私たちはクラウドのいくつかのWebアプリケーションを開発しており、WAFが本当に必要かどうか疑問に思っていました。これらのWebアプリケーションは非常に小さく、最大で2つのインスタンスが必要です。私たちのIT部門は、WAFでアプリケーションを保護できるかどうかを尋ねました。Azure Web AppsはWAFが必要です
ASEでこれを実行できることはわかっていますが、実際には高価で、小さなアプリケーションをASEに入れる必要はありません。
私の質問は次のとおりです。AzureはApp Servicesのデフォルトで保護の王を提供していますか?このドキュメントでは、保護されているApp Serviceの仕組みについては何も書かれていませんが、SSLと認証を使用して保護する方法のみが記載されていますが、特定の攻撃からアプリケーションを保護する方法はありません。
このトピックに関するベストプラクティスはありますか?
ありがとうございます。
次のようにAzure Web App sandboxが指摘したように:
すべてのAzureのWebアプリケーション(だけでなく、モバイルアプリ/サービス、WebJobsと機能)は、セキュアな環境で実行するには、サンドボックスと呼ばれます。各アプリケーションは、独自のサンドボックス内で実行され、同じマシン上の他のインスタンスからの実行を隔離するだけでなく、他の方法では利用できないセキュリティとプライバシーの追加レベルを提供します。サンドボックスの仕組みは、マシン上で実行されている各アプリが保証された最低レベルのサービスを保証することを目的としています。さらに、サンドボックスによって実行される実行時の制限によって、同じマシン上で実行されている可能性がある他のリソース集約型アプリケーションによる悪影響をアプリケーションが防止できます。
インフラストラクチャとプラットフォームのセキュリティでは、AzureはApp Serviceアプリを分離し、機密データ(例:sql connectionstring、appId、appSecretなど)の通信は常に暗号化されます。また、Appサービスは、マルウェア、DDoS、MITM、その他の脅威からApp Serviceリソースを保護する脅威管理を提供します。
アプリケーションのセキュリティを確保するには、セキュリティでアプリケーションを開発、管理する必要があります。頻繁に発生する脅威は、SQLインジェクション、セッションハイジャック、クロスサイトスクリプティングなどです。
さらに、integration with Tinfoil Securityを活用して、アプリケーションの侵入テストを実施し、その脆弱性を修正するための指示に従います。