使用WAF的Azure應用服務

Question

我正在尋找一些Azure安全最佳實踐建議。我已經看到了一些關於如何去做的文章，但是如果它一定需要的話，則不會。

我有一個客戶想要轉移到Azure，他們特別要求我們儘可能地堅持PAAS解決方案。我們將要部署的應用程序非常簡單，所以一些Web應用程序服務將滿足要求。

問題是他們一直都是相當的風險厭惡和安全意識，所以我想知道如果最佳實踐會說我們需要在具有WAF的應用程序網關後面的虛擬網絡中的每個站點，或者我們可以正在運行的應用程序服務和Azure默認會做足夠多嗎？

在他們當前的託管解決方案中，我們擁有WAF和DDOS保護，但這只是最近的一個補充，它幾乎是一個盒裝練習。

Answer 1

企業的安全狀況和合規性可能會影響決策。我認爲將網站保存在應用程序網關後面的VNet中（使用WAF來減輕OWASP十大風險）肯定比公共應用程序服務更安全。但考慮到您希望PAAS服務和安全性的事實，您可能必須使用ASE路由。截至目前，App Gtwy（使用WAF）不支持應用服務。 ASE的入場成本（需要4個實例，前端池至少有兩個P2，工作池需要兩個P1），可能有點陡峭。當然，你可以去IAAS路由在VNet內進行託管，並且App Gtwy WAF前端也一樣。

如果您使用純粹的App Service Azure負責（基礎架構和平臺級別）DDoS和man中間人攻擊，您將負責（應用程序級）SQL注入，XSS，CSRF等，其中一些將由WAF照顧。

https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-security?toc=%2fazure%2fapp-service%2ftoc.json