我正在寻找一些Azure安全最佳实践建议。我已经看过一些关于如何做的文章,但如果必要的话也不会。
我有一位客户希望迁移到Azure,他们特别要求我们尽可能地坚持使用PAAS解决方案。我们将要部署的应用程序非常简单,因此一些Web应用程序服务将满足要求。
问题是他们一直是风险厌恶和安全意识,所以我想知道最佳实践是否会说我们需要在具有WAF的应用程序网关后面的虚拟网络中的每个站点,或者我们是否可以拥有该应用程序运行的服务和Azure默认会做足够的事情吗?
在他们目前的托管解决方案中,我们有一个WAF和DDOS保护,但这只是最近的一个补充,它几乎是一个勾选框练习。
答案 0 :(得分:3)
企业的安全态势和合规性可能会影响决策。我认为将网站保留在VNet后面的应用网关(使用WAF可以减轻OWASP十大风险)肯定比公共应用服务更安全。但考虑到你想要PAAS服务和安全性,你可能不得不走ASE路线。截至目前,App Gtwy(使用WAF)不支持App Services。 ASE的入门成本(需要4个实例,最少两个P2用于前端池,两个P1用于工作池)可能有点陡峭。当然,您可以在VNet中使用IAAS路由进行托管,并使App Gtwy WAF前端相同。
如果您使用纯App Service Azure负责(下层和平台级别)DDoS和中间人攻击,您负责(应用程序级别)SQL注入,XSS,CSRF等,其中一些将被采取由WAF照顾。