Mejore la seguridad de su aplicación en Azure

Cuando la computación en la nube se hizo popular por primera vez, se vio como una forma de reducir tanto la fricción como los costos. Era mucho más rápido y económico poner en marcha una máquina virtual en la nube que esperar a que se aprobara, ordenara, entregara e instalara un servidor físico.

VER: Utilice esta plantilla de política de administración de acceso de TechRepublic Premium para crear políticas seguras en torno al acceso de los usuarios.

Ahora, la computación en la nube es lo suficientemente poderosa y robusta para ejecutar cargas de trabajo de misión crítica, siempre que sepa cómo diseñar aplicaciones para escalar, configurar servicios en la nube para respaldarlas y manejar las fallas inevitables en cualquier sistema complejo.

Salta a:

Evite fallas de seguridad al crear aplicaciones en Azure

Si está creando aplicaciones en Azure, Microsoft tiene un Marco de buena arquitectura para ayudarlo a diseñar y ejecutar su aplicación para obtener confiabilidad, seguridad, rendimiento eficiente y operaciones efectivas. Incluso ofrece una prueba para ayudarte a evaluar si has cubierto todo.

También hay un número creciente de herramientas y servicios para ayudar a que las aplicaciones que ejecuta en Azure sean más confiables y seguras. Estas herramientas van desde el servicio Azure Chaos Studio, que lo ayuda a probar cómo su aplicación se enfrentará a fallas, hasta el código abierto unofuzz proyecto, que buscará fallas en su código.

Si usa contenedores, la configuración predeterminada para los contenedores de .NET 8 Linux ahora es «desarraigado”, y solo se necesita una línea de código para que su aplicación se ejecute como un usuario estándar en lugar de uno con acceso raíz. Esto es para garantizar que los atacantes no puedan modificar archivos o instalar y ejecutar su propio código si pueden acceder a su aplicación.

Bloquea tus aplicaciones

Además de evitar fallas de seguridad cuando escribe su aplicación, debe asegurarse de que solo está dando acceso a las personas adecuadas.

Puede aplicar bloqueos a cualquier recurso de Azure o incluso a una suscripción completa de Azure, asegurándose de que no se puedan eliminar ni modificar. Pero debido a que los bloqueos afectan el plano de control de Azure en lugar del plano de datos de Azure, una base de datos que está bloqueada contra modificaciones aún puede crear, actualizar y eliminar datos, por lo que su aplicación seguirá funcionando correctamente.

Para las aplicaciones más antiguas que no tienen opciones detalladas para administrar cómo se usan las credenciales, Azure Active Directory tiene una nueva opción para ayudarlo a proteger esas credenciales. De esta manera, un atacante no puede realizar cambios que le permitan tomar el control de una aplicación empresarial clave y obtener credenciales para moverse a través de su red y atacar otros sistemas.

Alrededor 70% de todas las filtraciones de datos comience con un ataque a las aplicaciones web, por lo que debe asegurarse de que los atacantes no puedan usarlas como un trampolín hacia otros recursos.

VER: Descubra cómo BYOD y las aplicaciones personales pueden conducir a filtraciones de datos.

El nuevo bloqueo de propiedad de instancia de aplicación La característica cubre la firma de credenciales con SAML y OpenID Connect, lo que significa que puede ofrecer un inicio de sesión único que permite a los usuarios iniciar sesión con Azure AD y obtener acceso a varias aplicaciones.

También encripta los tokens creados con una clave pública, por lo que las aplicaciones que desean usar esos tokens deben tener la clave privada correcta antes de poder usar esos tokens para el usuario que está conectado actualmente. Eso hace que sea más difícil robar y reproducir tokens para tener acceso.

Las aplicaciones modernas normalmente ya tendrán ese tipo de protecciones disponibles. Si está ejecutando una aplicación heredada que no se creó para proteger estos flujos de inicio de sesión, puede usar Azure AD para detener el cambio de las credenciales que se usan para firmar tokens, cifrar tokens o verificar tokens. Entonces, incluso si un atacante obtiene acceso a la aplicación, no puede bloquear a los administradores legítimos y tomar el control.

También es posible que desee ver el permisos que tienen los usuarios a las aplicaciones que instalan o registran en su arrendatario de Azure AD y lo que verá cualquier persona con acceso de invitado.

Consulta tu red

Si su aplicación en la nube tiene un problema, a veces es un problema de red y, a veces, es cómo configuró las opciones de red.

Administrador de red virtual de Azure es una nueva herramienta para agrupar recursos de red, configurar la conectividad y la seguridad de esos recursos e implementar esas configuraciones en los grupos de red correctos automáticamente. Al mismo tiempo, permite excepciones para los recursos que necesitan algo como el tráfico entrante de Secure Shell, que normalmente bloquearía.

Puede usar esto para crear topologías de red comunes, como un concentrador y radio que conecte varias redes virtuales a la red virtual del concentrador que contiene su conexión Azure Firewall o ExpressRoute. Azure Virtual Network Manager también agrega automáticamente nuevas redes virtuales que necesitan conectarse a ese recurso o (pronto) una malla que permite que sus redes virtuales se comuniquen entre sí.

Azur Vigilante de la red ya tiene una combinación de herramientas para ayudarlo a monitorear su red y rastrear problemas que podrían afectar sus máquinas virtuales o red virtual. Puede dibujar un mapa de topología en vivo que cubra varias suscripciones, regiones y grupos de recursos de Azure, así como monitorear la conectividadpérdida de paquetes y latencia para máquinas virtuales en la nube y en su propia infraestructura.

Pero tener múltiples herramientas para encontrar problemas específicos significa que debe saber lo que está buscando. El nuevo herramienta de solución de problemas de conexión en Network Watcher ejecuta esas herramientas e informa sobre los saltos de red, la latencia, la memoria y la utilización de la CPU, así como si podría establecer una conexión y, de no ser así, si se debe al DNS, las reglas de enrutamiento de la red, las reglas de seguridad de la red o la configuración del firewall. .

También puede usar Network Watcher para ejecutar otras herramientas como una sesión de captura de paquetes o Análisis de tráfico de Azure, que le ayuda a visualizar el flujo de red en su aplicación. Azure Traffic Analytics puede incluso mapear la topología de la red, para que pueda ver qué recursos están en qué subred y de qué red virtual forma parte cada subred.

Si utiliza Network Watcher grupos de seguridad de la redpuede usar Traffic Analytics para dar sentido a los registros de flujo, que rastrean el tráfico de entrada y salida para buscar puntos de acceso de tráfico o simplemente ver de qué parte del mundo proviene el tráfico de su red y si coincide con lo que espera.

También puede usar esto para comprobar que está usando vínculos privados en lugar de conexiones IP públicas para llegar a recursos confidenciales como Azure Key Vault, un error que es sorprendentemente fácil de cometer si usa un servidor DNS público en lugar del servidor DNS de Azure. Obtener la configuración de red correcta es una parte importante para mantener sus aplicaciones seguras en la nube.