在 Azure App Service 上部署 IAST 代理程序

使用 IAST 代理程序监控在 Azure App Service 上运行的应用程序。

使用 HCL AppScan IAST .NET Core 站点扩展程序部署 .NET Core IAST 代理程序。

关于此任务

HCL AppScan IAST .NET Core 站点扩展程序会将交互式应用程序安全测试 (IAST) 代理程序安装到您在 Azure App Service 上的 .NET Core 应用程序中。在您启用代理程序后,它会在运行时监控应用程序,并将检测到的漏洞报告给 AppScan 360°
注: HCL AppScan IAST .NET Core 站点扩展程序适用于 Windows 上运行的 .NET Core 应用程序。

过程

  1. 添加 HCL AppScan IAST .NET Core 站点扩展程序
    1. 在 Azure 门户网站中,打开您的 App Service。
    2. 转至开发工具 > 扩展程序
    3. 单击 + 添加。将显示可用扩展程序的列表。
    4. 选择用于 Azure App Service 的 IAST .NET Core 站点扩展程序

      显示添加扩展程序操作步骤的图像。

    5. 单击添加。扩展程序将自动安装。
  2. 配置站点扩展程序
    1. 创建仅密钥 IAST 会话以获取 IAST 的密钥主机。请参阅使用“仅密钥”选项进行部署
    2. 选择设置 > 环境变量
    3. 单击添加,然后添加以下环境变量:
      名称 示例 描述
      IAST_ACCESS_TOKEN (您的访问令牌) 使用 AppScan 360° 对代理程序进行认证。
      IAST_HOST https://cloud.appscan.com/IAST 代理程序连接到的 AppScan 360° 主机 URL。

      显示如何添加环境变量的图像

    4. 单击保存以应用更改。
    5. 重新启动 App Service 以启用代理程序。
  3. 验证:重新启动后,代理程序会自动启动。
    1. AppScan 360° 中:打开您的应用程序并确认处于活动状态的 IAST 连接。
    2. 在 Azure 中:检查日志流中的 IAST 代理程序启动和连接消息。

在 Azure 上部署 .NET IAST 代理程序

关于此任务

使用 NuGet 包管理器将 IAST 代理程序添加到您的应用程序,然后再部署到 Azure App Services。以下步骤以 Visual Studio 为例演示部署过程,其他 IDE 的操作流程与之类似。
注: 此方法适用于 .NET Framework 和 .NET Core 应用程序。

过程

  1. 启动. NET IAST 会话并下载代理程序 NuGet,如此处所述。
  2. 打开 Visual Studio,然后选择菜单 > 工具 > 选项 > NuGet 包管理器 > 包源
  3. 选择包含 IAST 代理程序 NuGet 的文件夹。
  4. 单击 + 号以添加新的 NuGet 源,然后为其命名。
  5. 在解决方案资源管理器中,右键单击您希望 IAST 监控的项目,然后选择管理 NuGet 包
  6. 在“搜索”字段中,输入 com.HCL.AppScan.IAST.agent 并选择结果中列出的第一个包。
  7. 单击安装
  8. 仅限 .NET Core:Azure 环境中的配置。

    执行以下步骤以设置环境变量:

    1. 在 Azure 门户网站中,转至设置 > 环境变量
    2. 添加以下环境变量:
      名称
      ASPNETCORE_HOSTINGSTARTUPASSEMBLIES SecagentCore
    3. 单击保存以应用更改。
    4. 重新启动 App Service 以启用代理程序。
  9. 将应用程序部署到 Azure App Services。
  10. 验证:代理程序现在已安装完成。

    在 ASoC 中:打开您的应用程序并确认处于活动状态的 IAST 连接。

    在 Azure 中:检查日志流中的 IAST 代理程序启动和连接消息。

    当您使用或测试应用程序(运行功能测试、运行 DAST 扫描或手动探索应用程序)时,IAST 代理程序会在请求发送时监控请求,并报告其发现的安全问题。

在 Azure 上部署 Node.js IAST 代理程序

过程

  1. 如果您尚未这样做,请为扫描创建应用程序
  2. 应用程序视图中,单击创建扫描打开向导,然后选择交互 (IAST)
  3. 选择 Node.js,然后单击生成密钥。这将生成一个唯一的密钥,用于在应用程序与 AppScan 360° 中的 IAST 会话之间建立连接。保存此密钥以供日后使用。
  4. 在工作空间中,使用以下命令从 npm 安装 IAST 代理程序: 
    npm install --save @hclsoftware/secagent
    这会将 @hclsoftware/secagent 添加到应用程序的 package.json 文件内的依赖关系中:
  5. 缺省情况下,Azure App Services 将 package.json 中的启动脚本用作运行命令。编辑启动脚本以将上述步骤 3 中的代理程序密钥设置为环境变量,并将步骤 4 中的 IAST 代理程序作为所需包运行。
    例如,如果原始命令为:将其编辑为此:
  6. 配置站点扩展程序:选择设置 > 环境变量
  7. 使用步骤 3 中保存的值来添加以下环境变量:
    名称 示例 描述
    IAST_ACCESS_TOKEN (您的访问令牌) 使用 AppScan 360° 对代理程序进行认证。
    IAST_HOST https://cloud.appscan.com/IAST 代理程序连接到的 AppScan 360° 主机 URL。

    显示如何添加环境变量的图像

  8. 单击保存以应用更改。
  9. 重新启动 App Service 以启用代理程序。
  10. 将应用程序部署到 Azure App Services
  11. 验证:重新启动后,代理程序会自动启动。
    1. AppScan 360° 中:打开您的应用程序并确认处于活动状态的 IAST 连接。
    2. 在 Azure 中:检查日志流中的 IAST 代理程序启动和连接消息。
    代理程序安装验证

    当您使用或测试应用程序(运行功能测试、运行 DAST 扫描或手动探索应用程序)时,IAST 代理程序会在请求发送时监控请求,并报告其发现的安全问题。