Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Neste artigo, apresentamos atividades e controles de segurança a serem considerados ao implantar aplicativos para a nuvem. São abordadas questões de segurança e conceitos a considerar durante as fases de lançamento e resposta do Microsoft Security Development Lifecycle (SDL). O objetivo é ajudá-lo a definir atividades e serviços do Azure que você pode usar para implantar um aplicativo mais seguro.
As seguintes fases do SDL são abordadas neste artigo:
- Release
- Response
Release
O foco da fase de lançamento é preparar um projeto para lançamento público. Isso inclui o planejamento de maneiras de executar efetivamente tarefas de manutenção pós-lançamento e resolver vulnerabilidades de segurança que possam ocorrer posteriormente.
Verifique o desempenho do seu aplicativo antes de iniciar
Verifique o desempenho do seu aplicativo antes de iniciá-lo ou implantar atualizações na produção. Use o Teste de Carga do Azure para executar testes de carga baseados em nuvem para encontrar problemas de desempenho em seu aplicativo, melhorar a qualidade da implantação, garantir que seu aplicativo esteja sempre ativo ou disponível e que seu aplicativo possa lidar com o tráfego para sua inicialização.
Instalar um firewall de aplicativo Web
Os aplicativos Web são alvos frequentes de ataques mal-intencionados, como injeção de SQL e scripts entre sites. A prevenção desses ataques no código do aplicativo pode ser complexa, exigindo manutenção, aplicação de patches e monitoramento rigorosos em várias camadas do aplicativo. Um WAF (Web Application Firewall) centralizado simplifica o gerenciamento de segurança ao abordar vulnerabilidades em um ponto central, em vez de proteger cada aplicativo Web individual.
O Firewall de Aplicativo Web do Azure para o Gateway de Aplicativo do Azure e o Azure Front Door oferece proteção centralizada contra explorações e vulnerabilidades comuns. O WAF usa regras dos conjuntos de regras principais do OWASP 3.0 ou 2.2.9 para fornecer segurança robusta para seus aplicativos Web.
Criar um plano de resposta a incidentes
Preparar um plano de resposta a incidentes é crucial para ajudá-lo a lidar com novas ameaças que podem surgir ao longo do tempo. A preparação de um plano de resposta a incidentes inclui a identificação de contatos de emergência de segurança apropriados e o estabelecimento de planos de manutenção de segurança para código herdado de outros grupos na organização e para código de terceiros licenciado.
Realizar uma revisão de segurança final
A revisão deliberada de todas as atividades de segurança que foram realizadas ajuda a garantir a prontidão para a versão do software ou do aplicativo. A revisão de segurança final (FSR) geralmente inclui o exame dos modelos de ameaça, os resultados das ferramentas e o desempenho em relação aos critérios de qualidade e limiares de bugs que foram definidos na fase de requisitos.
Certificar a liberação e o arquivamento
Certificar o software antes de um lançamento ajuda a garantir que os requisitos de segurança e privacidade sejam atendidos. O arquivamento de todos os dados pertinentes é essencial para executar tarefas de manutenção pós-lançamento. O arquivamento também ajuda a reduzir os custos de longo prazo associados à engenharia de software sustentada.
Response
A fase de resposta pós-lançamento centra-se na capacidade e disponibilidade da equipa de desenvolvimento para responder adequadamente a quaisquer relatórios de ameaças e vulnerabilidades de software emergentes.
Executar o plano de resposta a incidentes
Ser capaz de implementar o plano de resposta a incidentes instituído na fase de lançamento é essencial para ajudar a proteger os clientes contra vulnerabilidades de segurança de software ou privacidade que surjam.
Monitorar o desempenho do aplicativo
O monitoramento contínuo de seu aplicativo após sua implantação potencialmente ajuda a detetar problemas de desempenho, bem como vulnerabilidades de segurança.
Os serviços do Azure que ajudam com o monitoramento de aplicativos são:
- Azure Application Insights
- Microsoft Defender para a Cloud
Application Insights
Application Insights é um serviço extensível de Gestão de Desempenho de Aplicações (APM) para desenvolvedores web em várias plataformas. Use-o para monitorar seu aplicativo web ao vivo. O Application Insights deteta automaticamente anomalias de desempenho. Ele inclui poderosas ferramentas de análise para ajudá-lo a diagnosticar problemas e entender o que os usuários realmente fazem com seu aplicativo. Ele foi projetado para ajudá-lo a melhorar continuamente o desempenho e a usabilidade.
Microsoft Defender para a Cloud
O Microsoft Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças com maior visibilidade (e controlo sobre) a segurança dos seus recursos do Azure, incluindo aplicações Web. O Microsoft Defender for Cloud ajuda a detetar ameaças que, de outra forma, poderiam passar despercebidas. Trabalha com várias soluções de segurança.
O nível gratuito do Defender for Cloud oferece segurança limitada apenas para os seus recursos do Azure. A versão Defender para Cloud Standard amplia essas capacidades para os recursos locais e outras nuvens. O Defender for Cloud Standard ajuda-o a:
- Encontre e corrija vulnerabilidades de segurança.
- Aplique controles de acesso e aplicativos para bloquear atividades maliciosas.
- Detete ameaças usando análises e inteligência.
- Responda rapidamente quando estiver sob ataque.
Próximos passos
Nos artigos a seguir, recomendamos controles de segurança e atividades que podem ajudá-lo a projetar e desenvolver aplicativos seguros.