O documento discute boas práticas de segurança no acesso a dados em aplicações Web, abordando tópicos como injeção de SQL, acesso indevido a informações e uso de tokens criptografados (JWT). Também apresenta recursos de segurança na nuvem da Microsoft Azure, como o Azure App Service, Azure Web App for Containers, Azure SQL e Azure Key Vault.

1. Boas práticas de segurança no acesso a
dados em aplicações Web
Renato Groffe (Microsoft MVP, MTAC)

3. Renato Groffe
• Microsoft Most Valuable Professional (MVP)
• Multi-Plataform Technical Audience Contributor (MTAC)
• Mais de 15 anos de experiência na área de Tecnologia
• Autor Técnico e Palestrante
• Um dos organizadores do Canal .NET

4. Renato Groffe - Contatos
/renatogroffe /in/renatogroffe
/canaldotnet
/renatogroffe
/canaldotnet
/renatogroff
https://medium.com/@renato.groffe/

5. Agenda
• Segurança da Informação e Desenvolvimento Web
• Um pouco de Segurança no SQL Server
• JSON Web Tokens (JWT): protegendo APIs REST
• Recursos de Segurança na nuvem: Microsoft Azure
• Exemplos práticos

6. Segurança da Informação e Desenvolvimento Web

7. Desenvolvedores e a questão da Segurança
• Nunca vai acontecer comigo
• A aplicação é pequena, não há muitos
usuários
• O pessoal de TI é confiável
• Nossos usuários são leigos demais

8. E se essas “verdades” falharem?
• Injeção de SQL (SQL Injection)
• Acesso em produção com permissões
especiais
• Acesso indevido a informações
confidenciais

9. O que torna possível a injeção de SQL?
• Concatenação de comandos e parâmetros em strings
• Descuidos com a manipulação de query strings em aplicações
Web

10. O que há de errado aqui (.NET + Dapper)?

11. O que há de errado aqui (.NET + Dapper)?

12. Recomendável ao se utilizar Dapper

13. Diminuindo o impacto – Injeção de SQL
• Evitando a concatenação de parâmetros em
comandos SQL
• Criar um usuário para a aplicação no servidor
de banco de dados, retirando direitos de de
execução de comandos do tipo DDL (CREATE,
DROP, ALTER)
• Utilizando soluções ORMs como Entity
Framework e NHibernate

14. Evitando o acesso indevido a informações
• Criptografia de arquivos de configuração
• Armazenar segredos em alguma solução específica
(Azure Key Vault, por exemplo)
• Implementar mecanismos e políticas de controle de
acessos em sites
• JWT (JSON Web Token) em APIs REST
• HTTPS em aplicações Web sempre (sites, serviços,
APIs)

15. E se essas “verdades” falharem?
• Injeção de SQL (SQL Injection)
• Acesso em produção com permissões
especiais
• Acesso indevido a informações
confidenciais

16. SQL Server e Dynamic Data Masking
• Mascarar visualização de informações
sensíveis
• Presente desde a versão 2016
• Controle de acordo com permissões de um
usuário
• Extremamente útil na produção de relatórios

17. JWT (JSON Web Tokens)
• Uso de tokens criptografados
• Bearer Authentication
• Emprega HMAC ou RSA
• Tecnologia multiplataforma
• Tokens formados por 3 partes (Header,
Payload e Signature)

18. JWT (JSON Web Tokens) - Utilização

19. Um exemplo de token

20. JWT (JSON Web Tokens)
• Uso de tokens criptografados
• Bearer Authentication
• Emprega HMAC ou RSA
• Tecnologia multiplataforma
• Tokens formados por 3 partes (Header,
Payload e Signature)

21. Recursos de Segurança na nuvem – Microsoft Azure

22. Hospedagem de Aplicações
Alternativas do Microsoft Azure que
oferecem o uso de HTTPS por default:
• Azure App Service
• Azure Web App for Containers

23. Azure App Service - Suporte

24. Azure Web App for Containers - Suporte

25. Azure SQL
•Gerenciamento de usuários da
mesma forma que em versões
on premise
•Acesso por faixas de IP

26. Azure Key Vault
• Armazenamento de
configurações sensíveis
• Acesso a dados armazenados
mediante concessão de acesso
• Integração com Azure Active
Directory

27. Dúvidas?
https://medium.com/@renato.groffe/

28. Obrigado!
https://medium.com/@renato.groffe/