私はAzureのセキュリティに関するベストプラクティスのアドバイスを探しています。私はそれを行う方法についていくつかの記事を見てきましたが、必ずしも必要であるとは限りません。Azure App Service with WAF
私はAzureに移りたいと思っている顧客がいて、PAASソリューションに可能な限り固執するように具体的に要求しています。デプロイするアプリケーションはかなり単純ですので、いくつかのWebアプリケーションサービスが要件を満たします。
問題は常にリスク回避とセキュリティ意識がかなり高くなっているため、WAFでアプリケーションゲートウェイの背後にある仮想ネットワーク内の各サイトがベストプラクティスである必要があるかどうか疑問に思っています。アプリサービスが稼動しており、Azureはデフォルトで十分に機能しますか?
現在のホスティングソリューションでは、WAFとDDOSの保護機能を備えていますが、これは最近追加されたものに過ぎません。
エンタープライズのセキュリティ状態とコンプライアンスは、決定に要因を果たします。私は、OWASPのトップ10のリスクを緩和するWAFを備えたアプリケーションゲートウェイの背後にあるVNetでサイトを維持することは、パブリックアプリケーションサービスよりも確実に安全だと思います。しかし、PAASのサービスとセキュリティを望むという事実を考えれば、おそらくASEルートに進む必要があります。現在、App Gtwy(WAF付き)はApp Servicesをサポートしていません。 ASEのエントリーコスト(フロントエンドプールに2つ以上のP2があり、ワーカープールに2つのP1が必要な4つのインスタンスが必要です)は少し険しいかもしれません。もちろん、あなたはVNet内でのホスティングのためのIAASルートに行くことができ、App Gtwy WAFを同じようにフロントエンドすることができます。
あなたが純粋なApp Serviceと一緒に行くなら、Azureは(インフラおよびプラットフォームレベルの)DDoS攻撃を受け、中間攻撃で(アプリケーションレベルの)SQLインジェクション、XSS、CSRFなどを担当します。 WAFが世話をした。