Déploiement d'un agent IAST sur Azure App Service

Utilisez l'agent IAST pour surveiller les applications qui s'exécutent sur Azure App Service.

Déploiement d'un agent .NET Core IAST à l'aide de l'extension de site HCL AppScan IAST .NET Core

Pourquoi et quand exécuter cette tâche

L'extension HCL AppScan IAST .NET Core installe l'agent de test interactif de sécurité des applications (IAST) dans votre application .NET Core sur Azure App Service. Une fois que vous avez activé l'agent, il surveille l'application au moment de l'exécution et signale les vulnérabilités détectées à AppScan 360°.
Remarque : L'extension de site HCL AppScan IAST .NET Core s'applique aux applications .NET Core fonctionnant sous Windows.

Procédure

  1. Ajout de l'extension de site HCL AppScan IAST .NET Core :
    1. Dans le portail Azure, ouvrez votre App Service.
    2. Accédez à Outils de développement > Extensions.
    3. Cliquez sur + Ajouter. La liste des extensions disponibles s'affiche.
    4. Sélectionnez Extension de site IAST .NET Core pour Azure App Service.

      Image montrant la séquence d'ajout de l'extension.

    5. Cliquez sur Ajouter. L'extension est installée automatiquement.
  2. Configuration de l'extension de site :
    1. Créez une session IAST Clé uniquement pour obtenir un hôte de clé pour IAST. Voir Déployer à l'aide de l'option Clé uniquement.
    2. Sélectionnez Paramètres > Variables d'environnement.
    3. Cliquez sur Ajouter, puis ajoutez les variables d'environnement suivantes :
      Nom Exemple Description
      IAST_ACCESS_TOKEN (votre jeton d'accès) Authentifie l'agent auprès de AppScan 360°.
      IAST_HOST https://cloud.appscan.com/IAST L'URL hôte de AppScan 360° auquel l'agent se connecte.

      Illustration montrant comment ajouter des variables d'environnement

    4. Cliquez sur Enregistrer pour appliquer les modifications.
    5. Redémarrez App Service pour activer l'agent.
  3. Vérification : Après le redémarrage, l'agent démarre automatiquement.
    1. Dans AppScan 360° : Ouvrez votre application et confirmez qu'une connexion IAST est active.
    2. Dans Azure : Vérifiez si le flux de journaux contient des messages de démarrage et de connexion de l'agent IAST.

Déploiement d'un agent IAST .NET sur Azure

Pourquoi et quand exécuter cette tâche

Utilisez le gestionnaire de packages NuGet pour ajouter l'agent IAST à votre application avant de déployer Azure App Services. La procédure ci-dessous s'applique à Visual Studio, mais la procédure est similaire pour les autres IDE.
Remarque : Cette méthode s'applique aux applications .NET Framework et .NET Core.

Procédure

  1. Démarrez une session IAST .NET et téléchargez l'agent NuGet comme décrit ici.
  2. Ouvrez Visual Studio et sélectionnez Menu > Outils > Options > Gestionnaire de packages NuGet > Source du package.
  3. Sélectionnez le dossier contenant l'agent IAST NuGet.
  4. Cliquez sur le signe + pour ajouter une nouvelle source NuGet, puis attribuez-lui un nom.
  5. Dans l'explorateur de solutions, cliquez avec le bouton droit de la souris sur le projet que vous souhaitez que l'IAST surveille, puis cliquez sur Gérer les packages NuGet.
  6. Dans le champ Rechercher, saisissez com.HCL.AppScan.IAST.agent et sélectionnez le premier package répertorié dans les résultats.
  7. Cliquez sur Installer.
  8. .NET Core uniquement : Configuration dans l'environnement Azure.

    Définissez la variable d'environnement en procédant comme suit :

    1. Dans le portail Azure, accédez à Paramètres > Variables d'environnement.
    2. Ajoutez la variable d'environnement suivante :
      Nom Valeur
      ASPNETCORE_HOSTINGSTARTUPASSEMBLIES SecagentCore
    3. Cliquez sur Enregistrer pour appliquer les modifications.
    4. Redémarrez App Service pour activer l'agent.
  9. Déployez votre application sur Azure App Services.
  10. Vérification : L'agent est désormais installé.

    Dans ASoC : Ouvrez votre application et confirmez qu'une connexion IAST est active.

    Dans Azure : Vérifiez si le flux de journaux contient des messages de démarrage et de connexion de l'agent IAST.

    Au fur et à mesure que vous utilisez ou testez votre application (en effectuant des tests fonctionnels, un examen DAST ou en explorant l'application manuellement), l'agent IAST surveille les requêtes au fur et à mesure de leur envoi et signale les problèmes de sécurité qu'il détecte.

Déploiement d'un agent IAST Node.js sur Azure

Procédure

  1. Si vous ne l'avez pas encore fait, créez une application pour vos examens.
  2. Dans la vue Application, cliquez sur Créer un examen pour ouvrir l'assistant, puis sélectionnez Interactif (IAST).
  3. Sélectionnez Node.js et cliquez sur Générer une clé. Cette opération génère une clé unique qui connecte votre application à la session IAST dans AppScan 360°. Enregistrez cette clé pour plus tard.
  4. Dans votre espace de travail, installez l'agent IAST à partir de npm à l'aide de la commande suivante : 
    npm install --save @hclsoftware/secagent
    @hclsoftware/secagent est ajouté aux dépendances dans le fichier package.json de votre application :
  5. Par défaut, Azure App Services utilise le script de démarrage de votre fichier package.json comme commande d'exécution. Modifiez le script de démarrage pour définir la clé d'agent de l'étape 3 ci-dessus comme variable d'environnement et pour exécuter l'agent IAST de l'étape 4 comme package requis.
    Par exemple, si la commande initiale était :Modifiez-la comme suit :
  6. Configuration de l'extension de site : Sélectionnez Paramètres > Variables d'environnement.
  7. Ajoutez les variables d'environnement suivantes en utilisant la valeur enregistrée à l'étape 3 :
    Nom Exemple Description
    IAST_ACCESS_TOKEN (votre jeton d'accès) Authentifie l'agent auprès de AppScan 360°.
    IAST_HOST https://cloud.appscan.com/IAST L'URL hôte de AppScan 360° auquel l'agent se connecte.

    Illustration montrant comment ajouter des variables d'environnement

  8. Cliquez sur Enregistrer pour appliquer les modifications.
  9. Redémarrez App Service pour activer l'agent.
  10. Déployez votre application sur Azure App Services.
  11. Vérification : Après le redémarrage, l'agent démarre automatiquement.
    1. Dans AppScan 360° : Ouvrez votre application et confirmez qu'une connexion IAST est active.
    2. Dans Azure : Vérifiez si le flux de journaux contient des messages de démarrage et de connexion de l'agent IAST.
    vérification de l'installation de l'agent

    Au fur et à mesure que vous utilisez ou testez votre application (en effectuant des tests fonctionnels, un examen DAST ou en explorant l'application manuellement), l'agent IAST surveille les requêtes au fur et à mesure de leur envoi et signale les problèmes de sécurité qu'il détecte.