camadas da topologia do aplicativo. Um WAF centralizado ajuda a simplificar o gerenciamento de segurança. Uma solução WAF também pode reagir a uma ameaça à segurança corrigindo uma vulnerabilidade conhecida em um local central em vez de proteger cada aplicativo Web individual.

O WAF do Gateway de Aplicativo do Azure fornece proteção centralizada de seus aplicativos Web contra explorações e vulnerabilidades comuns. O WAF é baseado em regras dos conjuntos de regras principais do OWASP 3.0 ou 2.2.9.

Criar um plano de resposta a incidentes

Preparar um plano de resposta a incidentes é crucial para ajudá-lo a lidar com novas ameaças que podem surgir ao longo do tempo. A preparação de um plano de resposta a incidentes inclui a identificação de contatos de emergência de segurança apropriados e o estabelecimento de planos de manutenção de segurança para código herdado de outros grupos na organização e para código de terceiros licenciado.

Realizar uma revisão de segurança final

A revisão deliberada de todas as atividades de segurança que foram realizadas ajuda a garantir a prontidão para a versão do software ou do aplicativo. A revisão de segurança final (FSR) geralmente inclui a análise de modelos de ameaça, saídas de ferramentas e desempenho em relação aos portões de qualidade e barras de bugs que foram definidos na fase de requisitos.

Certificar a liberação e o arquivamento

Certificar o software antes de um lançamento ajuda a garantir que os requisitos de segurança e privacidade sejam atendidos. O arquivamento de todos os dados pertinentes é essencial para executar tarefas de manutenção pós-lançamento. O arquivamento também ajuda a reduzir os custos de longo prazo associados à engenharia de software sustentada.

Response

A fase de resposta pós-lançamento centra-se na capacidade e disponibilidade da equipa de desenvolvimento para responder adequadamente a quaisquer relatórios de ameaças e vulnerabilidades de software emergentes.

Executar o plano de resposta a incidentes

Ser capaz de implementar o plano de resposta a incidentes instituído na fase de lançamento é essencial para ajudar a proteger os clientes contra vulnerabilidades de segurança de software ou privacidade que surjam.

Monitorizar o desempenho da aplicação

O monitoramento contínuo de seu aplicativo após sua implantação potencialmente ajuda a detetar problemas de desempenho, bem como vulnerabilidades de segurança.

Os serviços do Azure que ajudam com o monitoramento de aplicativos são:

  • Azure Application Insights
  • Microsoft Defender para a Cloud

Application Insights

O Application Insights é um serviço extensível de Gerenciamento de Desempenho de Aplicativos (APM) para desenvolvedores da Web em várias plataformas. Utilize-o para monitorizar a sua aplicação Web online. O Application Insights deteta automaticamente anomalias de desempenho. Ele inclui poderosas ferramentas de análise para ajudá-lo a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo. Foi concebido para o ajudar a melhorar continuamente o desempenho e a usabilidade.

Microsoft Defender para a Cloud

O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade (e controlo sobre) a segurança dos seus recursos do Azure, incluindo aplicações Web. O Microsoft Defender for Cloud ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas. Trabalha com várias soluções de segurança.

O nível gratuito do Defender for Cloud oferece segurança limitada apenas para os seus recursos do Azure. A camada Defender for Cloud Standard estende esses recursos para recursos locais e outras nuvens. O Defender for Cloud Standard ajuda-o a:

  • Encontre e corrija vulnerabilidades de segurança.
  • Aplique controles de acesso e aplicativos para bloquear atividades maliciosas.
  • Detete ameaças usando análises e inteligência.
  • Responda rapidamente quando estiver sob ataque.

Próximos passos

Nos artigos a seguir, recomendamos controles de segurança e atividades que podem ajudá-lo a projetar e desenvolver aplicativos seguros.