使用WAF的Azure应用程序服务
我正在寻找一些Azure安全最佳实践建议。我已经看过一些关于如何做的文章,但如果必要的话就不必了 我有一位客户希望迁移到Azure,他们特别要求我们尽可能使用PAAS解决方案。我们将部署的应用程序非常简单,因此一些web应用程序服务将满足要求 问题是,他们一直都相当规避风险和安全意识,所以我想知道,最佳实践是说我们需要在一个带有WAF的应用程序网关后面的虚拟网络中的每个站点,还是我们可以让应用程序服务运行,而Azure在默认情况下可以做得足够多使用WAF的Azure应用程序服务,azure,azure-virtual-network,azure-application-gateway,web-application-firewall,azure-security,Azure,Azure Virtual Network,Azure Application Gateway,Web Application Firewall,Azure Security,我正在寻找一些Azure安全最佳实践建议。我已经看过一些关于如何做的文章,但如果必要的话就不必了 我有一位客户希望迁移到Azure,他们特别要求我们尽可能使用PAAS解决方案。我们将部署的应用程序非常简单,因此一些web应用程序服务将满足要求 问题是,他们一直都相当规避风险和安全意识,所以我想知道,最佳实践是说我们需要在一个带有WAF的应用程序网关后面的虚拟网络中的每个站点,还是我们可以让应用程序服务运行,而Azure在默认情况下可以做得足够多 在他们当前的托管解决方案中,我们提供了WAF和DD
在他们当前的托管解决方案中,我们提供了WAF和DDOS保护,但这只是最近增加的一项功能,而且几乎是一项按部就班的工作。企业的安全态势和法规遵从性可能会在决策中发挥作用。我认为将网站放在应用网关后面的VNet中(使用WAF可以降低OWASP前10大风险)肯定比公共应用服务更安全。但考虑到您需要PAAS服务和安全性,您可能不得不选择ASE路线。到目前为止,应用程序Gtwy(带WAF)不支持应用程序服务。ASE的进入成本(前端池需要4个实例,其中至少有两个P2,工作池需要两个P1)可能有点高。当然,您可以通过IAAS路由在VNet中托管,并让应用程序Gtwy WAF前端以相同的方式结束
如果使用纯App Service Azure负责(下一级和平台级)DDoS和中间人攻击,则负责(应用层)SQL注入、XSS、CSRF等,其中一些将由WAF.
处理。