我們正在研究雲中的一些Web應用程序,並且想知道我們是否真的需要WAF。這些網絡應用程序非常小,最多隻需要2個實例。我們的IT部門問我們是否可以用WAF保護我們的應用程序。Azure Web應用程序是否需要WAF
我們知道我們可以用ASE做到這一點,但它確實非常昂貴,我們沒有看到將我們的小應用程序放入ASE中的必要性。
所以我的問題是:Azure是否爲App Services默認提供任何保護之王。在文檔中沒有任何關於受保護的應用程序服務的內容,它只說瞭如何使用SSL和身份驗證來保護它,但沒有關於保護應用程序免受某些攻擊的任何信息。
這個主題有什麼最佳實踐嗎?
非常感謝。
由於Azure Web App sandbox指出如下:
所有Azure的Web應用程序在一個安全的環境中運行(以及移動應用/服務,WebJobs和功能)稱爲沙箱。每個應用程序在其自己的沙箱內運行,將其執行與同一機器上的其他實例隔離開來,並提供額外的安全性和隱私,否則將無法使用。沙箱機制旨在確保運行在機器上的每個應用程序都具有最低的服務保證水平;此外,沙箱實施的運行時限制可以保護應用程序免受可能在同一臺計算機上運行的其他資源密集型應用程序的不利影響。
對於基礎架構和平臺安全性,Azure會隔離您的App Service應用程序,並且敏感數據(例如sql connectionstring,appId,appSecret等)的通信始終是加密的。此外,應用程序服務還可以提供威脅管理,保護App Service資源免受惡意軟件,DDoS,MITM和其他威脅的侵害。
對於應用程序安全性,您需要以安全方式開發,管理您的應用程序。頻繁的威脅將是SQL注入,會話劫持,跨站點腳本等。
此外,您可以利用integration with Tinfoil Security對您的應用執行穿透測試,並按照說明修復可能的漏洞。