快出海  > 微软云  >  Azure:保护 PaaS 部署

Azure:保护 PaaS 部署

来源:microsoft azure
作者:microsoft azure
时间:2021-01-02
请务必了解你与Microsoft之间的责任分工。在本地,拥有整个堆栈,但迁移到云后,某些责任将转移到Microsoft。

参考本文中的信息,可以:

了解云中的托管应用程序的安全优势

评估平台即服务(PaaS)相比其他云服务模型的安全优势

advantages-of-paas.png

将安全重心从以网络为中心的方案转换为以标识为中心的外围安全方案

实施一般的PaaS安全最佳实践建议

开发适用于云的应用程序时,在软件开发生命周期的每个阶段应考虑的安全问题和控制措施是一般的指导。

云的安全优势

请务必了解你与Microsoft之间的责任分工。在本地,拥有整个堆栈,但迁移到云后,某些责任将转移到Microsoft。

转移到云中可带来一定的安全优势。在本地环境中,组织的可用资源可能有限,无法尽责在安全措施上投资,使得攻击者能够利用所有层中的漏洞。

组织可以使用提供商的基于云的安全功能和云智能来改善其威胁检测和响应时间。通过将责任转移到云提供商,组织可以扩大安全覆盖范围,为其他优先业务重新调配安全资源与预算。

PaaS云服务模型的安全优势

让我们来了解一下Azure PaaS部署相比本地部署的安全优势。

PaaS的安全优势

从堆栈的底部(即物理基础结构)开始,Microsoft可以消除常见的风险和管理责任。由于Microsoft云受到Microsoft的持续监视,因此很难攻破。攻击者将Microsoft云当作攻击目标是不会得逞的。他们往往会改换目标,除非他们有大量的金钱和资源。

在堆栈的中间,PaaS部署与本地之间没有差别。在应用程序层和帐户与访问管理层,面临的风险是类似的。本文的后续步骤部分将提供有关消除或尽量避免这些风险的最佳实践指导。

堆栈的顶层(即数据监管和权限管理)存在一种风险,不过可以使用密钥管理来缓解。(最佳实践中介绍了密钥管理。)尽管密钥管理是一个附加的责任,但你不再需要管理PaaS部署中的某些区域,因此可将资源转移到密钥管理。

Azure平台还使用各种基于网络的技术提供强大的DDoS保护。但是,根据链路和数据中心的不同,所有类型的基于网络的DDoS保护方法都有自身的限制。为了帮助避免大规模DDoS攻击造成的影响,可以利用Azure的核心云功能快速自动扩展,以防御DDoS攻击。在建议的实践文章中,我们将更详细地介绍如何采取这种措施。

革新防御者的思维方式

PaaS部署为整体安全方案带来了变革。事必躬亲的局面现在可以改为与Microsoft分担责任。

PaaS与传统本地部署之间的另一个重大差别在于,前者为主要安全边界的界定因素提供了全新的视野。一直以来,主要的本地安全边界就是网络,大多数本地安全设计都使用网络作为主要安全枢纽。在PaaS部署中,可将标识视为主要安全边界,从而改善安全性。

采用标识用作主要安全边界的策略

在云计算的五大基本特征中,一个特征就是网络访问范围广泛,这使得以网络为中心的理念显得有点毫不相干。许多云计算解决方案的目标是不管用户身居何处,都能允许他们访问资源。对于大多数用户而言,他们的位置就是Internet上的某个节点。

下图演示了安全边界从网络边界演进成标识边界的过程。安全性越来越少地与如何保护网络相关,而更多地与如何保护数据,以及如何管理应用和用户的安全性相关。两者的关键差别在于如何为公司的重要资产提供更多的安全保障。

identity-perimeter.png

标识用作新的安全边界

最初,Azure PaaS服务(例如Web角色和Azure SQL)提供的传统网络边界防护措施很少,或者根本不提供。开发人员已认识到,设计元素的目的就是在Internet上公开(Web角色),而身份验证可提供新的边界(例如BLOB或Azure SQL)。

新式安全措施假设入侵者会突破网络边界。因此,新式防护措施已转移到标识。组织必须使用强身份验证和授权保护机制建立基于标识的安全边界(最佳实践)。

网络边界的原理和模式早在几十年前就已建立。相比之下,行业在使用标识作为主要安全边界的经验相对缺乏。正因如此,我们累积了足够的经验,乐于提供已在现场得到证实的、适用于几乎所有PaaS服务的一些普通建议。

下面是管理标识边界的最佳做法。

最佳做法:保护密钥和凭据以保护PaaS部署。

详细信息:丢失密钥和凭据是一个常见问题。可以使用集中式解决方案,将密钥和机密存储在硬件安全模块(HSM)中。Azure Key Vault通过使用受HSM保护的密钥对身份验证密钥、存储帐户密钥、数据加密密钥、.pfx文件和密码进行加密来保护你的密钥和机密。

最佳做法:不要将凭据和其他机密放入源代码或GitHub。

详细信息:唯一比丢失密钥和凭据更遭糕的事情是让未经授权的一方获取这些密钥和凭据的访问权限。攻击者可以利用bot技术来查找GitHub等代码存储库中存储的密钥和机密。请不要将密钥和机密放入这些公共代码存储库。

最佳做法:通过使用可以直接远程管理这些VM的管理接口来保护混合PaaS和IaaS服务上的VM管理接口。

详细信息:可以使用远程管理协议,如SSH、RDP和PowerShell远程处理。通常,我们建议不要从Internet启用对VM的直接远程访问。

如果可以,请使用替代方法,例如在Azure虚拟网络中使用虚拟专用网络。如果其他方法不可用,请确保使用复杂的密码和双因素身份验证(例如Azure AD多重身份验证)。

最佳做法:使用强身份验证和授权平台。

详细信息:在Azure AD而不是自定义用户存储中使用联合标识。使用联合标识时,可以利用基于平台的方法,将已获授权的标识的管理权限委托给合作伙伴。如果员工离职后,需要通过多个标识和授权系统反映该信息,则联合标识方法就特别重要。

使用平台提供的身份验证和授权机制,而不要使用自定义代码。原因是开发自定义身份验证代码可能很容易出错。大部分开发人员都不是安全专家,不太可能会注意到身份验证和授权的细微之处与最新开发情况。商业代码(例如Microsoft编写的代码)通常会接受广泛的安全性评审。

使用双重身份验证。双重身份验证是最新的身份验证和授权标准,它避免了用户名与密码类型的身份验证所固有的安全漏洞。应将对Azure管理(门户/远程PowerShell)接口和面向客户的服务的访问权限设计并配置为使用Azure AD多重身份验证。

使用OAuth2和Kerberos等标准身份验证协议。这些协议经过广泛的同行评审,有时可实现为平台库的一部分用于身份验证和授权。

在应用程序设计期间使用威胁建模

Microsoft安全开发生命周期指定团队应在设计阶段参与名为威胁建模的过程。为了帮助简化此过程,Microsoft已创建SDL威胁建模工具。对应用程序设计进行建模,并在所有信任边界中枚举STRIDE威胁可能会及早捕获设计错误。

下表列出了STRIDE威胁,并提供了一些使用Azure功能的示例缓解措施。这些缓解措施并非在每种情况下都起作用。

WechatIMG266.jpeg

在Azure应用服务上开发

Azure App Service是一个PaaS产品,可创建适用于任何平台或设备的Web和移动应用,并可连接到云中或本地任何位置的数据。应用服务所包括的Web功能和移动功能是以前作为Azure网站和Azure移动服务单独交付的。它还包括各种新功能,可以实现业务流程的自动化,并可托管云API。应用服务以单个集成服务的形式为Web、移动和集成方案提供一组丰富的功能。

下面是使用应用服务的最佳做法。

最佳做法:通过Azure Active Directory进行身份验证。

详细信息:应用服务为标识提供者提供OAuth 2.0服务。OAuth 2.0注重简化客户端开发人员的工作,同时为Web应用程序、桌面应用程序和移动电话提供特定的授权流。Azure AD使用OAuth 2.0,可让你授予移动和Web应用程序的访问权限。

最佳做法:根据“需要知道”和“最低权限”安全原则限制访问。

详细信息:对于想要实施数据访问安全策略的组织,限制访问是必须要做的事。可以使用Azure RBAC向特定范围内的用户、组和应用程序分配权限。若要了解有关向用户授予应用程序访问权限的详细信息,请参阅访问管理入门。

最佳做法:保护密钥。

详细信息:Azure Key Vault可帮助保护云应用程序和服务使用的加密密钥和机密。通过Key Vault,可以使用受硬件安全模块(HSM)保护的密钥,来加密密钥和机密(例如身份验证密钥、存储帐户密钥、数据加密密钥、.PFX文件和密码)。为了提升可靠性,可以在HSM中导入或生成密钥。请参阅Azure Key Vault了解详细信息。还可以使用Key Vault和自动续订来管理TLS证书。

最佳做法:限制传入的源IP地址。

详细信息:应用服务环境提供虚拟网络集成功能,可帮助你通过网络安全组限制传入的源IP地址。使用虚拟网络可将Azure资源置于可以控制其访问权限但无法通过Internet路由的网络中。若要了解详细信息,请参阅将应用与Azure虚拟网络集成。

最佳做法:监视应用服务环境的安全状态。

详细信息:使用Azure安全中心监视应用服务环境。在安全中心识别潜在的安全漏洞时,它会创建一些建议,这些建议会指导完成配置所需控件的过程。

备注

监视应用服务的功能以预览版提供,仅适用于安全中心的标准层。

安装Web应用程序防火墙

Web应用程序已逐渐成为利用常见已知漏洞的恶意攻击的目标。这些攻击中最常见的攻击包括SQL注入攻击、跨站点脚本攻击等。防止应用程序代码中的此类攻击颇具挑战性,可能需要在应用程序拓扑的多个层进行严格的维护、修补和监视。集中式Web应用程序防火墙有助于大幅简化安全管理,为抵卸威胁或入侵的应用程序管理员提供更好的保障。相较保护每个单独的Web应用程序,WAF解决方案还可通过在中央位置修补已知漏洞,更快地响应安全威胁。可将现有应用程序网关轻松转换为支持Web应用程序防火墙的应用程序网关。

Web应用程序防火墙(WAF)是应用程序网关的功能,可以对Web应用程序进行集中保护,避免其受到常见的攻击和漏洞危害。WAF基于开放Web应用程序安全项目(OWASP)核心规则集3.0或2.2.9中的规则。

监视应用程序的性能

监视是一种数据收集和分析操作,用于确定应用程序的性能、运行状况及可用性。有效的监视策略有助于了解应用程序组件的详细运行状况,它有助于向你发送关键情况的通知,让你在这些情况成为问题之前解决它们,从而提高运行时间。它还有助于检测可能与安全相关的异常。

使用Azure Application Insights监视应用程序的可用性、性能和使用情况,不管其是托管在云中还是在本地。通过使用Application Insights,可以快速确定并诊断应用程序中的错误,而无需等待用户报告这些错误。利用所收集的信息,可作出有关应用程序维护和优化的明智抉择。

Application Insights提供各种可以与所收集的数据交互的工具。Application Insights在公用存储库中存储其数据。它可以通过Kusto查询语言充分利用各种共享功能,例如警报、仪表板和深入分析。

执行安全渗透测试

验证安全防御与测试任何其他功能一样重要。将渗透测试规定为生成和部署过程的标准组成部分。针对已部署应用程序对定期安全测试和漏洞扫描进行计划,并监视打开的端口、终结点和攻击活动。

模糊测试是一种通过将格式错误的输入数据提供给分析并使用此数据的程序接口(入口点)来查找程序故障(代码错误)的方法。Microsoft安全风险检测是一种基于云的工具,可以在将软件部署到Azure之前,使用该工具查找软件中的bug和其他安全漏洞。该工具设计为在部署软件前捕获漏洞,因此你无需在软件发布后修补bug、处理崩溃或响应攻击。

立即登录,阅读全文
版权说明

本文内容来自于microsoft azure,本站不拥有所有权,不承担相关法律责任。文章内容系作者个人观点,不代表快出海对观点赞同或支持。如有侵权,请联系管理员(hj@kchuhai.com)删除!

相关文章
EMQ X Cloud 正式支持 Microsoft Azure 平台,助力企业出海业务
EMQ X Cloud 正式支持 Microsoft Azure 平台,助力企业出海业务
数字经济时代下 , 随着中国企业不断壮大 , 越来越多的企业选择走出国门 , 打开全球市场 , 海外云服务成为国内企业出海的重要桥梁。如果说产品与服务的迭代升级是帮助企业在海外攻城略地的重要力量 , 那么海外云服务的质量 , 则直接影响了海外用户使用其产品和服务时的体验。
ZAKER
6天前
微软Azure防火墙高端版正式上市
微软Azure防火墙高端版正式上市
微软正式推出高端版Azure防火墙,可用于支付与医疗保健等,高度敏感且受监管的环境,提供高端威胁防护,包括TLS探查、IDPS和URL过滤等功能。高端版Azure防火墙价格较标准版高出40%,资料处理费用则相同。
十轮网
7天前
Azure|一条数字化供应链的诞生:看杉数科技的上下求索
Azure|一条数字化供应链的诞生:看杉数科技的上下求索
随着市场经济的繁荣发展,现代同类企业竞争已经进入到了白热化阶段,从传统的获客竞争逐渐演变成供应链的竞争,这一点在快消行业表现尤甚。年轻一代消费者越来越追求消费行为中的个性化表达,市场需求变得复杂多样,这致使企业产品生命周期的大大缩短。伴随着电商的兴起,以及新零售带来的多元渠道融合和信息互通,对于供应链管理提出了更高的要求和挑战。企业应当抓住产供销协同发展的机遇,提升供应链敏捷性和供应链快速决策能力,可以让企业在新的消费时代占得先机。
Microsoft云科技
2021-07-22
专家解析|全面了解Azure磁盘快照功能
专家解析|全面了解Azure磁盘快照功能
游览高山河川,随手按下快门,壮丽美景尽收囊中,随时都可以拿出来回味。而使用Azure的过程中,需要时按下“快门”,你的磁盘数据也能得到充分保护,并且可以在必要时用这样的快照将磁盘数据恢复为之前的状态。Azure磁盘快照就是这样一种方便的技术,甚至成为了Azure备份等数据保护服务的基础。不同于传统本地存储快照基于指针的方式,Azure磁盘快照更像是对磁盘有效数据创建的克隆,使用方式也有较大差异。
Microsoft云科技
2021-07-22
微软在Azure免费提供Windows Server 2008R2和2012安全更新服务
微软在Azure免费提供Windows Server 2008R2和2012安全更新服务
微软宣布扩展Windows Server 2012和2012 R2,还有SQL Server 2012的安全性更新,在Azure上免费提供延长更新的服务,而在本地端执行这些版本的Windows Server和SQL Server,则需要付费来扩展更新。而对于需要更多时间升级Windows Server和SQL Server 2008R2的用户,现在微软也在Azure上,提供额外1年免费安全更新服务。
十轮网
2021-07-21
扫描关注获取更多 微软云 的相关信息
出海就选亚马逊云科技的七大理由
服务商推荐 更多 >
北京蓝色光标数字传媒科技有限公司
蓝瀚互动
专注于为出海企业提供全套价值链服务,包括海外市场洞察、品牌营销策略、创意设计、广告优化、 账户管理、全球KOL营销、粉丝页运营等一站式整合营销服务,满足出海广告主的多元化需求。
推广
百度国际MediaGo
百度国际MediaGo
百度国际是百度极具战略意义的海外业务发展部门,拥有超过10年的出海经验。旗下出海营销平台MediaGo旨在为全球广告主提供营销整合方案。成立以来,MediaGo不断进化,在磨炼一站式海外营销服务能力的同时,连接Snapchat、Pinterest、Reddit等优质海外平台,成为连接广告主与价值洼地的桥梁。
本地化变现推广
北京易掌云峰科技有限公司
环信即时通讯云
环信,国内领先的即时通讯、在线客服、智能客服机器人提供商。
云服务
iGlobe Advisory Inc.
爱个萝卜本地化 iGlobe
爱个萝卜总部位于加拿大温哥华,为游戏出海提供所有主要语言的母语级本地化翻译,并由专业项目经理为您保驾护航。并可向全球游戏伙伴提供全方位服务,包括目标市场开拓策略,以及各国本地化运营项目监督。
本地化
厦门比朋科技股份有限公司
比朋科技股份
云服务,软件服务,定制开发,智超,档案馆系统
云服务外包源码
福建博士通信息有限责任公司
博士通云通讯
福建博士通信息有限责任公司专注于融合短彩信运营、互联网精准投放、语音服务、流量营销、物联网卡等多种专业的通讯能力,为金融、互联网、汽车、物流、教育、游戏、公共服务等多个领域机构提供专业的融合通讯服务和系统平台定制化开发。公司成立于1999年,总部坐落于福州,在北京、上海、深圳、成都、山东等地建立了分公司和办事处。
云服务
扫码登录
打开扫一扫, 关注公众号后即可登录/注册
加载中
二维码已失效 请重试
刷新
账号登录/注册
小程序
公众号
商务合作
投稿采访
出海管家