带有 WAF 的 Azure 应用服务

Question

我正在寻找一些 Azure 安全最佳实践建议。我已经看过一些关于如何做到这一点的文章，但如果有必要，我不会这样做。

我有一位客户想迁移到 Azure，他们特别要求我们尽可能坚持使用 PAAS 解决方案。我们将要部署的应用程序相当简单，因此一些 Web 应用程序服务可以满足要求。

问题是他们一直都相当规避风险和安全意识，所以我想知道最佳实践是否会说我们需要一个虚拟网络中的每个站点都在一个带有 WAF 的应用程序网关后面，或者我们可以只拥有应用程序默认情况下，Azure 服务运行就足够了？

在他们当前的托管解决方案中，我们有 WAF 和 DDOS 保护，但这只是最近添加的，几乎是一个打勾的练习。

Answer 1

企业的安全状况和合规性可能会影响决策。我认为将站点保留在应用程序网关后面的 VNet 中（使用 WAF 可以减轻 OWASP 的前 10 大风险）绝对比公共应用程序服务更安全。但是考虑到您需要 PAAS 服务和安全性这一事实，您可能不得不走 ASE 路线。截至目前，App Gtwy（带有 WAF）不支持应用服务。 ASE 的入门成本（需要 4 个实例，前端池至少需要两个 P2，工作池需要两个 P1）可能有点高。当然，您可以通过 IAAS 路由在 VNet 中进行托管，并使用相同的 App Gtwy WAF 前端。

如果您使用纯应用服务 Azure 负责（基础设施和平台级别）DDoS 和中间人攻击，您负责（应用程序级别）SQL 注入、XSS、CSRF 等，其中一些将被采取由 WAF 照顾。

https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-security?toc=%2fazure%2fapp-service%2ftoc.json