Azure App Service での IAST エージェントの配置

IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。

HCL AppScan IAST.NET Core サイト拡張機能を使用した .NET Core IAST エージェントの配置

このタスクについて

HCL AppScan IAST.NET Core Site Extension は、Azure App Service上の .NET Core アプリにインタラクティブアプリケーション・セキュリティーテスト (IAST) エージェントをインストールします。このエージェントを有効にすると、実行時にアプリを監視し、検出された脆弱性を ASoC に報告します。
注: HCL AppScan IAST.NET Core サイト拡張機能は、Windows 上で実行される .NET Core アプリケーションに適用できます。

手順

  1. HCL AppScan IAST.NET Core Site Extension の追加:
    1. Azure ポータルで、アプリサービスを開きます。
    2. 「開発ツール」 > 「拡張機能」に移動します。
    3. 「+ 追加」をクリックします。使用可能な拡張子のリストが表示されます。
    4. 「IAST.NET Core Site Extension for Azure App Service」を選択します。

      拡張機能を追加するシーケンスを示す画像。

    5. 「追加」をクリックします。拡張機能は自動的にインストールされます。
  2. サイト拡張機能の構成:
    1. IAST のキーホストを取得するには、キーのみの IAST セッションを作成します。キーのみのオプションを使用して配置する を参照してください。
    2. 「設定」 > 「環境変数」を選択します。
    3. 「追加」をクリックし、次の環境変数を追加します。
      名前 説明
      IAST_ACCESS_TOKEN (アクセストークン) ASoC でエージェントを認証します。
      IAST_HOST https://cloud.appscan.com/IAST ASoC エージェントが接続するホスト URL。

      環境変数の追加方法を示す画像

    4. 「保存」をクリックして変更を適用します。
    5. アプリサービスを再起動して、エージェントを有効にします。
  3. 検証: 再起動後、エージェントは自動的に起動します。
    1. ASoCで以下を実行します。アプリケーションを開き、アクティブな IAST 接続を確認します。
    2. Azure の場合: IAST エージェントの起動および接続メッセージのログストリームを確認します。

Azure での .NET IAST エージェントの配置

このタスクについて

NuGet パッケージ・マネージャーを使用して、Azure App Service を配置する前に、IAST エージェントをアプリケーションに追加します。次の手順は Visual Studio による配置ですが、この手順は他の IDE でも同様です。
注: この方法は、.NET Framework および.NET Core アプリケーションに適用されます。

手順

  1. ここの説明にあるように、.NET IAST セッションを開始し、エージェントの NuGet をダウンロードします。
  2. Visual Studio を開いて、「メニュー」 > 「ツール」 > 「オプション」 > 「NuGet パッケージマネージャー」 > 「パッケージソース」の順に選択します。
  3. IAST エージェントの NuGet を含むフォルダーを選択します。
  4. 「+」 記号をクリックして新しい NuGet ソースを追加し、名前を付けます。
  5. ソリューションエクスプローラーで、IAST で監視するプロジェクトを右クリックし、「NuGet パッケージの管理」を選択します。
  6. 「検索」フィールドに、「com.HCL.AppScan.IAST.agent」と入力して、結果に表示される最初のパッケージを選択します。
  7. 「インストール」をクリックします。
  8. .NET コア専用: Azure 環境での構成。

    次の手順で環境変数を設定します。

    1. Azure ポータルで、「設定」 > 「環境変数」の順に移動します。
    2. 以下の環境変数を追加します。
      名前
      ASPNETCORE_HOSTINGSTARTUPASSEMBLIES SecagentCore
    3. 「保存」をクリックして変更を適用します。
    4. アプリサービスを再起動して、エージェントを有効にします。
  9. アプリケーションを Azure App Service に配置します。
  10. 検証: これでエージェントがインストールされます。

    ASoC の場合: アプリケーションを開き、アクティブな IAST 接続を確認します。

    Azure の場合: IAST エージェントの起動および接続メッセージのログストリームを確認します。

    アプリケーションを使用またはテスト (機能テストを実行、DAST スキャンを実行、またはアプリケーションを手動探査) すると、IAST エージェントによって要求が送信時に監視され、検出されたセキュリティー問題がレポートされます。

Azure での Node.js IAST エージェントの配置

手順

  1. スキャン用のアプリケーションを作成します (まだ作成していない場合)。
  2. 「アプリケーション」ビューで「スキャンの作成」をクリックしてウィザードを開き、「インタラクティブ (IAST)」を選択します。
  3. 「Node.js」を選択し、「キーの生成」をクリックします。これにより、ASoC でアプリケーションを IAST セッションに接続する固有のキーが生成されます。このキーは後で使用するために保存します。
  4. ワークスペースで、次のコマンドを使用して npm から IAST エージェントをインストールします。 
    npm install --save @hclsoftware/secagent
    これにより、アプリケーションの package.json ファイル内の依存関係に @hclsoftware/secagent が追加されます。
  5. デフォルトでは、Azure App Service は package.json 内の開始スクリプトを実行コマンドとして使用します。前述のステップ 3 のエージェント・キーを環境変数として設定し、ステップ 4 の IAST エージェントを必要なパッケージとして実行するように、開始スクリプトを編集します。
    例えば、元のコマンドが次のとおりであったとします。これを次のように編集します。
  6. サイト拡張機能の構成: 「設定」 > 「環境変数」を選択します。
  7. 手順 3 で保存した値を使用して、次の環境変数を追加します。
    名前 説明
    IAST_ACCESS_TOKEN (アクセストークン) ASoC でエージェントを認証します。
    IAST_HOST https://cloud.appscan.com/IAST ASoC エージェントが接続するホスト URL。

    環境変数の追加方法を示す画像

  8. 「保存」をクリックして変更を適用します。
  9. アプリサービスを再起動して、エージェントを有効にします。
  10. アプリケーションを Azure App Service に配置します。
  11. 検証: 再起動後、エージェントは自動的に起動します。
    1. ASoCで以下を実行します。アプリケーションを開き、アクティブな IAST 接続を確認します。
    2. Azure の場合: IAST エージェントの起動および接続メッセージのログストリームを確認します。
    インストールされたエージェントの検証

    アプリケーションを使用またはテスト (機能テストを実行、DAST スキャンを実行、またはアプリケーションを手動探査) すると、IAST エージェントによって要求が送信時に監視され、検出されたセキュリティー問題がレポートされます。