在 Azure App Service 上部署 IAST 代理程式

使用 IAST 代理程式監控在 Azure App Service 上執行的應用程式。

使用 HCL AppScan IAST .NET Core 網站延伸模組部署 .NET Core IAST 代理程式

執行這項作業的原因和時機

HCL AppScan IAST .NET Core 網站延伸模組會將互動式應用程式安全測試 (IAST) 代理程式安裝至 Azure App Service 上的.NET Core 應用程式。啟用代理程式後,它會在執行時期監視應用程式,並將偵測到的漏洞回報至 AppScan 360°
註: HCL AppScan IAST .NET Core 網站延伸模組適用於在 Windows 上執行的 .NET Core 應用程式。

程序

  1. 新增 HCL AppScan IAST .NET Core 網站延伸模組
    1. 在 Azure 入口網站中開啟您的 App Service。
    2. 前往開發工具 > 延伸模組
    3. 按一下 + 新增。隨即顯示可用的延伸模組。
    4. 選取適用於 Azure App Service 的 IAST .NET Core 網站延伸模組

      顯示新增延伸模組步驟的影像。

    5. 按一下新增。此延伸模組會自動安裝。
  2. 配置網站延伸模組
    1. 建立僅限金鑰 IAST 階段作業以取得 IAST 的金鑰主機。請參閱使用僅限金鑰選項部署
    2. 選取設定 > 環境變數
    3. 按一下新增,然後新增下列環境變數:
      名稱 範例 說明
      IAST_ACCESS_TOKEN (您的存取記號) 使用 AppScan 360° 鑑別代理程式。
      IAST_HOST https://cloud.appscan.com/IAST 代理程式所連線的 AppScan 360° 主機 URL。

      顯示如何新增環境變數的影像

    4. 按一下儲存以套用變更。
    5. 重新啟動 App Service 以啟用代理程式。
  3. 驗證:重新啟動後,代理程式會自動啟動。
    1. AppScan 360° 中:開啟您的應用程式並確認 IAST 連線已啟用。
    2. 在 Azure 中:檢查日誌串流中的 IAST 代理程式啟動與連線訊息。

在 Azure 上部署 .NET IAST 代理程式

執行這項作業的原因和時機

使用「NuGet 套件管理程式」,在部署至 Azure App Services 前,將 IAST 代理程式新增到您的應用程式。下列步驟為透過 Visual Studio 部署,但其他 IDE 的程序也類似如此。
註: 此方法適用於 .NET Framework 與 .NET Core 應用程式。

程序

  1. 啟動 .NET IAST 階段作業,並依此處說明下載 NuGet 代理程式。
  2. 開啟 Visual Studio,然後選取功能表 > 工具 > 選項 > NuGet 套件管理程式 > 套件來源
  3. 選取包含 IAST 代理程式 NuGet 的資料夾。
  4. 按一下 + 號以新增新的 NuGet 來源,然後為其命名。
  5. 在「解決方案總管」中,於您想要 IAST 監視的專案按一下滑鼠右鍵,然後選取管理 NuGet 套件
  6. 在「搜尋」欄位中,輸入「com.HCL.AppScan.IAST.agent」,並選取結果中列出的第一個套件。
  7. 按一下安裝
  8. 僅限 .NET Core:Azure 環境中的配置。

    請依照下列步驟設定環境變數:

    1. 在 Azure 入口網站中,前往設定 > 環境變數
    2. 新增下列環境變數:
      名稱
      ASPNETCORE_HOSTINGSTARTUPASSEMBLIES SecagentCore
    3. 按一下儲存以套用變更。
    4. 重新啟動 App Service 以啟用代理程式。
  9. 將應用程式部署至 Azure App Services。
  10. 驗證:代理程式現已安裝完成。

    在 ASoC 中:開啟您的應用程式並確認 IAST 連線已啟用。

    在 Azure 中:檢查日誌串流中的 IAST 代理程式啟動與連線訊息。

    當您使用或測試應用程式(執行功能測試、執行 DAST 掃描或手動瀏覽應用程式)時,IAST 代理程式會監控其所傳送的要求,並報告其發現的安全問題。

在 Azure 上部署 Node.js IAST 代理程式

程序

  1. 如果您尚未執行此操作,請為您的掃描建立應用程式
  2. 應用程式視圖中,按一下建立掃描以開啟精靈,然後選取互動式 (IAST)
  3. 選取 Node.js,並按一下產生金鑰。這會產生唯一金鑰,將您的應用程式與 AppScan 360° 中的 IAST 階段作業連線。請儲存此金鑰以供稍後使用。
  4. 在您的工作區中,使用以下命令從 npm 安裝 IAST 代理程式: 
    npm install --save @hclsoftware/secagent
    這會將 @hclsoftware/secagent 新增至應用程式的 package.json 檔案中的相依關係:
  5. 依預設,Azure App Services 會使用 package.json 中的啟動 Script 作為執行指令。編輯啟動 Script,將上述步驟三的代理程式金鑰設定為環境變數,並從步驟四將 IAST 代理程式作為必要的套件執行。
    例如,如果原始指令如下:將其編輯至此:
  6. 配置網站延伸模組:選取設定 > 環境變數
  7. 使用步驟 #3 中儲存的值,新增下列環境變數:
    名稱 範例 說明
    IAST_ACCESS_TOKEN (您的存取記號) 使用 AppScan 360° 鑑別代理程式。
    IAST_HOST https://cloud.appscan.com/IAST 代理程式所連線的 AppScan 360° 主機 URL。

    顯示如何新增環境變數的影像

  8. 按一下儲存以套用變更。
  9. 重新啟動 App Service 以啟用代理程式。
  10. 將應用程式部署至 Azure App Services
  11. 驗證:重新啟動後,代理程式會自動啟動。
    1. AppScan 360° 中:開啟您的應用程式並確認 IAST 連線已啟用。
    2. 在 Azure 中:檢查日誌串流中的 IAST 代理程式啟動與連線訊息。
    代理程式安裝驗證

    當您使用或測試應用程式(執行功能測試、執行 DAST 掃描或手動瀏覽應用程式)時,IAST 代理程式會監控其所傳送的要求,並報告其發現的安全問題。