martes, 13 de agosto de 2019

Cómo controlar la seguridad de su aplicación Azure con el kit de Secure DevOps

Este 4º post relacionado con el marco del Kit de Desarrollo Seguro para el Azure (AzSK) se centrará en cómo aprovechar sus controles incorporados para desarrollar, desplegar y mantener seguras sus aplicaciones basadas en el Azure a lo largo de las etapas de desarrollo.

Este artículo tratará principalmente los paquetes 2 y 3 de azsk ilustrados en la siguiente figura de Microsoft:



Para complementar su comprensión de este 4º post de la serie de marcos AzSK, les recomiendo que también echen un vistazo a mis posts anteriores





En este post, hablaré de cómo se puede aprovechar AzSK para desarrollar y desplegar aplicaciones seguras basadas en la nube de Azure.

Para este propósito, el marco de trabajo de AzSK proporciona 3 componentes principales para el desarrollo de aplicaciones seguras:

Pruebas de verificación de seguridad (SVT) de los recursos Azure involucrados
Codificación segura con Security IntelliSense
Seguridad en la extensión del CICD para Visual Studio
1) Pruebas de verificación de seguridad (SVT)

Como aprendimos para la seguridad de la Suscripción en el post anterior, AzSK incluye scripts que pueden ser usados para comprobar la seguridad de los recursos de Azure involucrados en su aplicación.

Puedes usar AzSK SVT de varias maneras:

1.1) Comprobando la seguridad de todos los recursos de una suscripción

El cmdlet de AzSK PowerShell que se utilizará para escanear la salud de la seguridad de todos los recursos de Azure en una suscripción específica es el siguiente:

Get-AzSKAzureServicesSecurityStatus -SubscriptionId <SubscriptionId>

Al contrario que el comando (Get-AzSKSubscriptionSecurityStatus -SubscriptionId <SubscriptionId>) usado para la salud de seguridad de la suscripción que vimos en el post anterior; este comando no ejecutará los 19 controles incorporados para la seguridad de la suscripción, sino que ejecutará los controles incorporados de AzSK para todos los recursos Azure incluidos en su suscripción (por ejemplo, Máquina Virtual, Base de Datos SQL, Aplicaciones Lógicas, Bóveda de Claves, Red Virtual, etc.). El número de controles incorporados de AzSK que se ejecutarán dependerá del tipo y el número de recursos presentes en su suscripción.


Como recordatorio, la actual versión 3.7.0 de AzSK soporta 336 controles incorporados, de los cuales 19 son para la suscripción. El número de controles incorporados soportados puede ser obtenido usando el cmdlet Get-AzSKInfo como se muestra en la siguiente captura de pantalla:





Los resultados de los SVT están en el mismo formato que para la suscripción (informe de seguridad en CSV, archivos de registro que explican el resultado, etc.). Sólo los controles AzSK cambian porque dependen de los recursos Azure involucrados. En cuanto a la comprobación de la seguridad de la suscripción, se comprobarán los controles de seguridad del AzSK para cada recurso implicado y el estado del resultado será Aprobado, Fallido, Manual, Verificar o Error.


La lista de los 35 tipos de recursos en azul que actualmente soporta AzSK se resume en la siguiente tabla:






Nombre del tipo de recurso Descripción del tipo de recurso o propósito
AnalysisServices Motor de análisis de nivel empresarial como servicio
APIConnection API administrada para aplicaciones de lógica
AppService Creación rápida de potentes aplicaciones en la nube para la web y el móvil
Automation Simplificar la gestión de la nube con la automatización de los procesos
AzSKCfg Configuración del AzSK
Batch Programación de trabajos a escala de la nube y gestión de la computación
BotService Un servicio de bot inteligente, sin servidores, que escala según la demanda
CDN Garantizar la entrega de contenido seguro y fiable con un amplio alcance mundial
CloudService Crear aplicaciones y API de nube altamente disponibles e infinitamente escalables
ContainerInstances Es fácil hacer funcionar los contenedores en Azure sin tener que administrar los servidores.
ContainerRegistry Almacenar y gestionar imágenes de contenedores en todos los tipos de despliegues de Azure
CosmosDB Base de datos multimodal distribuida globalmente para cualquier escala
Databricks Una plataforma de análisis basada en Apache Spark, rápida, fácil y colaborativa
DataFactory La integración de datos híbridos a escala empresarial, facilitada
DataFactoryv2 Servicio híbrido de integración de datos con patrones de ejecución muy flexibles
DataLakeAnalytics Servicio de análisis distribuido que facilita el Big Data
DataLakeStore Almacenamiento de datos a escala masiva en el lago
ERvNet (Express Route-connected Virtual Networks) Conexiones de fibra de red privada dedicada a Azure
EventHub Recibir la telemetría de millones de dispositivos
HDInsight Provision cloud Hadoop, Spark, R Server, HBase, and Storm clusters
KeyVault Salvaguardar y mantener el control de las llaves y otros secretos
LoadBalancer Ofrecer alta disponibilidad y rendimiento de la red a sus aplicaciones
LogicAppS Automatizar el acceso y uso de los datos a través de las nubes sin escribir código
NotificationHub Envía notificaciones push a cualquier plataforma desde cualquier back end
ODG (On-premises Data Gateways) Puente que proporciona transferencia de datos segura entre orígenes de datos locales y sus servidores de Azure Analysis Services en la nube
RedisCache Potencia las aplicaciones con acceso a datos de alto rendimiento y baja latencia
SearchBúsqueda como servicio totalmente gestionada
ServiceBus Conéctese en entornos de nube pública y privada
ServiceFabricDesarrollar microservicios y orquestar contenedores en de Windows o Linux
SQLDatabase Base de datos SQL relacional gestionada como servicio
StorageAccount Almacenamiento en la nube duradero, altamente disponible y masivamente escalable
StreamAnalytics Procesamiento de flujo de datos en tiempo real desde millones de dispositivos IoT
TrafficManager Dirige el tráfico entrante para obtener un alto rendimiento y disponibilidad
VirtualMachine Aprovisione máquinas virtuales Windows y Linux en segundos
VirtualNetwork Aprovisione redes privadas, opcionalmente conéctese a centros de datos locales

La lista de tipos de recursos soportados continúa creciendo, y puede usar el siguiente comando AzSK (Get-AzSKS SupportedResourceTypes) para confirmar los tipos de recursos Azure soportados por su AzSK instalado.

En general, una suscripción incluye varias aplicaciones y cada aplicación puede organizarse en uno o varios grupos de recursos.

AzSK admite la comprobación de seguridad para grupos de recursos específicos.

1.2) Comprobación de seguridad de grupos de recursos específicos

El escaneo de seguridad de grupos de recursos específicos se puede realizar usando el siguiente comando AzSK:

Get-AzSKAzureServicesSecurityStatus -SubscriptionId <SubscriptionId> -ResourceGroupNames <ResourceGroupNames> donde ResourceGroupNames es una lista separada por comas de grupos de recursos que contienen recursos relacionados para una suscripción Azure (por ejemplo, "RG1, RG2, RG3").

AzSK comprobará entonces el estado de los controles de seguridad incorporados aplicables a todos los recursos incluidos en los grupos de recursos seleccionados. Como un grupo de recursos puede contener varios recursos, AzSK permite reducir sus controles de seguridad a un tipo de recurso específico, dependiendo de sus necesidades.

1.3) Escanear la seguridad de un tipo de recurso específico

Además del escaneo de seguridad de grupos de recursos específicos, AzSK también proporciona la capacidad de escanear la seguridad de un tipo de recurso específico.

Esto se hace aprovechando dos parámetros adicionales: ResourceType o ResourceTypeName. Los comandos relacionados de AzSK son los siguientes:

Get-AzSKAzureServicesSecurityStatus -SubscriptionId <SubscriptionId> [-ResourceGroupNames <ResourceGroupNames>] -ResourceType <ResourceType> o

Get-AzSKAzureServicesSecurityStatus -SubscriptionId <SubscriptionId> [-ResourceGroupNames <ResourceGroupNames>] -ResourceTypeName <ResourceTypeName>.

Por ejemplo, si quiere comprobar el estado de seguridad de todas las Máquinas Virtuales usadas en su aplicación (SubscriptionID = Subs-100, ResourceGroupNames=RG-App1-Dev & RG-App1-QA & RG-App1-Prod), el comando AzSK relacionado tendrá el aspecto siguiente:

Get-AzSKAzureServicesSecurityStatus -SubscriptionId "Subs-100" -ResourceGroupNames "G-App1-Dev, RG-App1-QA, RG-App1-Prod" -ResourceType "Microsoft.Compute/virtualMachines" o

Get-AzSKAzureServicesSecurityStatus -SubscriptionId 'Subs-100' -ResourceGroupNames 'RG-App1-Dev, RG-App1-QA, RG-App1-Prod' -ResourceTypeName 'VirtualMachine'.

Los valores soportados que se pueden utilizar para los parámetros ResourceType y ResourceTypeName se pueden obtener utilizando el siguiente comando AzSK Get-AzSKSupportedResourceTypes como en la siguiente captura de pantalla:




Como puede ver, AzSK proporciona una amplia lista de formas de realizar las pruebas de verificación de seguridad (SVT) de los recursos de Azure utilizados en sus aplicaciones. Estas pruebas de verificación de seguridad se basan en las mejores prácticas de seguridad y en las recomendaciones de Microsoft. Para cualquier detalle adicional, el cmdlet PS Get-Help Get-AzSKAzureServicesSecurityStatus será su "amigo".

Además de los 19 controles de seguridad incorporados para la seguridad de la suscripción, AzSK proporciona actualmente más de 317 controles de seguridad incorporados para ayudarle a construir aplicaciones seguras basadas en Azure.

En la siguiente tabla se enumeran los controles de seguridad admitidos por AzSK para el tipo de recurso Máquina virtual Azure:


CONTROL RAZÓN FUNDAMENTAL GRAVEDAD
1 La máquina virtual debe tener instalada la última versión del sistema operativo Estar en la última versión del sistema operativo reduce significativamente los riesgos de los problemas de diseño de seguridad y los errores de seguridad que pueden estar presentes en las versiones más antiguas Media
2 Las actualizaciones automáticas del sistema operativo deben estar habilitadas en la máquina virtual de Windows Las máquinas virtuales en las que las actualizaciones automáticas están desactivadas pueden perder importantes parches de seguridad debido a un error humano. Alta
3 El antimalware debe estar habilitado con protección en tiempo real en la máquina virtual de Windows Habilitar la protección antimalware minimiza los riesgos de los ataques existentes y nuevos de varios tipos de malware Alta
4 El NSG debe estar configurado para la Máquina Virtual Restringir el tráfico entrante y saliente a través de los NSG limita la exposición de la red de una VM reduciendo la superficie de ataque Media
5 La IPs públicas en una máquina virtual debe ser revisada cuidadosamente Las IPs públicas proveen acceso directo a través de Internet exponiendo a la VM a ataques a través de la red pública Alta
6 La encriptación del disco debe estar habilitada tanto en el sistema operativo como en los discos de datos para la Máquina Virtual de Windows Esto minimiza el riesgo de pérdida de datos por robo físico y también ayuda a cumplir los requisitos de cumplimiento normativo Alta
7 La máquina virtual debe estar en un estado saludable en el Centro de Seguridad Azure El Centro de Seguridad Azure emite alertas (que son típicamente indicativas de recursos que no cumplen con alguna protección de seguridad de base) Alta
8 La máquina virtual debe tener instalados todos los parches necesarios del sistema operativo Las máquinas virtuales sin parches son blancos fáciles para comprometerse con varios ataques de malware y troyanos. Alta
9 La Máquina Virtual debe implementar todas las recomendaciones del ASC marcadas El Centro de Seguridad Azure ofrece varias recomendaciones de seguridad para los recursos que no cumplen con alguna protección de seguridad de base Alta
10 Los diagnósticos (extensión IaaSDiagnostics en Windows; extensión LinuxDiagnostic en Linux) deben estar habilitados en la máquina virtual Los registros de diagnóstico son necesarios para crear un rastro de actividad mientras se investiga un incidente o un compromiso Media
11 No deje los puertos de gestión abiertos en las máquinas virtuales Los puertos de gestión remota abiertos exponen a un nodo de VM/computadora a un alto nivel de riesgo de ataques basados en Internet Critica


Los controles de seguridad incorporados completos cubiertos por el recurso AzSK por Azure se pueden encontrar aquí.

AzSK también le permite controlar la seguridad de sus aplicaciones con otras herramientas que no sean PowerShell.

2) Codificación segura con Security IntelliSense

Security IntelliSense es una extensión que aumenta la característica estándar de Visual Studio IntelliSense con el conocimiento de la codificación segura. Te ayuda a obtener asistencia "en línea" para arreglar posibles problemas de seguridad mientras escribes el código.

Las características soportadas incluyen:


Aproximadamente 80 reglas (disponibles aquí) que cubren escenarios como:


  • Varias reglas de codificación segura relacionadas con el Azure PaaS API
  • Mejores prácticas de autenticación basadas en ADAL
  • Errores de criptografía comunes
  • Problemas de seguridad de la aplicación clásica y de la aplicación web

Reglas auto-actualizadas: El plug-in comprueba periódicamente si se han publicado nuevas reglas en un almacén central de reglas y actualiza su conjunto de reglas locales

Indicaciones de error y advertencia para un código incorrecto y posiblemente vulnerable: (Por ejemplo, el uso de la caché de fichas personalizadas en el escenario ADAL)

Sugerencias para correcciones/prácticas de codificación conformes: (Por ejemplo, en lugar de aleatorio, la clase RNGCryptoServiceProvider debería utilizarse en un contexto de criptografía).

3) Seguridad en CICD (extensión para Visual Studio)

Todas las pruebas de verificación de seguridad del AzSK (SVT) de las que hemos hablado hasta ahora pueden ser ejecutadas en cualquier momento en modo ad hoc (usando comandos Powershell) dependiendo de sus necesidades.

AzSK proporciona una extensión CICD que le ayuda a automatizar e integrar dichas pruebas de verificación de seguridad como parte de los flujos de trabajo de desarrollo y de liberación de tuberías.

La función de extensiones CICD de AzSK hace posible la aplicación automatizada de la configuración de seguridad al hacer que los SVT estén disponibles como una extensión de Visual Studio.

La guía para habilitar las pruebas de verificación de seguridad (SVT) en los canales de lanzamiento de Visual Studio Team Services (VSTS) se puede encontrar aquí. VSTS se conoce actualmente como Azure DevOps Services.

Conclusión

En este artículo (el cuarto relacionado con el Kit de Desarrollo Seguro para Azure - AzSK), traté de cómo este marco de trabajo AzSK puede ser aprovechado para desarrollar e implementar aplicaciones seguras basadas en la nube de Azure. Esto se hace gracias a las siguientes características:


  • Pruebas de verificación de seguridad (SVT) para los recursos de Azure utilizados en sus aplicaciones (35 tipos de recursos actualmente soportados con 317 controles de seguridad incorporados)
  • Prácticas de codificación de seguridad usando el Security IntelliSence
  • Integración de seguridad en la Integración Continua/ Entrega Continua (CICD) a través de una extensión de Visual Studio AzSK



Referencias clave y recursos adicionales