我们正在研究云中的一些Web应用程序,并且想知道我们是否真的需要WAF。这些网络应用程序非常小,最多只需要2个实例。我们的IT部门问我们是否可以用WAF保护我们的应用程序。Azure Web应用程序是否需要WAF
我们知道我们可以用ASE做到这一点,但它确实非常昂贵,我们没有看到将我们的小应用程序放入ASE中的必要性。
所以我的问题是:Azure是否为App Services默认提供任何保护之王。在文档中没有任何关于受保护的应用程序服务的内容,它只说了如何使用SSL和身份验证来保护它,但没有关于保护应用程序免受某些攻击的任何信息。
这个主题有什么最佳实践吗?
非常感谢。
由于Azure Web App sandbox指出如下:
所有Azure的Web应用程序在一个安全的环境中运行(以及移动应用/服务,WebJobs和功能)称为沙箱。每个应用程序在其自己的沙箱内运行,将其执行与同一机器上的其他实例隔离开来,并提供额外的安全性和隐私,否则将无法使用。沙箱机制旨在确保运行在机器上的每个应用程序都具有最低的服务保证水平;此外,沙箱实施的运行时限制可以保护应用程序免受可能在同一台计算机上运行的其他资源密集型应用程序的不利影响。
对于基础架构和平台安全性,Azure会隔离您的App Service应用程序,并且敏感数据(例如sql connectionstring,appId,appSecret等)的通信始终是加密的。此外,应用程序服务还可以提供威胁管理,保护App Service资源免受恶意软件,DDoS,MITM和其他威胁的侵害。
对于应用程序安全性,您需要以安全方式开发,管理您的应用程序。频繁的威胁将是SQL注入,会话劫持,跨站点脚本等。
此外,您可以利用integration with Tinfoil Security对您的应用执行穿透测试,并按照说明修复可能的漏洞。