Melhores práticas em segurança para o Windows Azure

  • Article

Olá pessoal, tudo certo?

Estou acompanhando algumas equipes que estão desenvolvendo suas primeiras soluções para a plataforma Windows Azure. Compartilhei com eles alguns artigos e whitepapers que valem a leitura, todos a partir do link a seguir:

Ref.: https://www.microsoft.com/windowsazure/whitepapers/

Porém, um deles vale especial atenção:

Security Best Practices For Developing Windows Azure Applications

  • This paper focuses on the security challenges and recommended approaches to design and develop more secure applications for Microsoft’s Windows Azure platform. Microsoft Security Engineering Center (MSEC) and Microsoft’s Online Services Security & Compliance (OSSC) team have partnered with the Windows Azure team to build on the same security principles and processes that Microsoft has developed through years of experience managing security risks in traditional development and operating environments.

Ref.: https://download.microsoft.com/download/7/3/E/73E4EE93-559F-4D0F-A6FC-7FEC5F1542D1/SecurityBestPracticesWindowsAzureApps.docx

Esse documento fornece diversos pontos de atenção sobre segurança para aplicações no Windows Azure. Por exemplo, pensando em uma arquitetura tradicional de aplicação Web, o diagrama abaixo apresenta diversos aspectos de segurança envolvidos, veja:

image

Essa mesma aplicação em ambiente Windows Azure deve considerar os seguintes pontos de atenção:

image

Portanto, aspectos como auditoria, logging, autenticação, autorização, comunicação, gerenciamento de configuração, criptografia, gerenciamento de exceções, gerenciamento de sessão e validação continuam sendo importantes e devem ser tratados em algum momento em sua aplicação na nuvem.

Ao mesmo tempo, aspectos como atualização e correções de S.O., administração de serviços, protocolos, segurança em diretórios e arquivos, compartilhamento de dados físicos, portas e acesso a registros não são aspectos envolvidos, uma vez que na plataforma Windows Azure você utiliza um modelo PAAS – Platform as a Service, ou plataforma como serviço. Nesse modelo, não temos acesso como administrador aos recursos do Windows Azure, o que elimina essas preocupações de nosso plano de mitigação e segurança.

Bem interessante! Não deixe de avaliar os aspectos de segurança que sua aplicação deve tratar.

Por enquanto é só! Até o próximo post :)

Waldemir.