Wie überwachen Sie bei Azure Web Applications den Datenverkehr für Sicherheitsbedrohungen?

Question

Ich möchte jeden verdächtigen Datenverkehr in unserer Azure-Webanwendung überwachen. Ich möchte die IP-Adressen und was sie untersuchen, um diese IP-Adressen zu blockieren. Ich bin mir bewusst, dass ich versuche, die Anwendung durch sichere Kodierungspraktiken zu schützen, aber ich fühle mich auch ein wenig blind gegenüber dem, was unsere Website derzeit erreicht.

Ich habe mir angesehen, was Azure bietet, kann aber nichts Offensichtliches in Bezug auf irgendeine Art von Dashboard sehen. Ich kann an der falschen Stelle suchen.

Es kann sein, dass ich eine ordnungsgemäße Web Application Firewall dazu benötigen, und Azure bietet dies nicht? Der einzige, mit dem ich vertraut bin, ist Cloudflare, aber aus anderen Gründen können wir ihn derzeit nicht verwenden, obwohl diese möglicherweise überschaubar sind.

Wie überwachen die Leute ihre "Angriffsschnittstellen"?

Danke.

Answer 1

Wenn Sie sich auf Azure Web Apps beziehen, gibt es ein Protokoll, das sehr detaillierte Informationen über die auf Ihrer Website getätigten Anfragen anzeigt. Bei den Protokollen handelt es sich um die Web Server-Protokolle, die sich im erweiterten Protokolldateiformat von W3C befinden und möglicherweise die gesuchten Informationen enthalten. Sie müssen diese Protokolle unter Diagnose für die Web-App aktivieren.

Sie können diese Protokolle anzeigen, indem Sie sie herunterladen oder über PowerShell oder azure CLI streamen. Sie können auch die Kudu-Site, die mit Web-Apps geliefert wird, hilfreich finden. Sie finden es unter https://your-web-app.scm.azurewebsites.net

Answer 2

Sie haben Recht, Azure Web-Anwendungen an sich bietet keine umfassende Sicherheitsüberwachung. Während ApplicationInsights und ApplicationInsights Analytics Ihnen eine Menge Daten für die Überwachung geben können, zielt es nicht speziell auf die Sicherheit ab. Es wird Ihnen sagen, welche IP-Adresse welches und mit welchem ​​Ergebnis prüft, also würde ich dort anfangen und sehen, ob es Ihren Anforderungen entspricht.

Wenn Sie Sicherheitsüberwachung, Paketprüfung usw. durchführen möchten, sollten Sie eine virtuelle Appliance in Azure verwenden. Der Azure-Marktplatz bietet Sicherheits-/WAF-Appliances von Checkpoint, Barracuda, Cisco, F5 usw., die Ihren Anforderungen entsprechen. Diese virtuellen Geräte werden auf virtuellen Computern in Azure ausgeführt und verfügen außen über eine öffentliche IP-Adresse für eingehenden Datenverkehr, die sie an interne (vnet) oder externe (webapp) Ressourcen weiterleiten können. Während dies in der Regel sehr leistungsfähige Lösungen sind, haben sie ihren Preis.

Eine mögliche Einrichtung besteht darin, eine Appliance wie diese zu verwenden, um SSL auszulagern, den Datenverkehr auf der Appliance zu überprüfen und den Datenverkehr dann an die Webanwendung weiterzuleiten (über HTTP im selben Datencenter). Wenn die Appliance Ihrer Wahl SSL-Offloading nicht zulässt, platzieren Sie möglicherweise ein Azure Application Gateway vor.

Beginnen Sie erneut mit Application Insights und sehen Sie, ob es für Sie funktioniert. Wenn nicht, führen Sie einen Preis-/Funktionsvergleich auf den verschiedenen virtuellen Firewalls/Sicherheitsgeräten durch.