网站建设时如何选择合适的服务器,备案时网站服务内容,深圳网络营销全网推广,企业的网站开发费用摊销几年那么#xff0c;哪些安全威胁应由WindowsAzure环境缓解#xff1f;哪些安全威胁必须由开发人员缓解#xff1f; 开发 Windows Azure 应用程序的最佳安全做法一文说明了对于在 Windows Azure 中运行的应用程序而言#xff0c;什么样的威胁应被视为主要威胁。它还专门说明了 … 那么哪些安全威胁应由WindowsAzure环境缓解哪些安全威胁必须由开发人员缓解 开发 Windows Azure 应用程序的最佳安全做法一文说明了对于在 Windows Azure 中运行的应用程序而言什么样的威胁应被视为主要威胁。它还专门说明了 Azure 能够缓解的威胁以及您需要调用 API的内容和您需要自己处理的内容。它未涉及合规性问题。 您应该处理的内容 我将选择一些威胁和您应该执行的操作并提供一些参考以便您可以了解有关如何在代码中进行实现的更多信息。该列表在Windows Azure 安全概述中提供。但是具体结果将取决于您。 这个列表并不全面。正如您从本系列文章的以前部分中了解的那样您根据您自己的应用程序需求来调整您的安全做法。 篡改威胁 篡改/泄漏凭据或其他敏感应用程序数据。针对 SSL连接使用 WindowsIdentity Foundation和 HTTPS 相互身份验证。 · 请参见如何管理服务证书了解有关将证书添加到存储、将证书与服务关联以及更新证书的信息。在这些情况下我们假设 IT 管理人员和服务开发者是两个不同的人但是他们也可能是同一个人。 · 请参见Windows Identity Foundation帮助开发者简化用户访问方法是通过claim将用户访问从应用程序外部化以及使用预先构建好的安全逻辑和集成 .NET工具减少开发工作量。 否认威胁 审计日志收集、存储和分析。根据需要使用监控和诊断 API将日志通过 HTTPS传输到私有 Blob 存储/表存储。请参见 · 在 Windows Azure 中控制日志记录和跟踪来源于 MSDN 杂志。 · Azure Monitor可获得用于实时监控 Azure 托管的应用程序的代码。它包含用于将运行时进程信息捕获到云表存储的库还包含用于实时查看捕获的信息的桌面应用程序。 · 使用 Windows Azure Diagnostics大约从该网页页面的三分之一开始。Windows Azure 提供集成的功能用于在部署的环境中进行监控、记录和跟踪这通常称为诊断。虽然这些功能也可以用于调试目的但是它们最适合于监控应用程序性能随时间的变化。 信息泄漏威胁 泄漏 Blob/表/队列存储中的任意机密。在上传之前预加密机密数据。不要在 Windows Azure 存储中存储解密密钥。 泄漏共享访问签名。使用 HTTPS将共享访问签名安全地传输给期望的接收方并针对容器设置适当的权限。请参见管理 Blob 和容器的访问权限了解如何使用共享访问签名。 拒绝服务威胁 客户代码/应用程序级别的超大量请求。如有必要实施应用程序级别请求限制。请参见自动伸缩和 Windows Azure。 权限提升 服务/应用程序设置配置错误。必须将所有 Cookie和 document.domain属性的范围设置为服务子域例如 http://contoso.cloudapp.net而不是 *.cloudapp.net 针对 Web role的跨站点请求伪造攻击。使用 ASP.NET防御。请参见利用 ASP.NET 的内置功能抵御 Web 攻击。 针对 Web role的跨站点脚本攻击。使用Anti-XSS 库。 针对 Web role所暴露的接口进行 API模糊攻击。对暴露给 Web或任何其他服务的、对于代码唯一的所有接口和端点进行模糊测试 使用安全测试工具包括模糊测试工具。“模糊”给软件应用程序编程接口 (API) 和网络接口提供结构化但无效的输入从而最大程度地提高检测可能导致软件漏洞的错误的可能性。 针对应用程序提供的自定义文件解析器进行文件模糊攻击。对所有专有网络协议或文件格式解析器进行模糊测试。 在 Web Role/客户代码级修补安全漏洞。制定安全响应和更新计划。 可以从Microsoft 安全开发生命周期 (SDL)网站获取用于协助进行模糊测试的工具。SDL包括各种免费工具和流程。例如您可以使用 · MiniFuzz 基本文件模糊测试工具是一款用于简化模糊测试部署的简单模糊测试工具。 · 正则表达式文件模糊测试工具是一款用于测试潜在拒绝服务漏洞的工具。 SQL Azure 我增加了这一节有关 SQL Azure的内容因为该平台提供您应该知道的用于缓解威胁的其他方法。 SQL Azure 安全管理。SQL Azure 数据库中的安全管理与 SQL Server 的内部部署实例的安全管理类似。管理数据库级别的安全性基本相同唯一不同的是可用的参数。由于 SQL Azure数据库可以扩展到一个或多个物理计算机因此 SQL Azure数据库对服务器级别管理使用不同的策略。 SQL Azure 防火墙。您可以锁定数据库以仅向获得授权的用户或计算机提供访问权限。为了帮助保护您的数据在您指定哪些计算机具有权限之前SQL Azure 防火墙会阻止对您的 SQL Azure服务器的所有访问。防火墙会基于每个请求的起源 IP地址授予访问权限。 资源 可信赖计算安全开发生命周期 Windows Azure 安全概述 Microsoft 安全开发生命周期 (SDL) 下一篇文章 Windows Azure 安全最佳实践 - 第 5 部分基于Claims的标识单点登录。用户标识是在您的应用程序中访问数据和业务流程的关键。在这一部分中我将介绍如何将您的用户标识和用户角色从您的应用程序中分离出来如何更轻松地创建单一登录应用程序。 以下是本系列中的文章的链接 · Windows Azure 安全最佳实践 - 第 1 部分深度解析挑战防御对策 。 · Windows Azure 安全最佳实践 - 第 2 部分Azure 提供哪些现成可用的安全机制。 · Windows Azure 安全最佳实践 - 第 3 部分确定安全框架。 · Windows Azure 安全最佳实践 - 第 5 部分基于Claims的标识单点登录。 · Windows Azure 安全最佳实践 - 第 6 部分Azure 服务如何扩展应用程序安全性。 · Windows Azure 安全最佳实践 - 第 7 部分提示、工具和编码最佳实践。 本文翻译自 http://blogs.msdn.com/b/usisvde/archive/2012/03/12/windows-azure-security-best-practices-part-4-what-else-you-need-to-do.aspx 转载于:https://www.cnblogs.com/wuwa/p/6192004.html
