Co je Azure Web Application Firewall ve službě Aplikace Azure Gateway?

  • Článek

Firewall webových aplikací Azure (WAF) ve službě Aplikace Azure Gateway aktivně chrání vaše webové aplikace před běžným zneužitím a ohrožením zabezpečení. S tím, jak se webové aplikace stávají častějšími cíli pro škodlivé útoky, tyto útoky často využívají dobře známé chyby zabezpečení, jako je injektáž SQL a skriptování mezi weby.

WAF ve službě Application Gateway je založená na základní sadě pravidel (CRS) z projektu OWASP (Open Web Application Security Project).

Všechny následující funkce WAF existují uvnitř zásad WAF. Můžete vytvořit více zásad a dají se přidružit ke službě Application Gateway, jednotlivým naslouchacím procesům nebo pravidlům směrování založeným na cestě ve službě Application Gateway. Tímto způsobem můžete mít samostatné zásady pro každou lokalitu za službou Application Gateway v případě potřeby. Další informace o zásadách WAF najdete v tématu Vytvoření zásad WAF.

Poznámka:

Application Gateway má dvě verze skladové položky WAF: WAF_v1 služby Application Gateway a WAF_v2 služby Application Gateway. Přidružení zásad WAF jsou podporována pouze pro skladovou položku služby Application Gateway WAF_v2.

Application Gateway WAF diagram

Application Gateway funguje jako kontroler doručování aplikací (ADC). Nabízí protokol TLS (Transport Layer Security), dříve označovaný jako SSL (Secure Sockets Layer), ukončení relace založené na souborech cookie, distribuce zatížení s kruhovým dotazováním, směrování na základě obsahu, schopnost hostovat více webů a vylepšení zabezpečení.

Application Gateway vylepšuje zabezpečení prostřednictvím správy zásad TLS a kompletní podpory protokolu TLS. Integrací WAF do služby Application Gateway ztěžuje zabezpečení aplikací. Tato kombinace aktivně chrání vaše webové aplikace před běžnými ohroženími zabezpečení a nabízí centrálně spravovatelné a snadno konfigurovatelné umístění.

Zaměstnanecké výhody

Tato část popisuje základní výhody, které WAF ve službě Application Gateway poskytuje.

Ochrana

  • Chraňte své webové aplikace před ohroženími zabezpečení webu a útoky beze změny back-endového kódu.

  • Chraňte více webových aplikací najednou. Instance služby Application Gateway může hostovat až 40 webů chráněných bránou firewall webových aplikací.

  • Vytvořte vlastní zásady WAF pro různé weby za stejným WAF.

  • Chraňte své webové aplikace před škodlivými roboty pomocí sady pravidel reputace IP adres.

  • Chraňte svou aplikaci před útoky DDoS. Další informace naleznete v tématu Ochrana před útoky DDoS aplikace.

Sledování

  • Monitorujte útoky na webové aplikace pomocí protokolu WAF v reálném čase. Protokol je integrovaný se službou Azure Monitor ke sledování výstrah WAF a snadnému monitorování trendů.

  • WaF služby Application Gateway je integrovaný s Microsoft Defenderem pro cloud. Defender for Cloud poskytuje centrální přehled o stavu zabezpečení všech vašich prostředků Azure, hybridních a multicloudových prostředků.

Vlastní nastavení

  • Upravte pravidla WAF a skupiny pravidel tak, aby vyhovovaly požadavkům vaší aplikace a eliminovaly falešně pozitivní výsledky.

  • Přidružení zásad WAF pro každou lokalitu za WAF, aby se povolila konfigurace specifická pro lokalitu

  • Vytvoření vlastních pravidel pro potřeby vaší aplikace

Funkce

  • Ochrana proti injektáži SQL
  • Ochrana skriptování mezi weby
  • Ochrana před jinými běžnými webovými útoky, jako jsou injektáž příkazů, pašování požadavků HTTP, rozdělení odpovědí HTTP a vzdálené zahrnutí souborů.
  • Ochrana proti porušením protokolu HTTP.
  • Ochrana před anomáliemi protokolu HTTP, například chybějícím hostitelským uživatelským agentem a přijetím hlaviček
  • Ochrana před prohledávacími moduly a skenery.
  • Detekce běžných chyb konfigurace aplikací (například Apache a IIS)
  • Konfigurovatelné limity velikosti požadavků s dolními a horními hranicemi
  • Seznamy vyloučení umožňují vynechat určité atributy požadavků z vyhodnocení WAF. Běžným příkladem jsou tokeny vložené službou Active Directory, které se používají pro pole ověřování nebo hesla.
  • Vytvořte vlastní pravidla tak, aby vyhovovala konkrétním potřebám vašich aplikací.
  • Geograficky filtrujte provoz tak, aby určité země nebo oblasti povolovaly nebo blokovaly přístup k vašim aplikacím.
  • Chraňte své aplikace před roboty pomocí sady pravidel pro zmírnění rizik robotů.
  • Kontrola JSON a XML v textu požadavku

Zásady a pravidla WAF

Pokud chcete povolit firewall webových aplikací ve službě Application Gateway, musíte vytvořit zásadu WAF. Tato zásada je místo, kde existují všechna spravovaná pravidla, vlastní pravidla, vyloučení a další vlastní nastavení, jako je limit nahrávání souborů.

Můžete nakonfigurovat zásadu WAF a tuto zásadu přidružit k jedné nebo více aplikačním branám pro ochranu. Zásady WAF se skládají ze dvou typů pravidel zabezpečení:

  • Vlastní pravidla, která vytvoříte

  • Spravované sady pravidel, které jsou kolekcí předkonfigurované sady pravidel spravovaných Azure

Pokud existují obě, vlastní pravidla se zpracovávají před zpracováním pravidel ve spravované sadě pravidel. Pravidlo se skládá z podmínky shody, priority a akce. Podporované typy akcí jsou: ALLOW, BLOCK a LOG. Pomocí kombinace spravovaných a vlastních pravidel můžete vytvořit plně přizpůsobené zásady, které vyhovují vašim konkrétním požadavkům na ochranu aplikací.

Pravidla v rámci zásady se zpracovávají v pořadí priority. Priorita je jedinečné celé číslo, které definuje pořadí pravidel, která se mají zpracovat. Menší celočíselná hodnota označuje vyšší prioritu a tato pravidla se vyhodnocují před pravidly s vyšší celočíselnou hodnotou. Jakmile se pravidlo shoduje, použije se odpovídající akce definovaná v pravidle na požadavek. Jakmile se taková shoda zpracuje, pravidla s nižšími prioritami se nezpracují dál.

Webová aplikace poskytovaná službou Application Gateway může mít přidruženou zásadu WAF na globální úrovni, na úrovni jednotlivých webů nebo na úrovni identifikátoru URI.

Základní sady pravidel

Application Gateway podporuje více sad pravidel, včetně CRS 3.2, CRS 3.1 a CRS 3.0. Tato pravidla chrání vaše webové aplikace před škodlivými aktivitami.

Další informace najdete v tématu Skupiny a pravidla pravidel CRS firewallu webových aplikací.

Vlastní pravidla

Application Gateway také podporuje vlastní pravidla. Pomocí vlastních pravidel můžete vytvořit vlastní pravidla, která se vyhodnocují pro každý požadavek procházející WAF. Tato pravidla mají vyšší prioritu než ostatní pravidla ve spravovaných sadách pravidel. Pokud je splněna sada podmínek, provede se akce, která povolí nebo zablokuje.

Operátor geomatch je nyní k dispozici pro vlastní pravidla. Další informace najdete v tématu vlastní pravidla geomatch.

Další informace ovlastníchch

Sada pravidel ochrany robota

Můžete povolit sadu pravidel ochrany spravovaného robota, abyste mohli provádět vlastní akce na žádostech ze všech kategorií robotů.

Podporují se tři kategorie robotů:

  • Špatné

    Mezi chybné roboty patří roboti ze škodlivých IP adres a robotů, kteří falšují své identity. Chybní roboti se zlými IP adresami pocházejí z informačního kanálu Microsoft Threat Intelligence s vysokou spolehlivostí indikátorů IP ohrožení.

  • Dobrý

    Mezi vhodné roboty patří ověřené vyhledávací weby, jako je Googlebot, bingbot a další důvěryhodné uživatelské agenty.

  • Neznámý

    Neznámé roboty se klasifikují prostřednictvím publikovaných uživatelských agentů bez dalšího ověření. Například market analyzer, feed fetchers a data collection agents. Mezi neznámé roboty patří také škodlivé IP adresy, které pocházejí z informačního kanálu Microsoft Threat Intelligence se střední spolehlivostí indikátorů IP ohrožení zabezpečení.

Platforma WAF aktivně spravuje a dynamicky aktualizuje podpisy robotů.

Screenshot of bot rule set.

Microsoft_BotManagerRuleSet_1.0 můžete přiřadit pomocí možnosti Přiřadit v části Sady spravovaných pravidel:

Screenshot of Assign managed rule sets.

Když je povolená ochrana robota, blokuje, povoluje nebo protokoluje příchozí požadavky, které odpovídají pravidlu robota na základě akce, kterou jste nakonfigurovali. Blokuje škodlivé roboty, umožňuje ve výchozím nastavení ověřené prohledávací moduly vyhledávacího webu, blokuje neznámé prohledávací moduly a protokoluje neznámé roboty. Máte možnost nastavit vlastní akce pro blokování, povolení nebo protokolování různých typů robotů.

K protokolům WAF můžete přistupovat z účtu úložiště, centra událostí, log analytics nebo odesílání protokolů do partnerského řešení.

Režimy WAF

WaF služby Application Gateway je možné nakonfigurovat tak, aby běžel v následujících dvou režimech:

  • Režim detekce: Monitoruje a protokoluje všechna upozornění na hrozby. Diagnostiku protokolování pro Službu Application Gateway zapnete v části Diagnostika . Musíte se také ujistit, že je vybraný a zapnutý protokol WAF. Firewall webových aplikací neblokuje příchozí požadavky, když pracuje v režimu detekce.
  • Režim prevence: Blokuje narušení a útoky, které pravidla detekují. Útočník obdrží výjimku 403 neautorizovaného přístupu a připojení se zavře. Režim prevence zaznamenává takové útoky v protokolech WAF.

Poznámka:

Doporučujeme spustit nově nasazený WAF v režimu detekce po krátkou dobu v produkčním prostředí. To poskytuje možnost získat protokoly brány firewall a aktualizovat všechny výjimky nebo vlastní pravidla před přechodem do režimu prevence. To může pomoct snížit výskyt neočekávaných blokovaných přenosů.

Moduly WAF

Modul firewallu webových aplikací Azure (WAF) je komponenta, která kontroluje provoz a určuje, jestli požadavek obsahuje podpis, který představuje potenciální útok. Když používáte CRS 3.2 nebo novější, spustí waF nový modul WAF, který vám poskytne vyšší výkon a vylepšenou sadu funkcí. Pokud používáte starší verze CRS, vaše WAF běží na starším modulu. Nové funkce jsou dostupné jenom na novém modulu Azure WAF.

Akce WAF

Můžete zvolit, která akce se spustí, když požadavek odpovídá podmínce pravidla. Podporují se následující akce:

  • Povolit: Požadavek prochází waF a předává se do back-endu. Tato žádost nemůže blokovat žádná další pravidla s nižší prioritou. Akce povolit se vztahují jenom na sadu pravidel Bot Manageru a neplatí pro základní sadu pravidel.
  • Blok: Požadavek je zablokovaný a WAF odešle klientovi odpověď bez přesměrování požadavku na back-end.
  • Protokol: Požadavek se zaprotokoluje v protokolech WAF a WAF nadále vyhodnocuje pravidla s nižší prioritou.
  • Skóre anomálií: Toto je výchozí akce pro sadu pravidel CRS, kde se při porovnávání pravidla s touto akcí zvýší celkové skóre anomálií. Bodování anomálií se nevztahuje na sadu pravidel Bot Manageru.

Režim bodování anomálií

OWASP má dva režimy pro rozhodování, jestli se má blokovat provoz: tradiční režim a režim bodování anomálií.

V tradičním režimu se provoz, který odpovídá jakémukoli pravidlu, považuje za nezávislý na všech ostatních shodách pravidel. Tento režim je snadno pochopitelný. Nedostatek informací o tom, kolik pravidel odpovídá konkrétnímu požadavku, je ale omezení. Proto byl zaveden režim bodování anomálií. Jedná se o výchozí nastavení pro OWASP 3.x.

V režimu bodování anomálií se provoz odpovídající jakémukoli pravidlu okamžitě nezablokuje, když je brána firewall v režimu prevence. Pravidla mají určitou závažnost: kritické, chybové, upozornění nebo upozornění. Tato závažnost ovlivňuje číselnou hodnotu požadavku, která se nazývá Skóre anomálií. Například jedno pravidlo upozornění přispívá ke skóre 3. Jedna shoda kritických pravidel přispívá 5.

Závažnost Hodnota
Kritické 5
Chyba 4
Upozorňující 3
Upozornění: 2

Pro skóre anomálií je prahová hodnota 5, která blokuje provoz. Jedna shoda kritických pravidel tedy stačí, aby WAF služby Application Gateway zablokovala požadavek, a to i v režimu prevence. Jedno pravidlo upozornění ale pouze zvyšuje skóre anomálií o 3, což nestačí k blokování provozu.

Poznámka:

Zpráva, která se zaprotokoluje, když pravidlo WAF odpovídá provozu, obsahuje hodnotu akce "Spárováno". Pokud je celkové skóre anomálií všech odpovídajících pravidel 5 nebo vyšší a zásada WAF běží v režimu prevence, požadavek aktivuje povinné pravidlo anomálií s hodnotou akce "Blokováno" a požadavek se zastaví. Pokud je však zásada WAF spuštěná v režimu detekce, požadavek aktivuje hodnotu akce Zjištěno a požadavek se zaprotokoluje a předá back-endu. Další informace najdete v tématu Řešení potíží s firewallem webových aplikací (WAF) pro službu Aplikace Azure Gateway.

Konfigurace

Všechny zásady WAF můžete nakonfigurovat a nasadit pomocí webu Azure Portal, rozhraní REST API, šablon Azure Resource Manageru a Azure PowerShellu. Pomocí integrace firewall Manageru (Preview) můžete také nakonfigurovat a spravovat zásady Azure WAF ve velkém měřítku. Další informace najdete v tématu Použití Azure Firewall Manageru ke správě zásad firewallu webových aplikací (Preview).

Monitorování WAF

Je důležité monitorovat stav služby Application Gateway. Můžete to podporovat integrací WAF a aplikací, které chrání s protokoly Microsoft Defenderu pro cloud, Azure Monitor a Azure Monitor.

Diagram of Application Gateway WAF diagnostics

Azure Monitor

Protokoly služby Application Gateway jsou integrované se službou Azure Monitor. Díky tomu můžete sledovat diagnostické informace, včetně upozornění a protokolů WAF. K této funkci se dostanete na kartě Diagnostika v prostředku služby Application Gateway na portálu nebo přímo prostřednictvím služby Azure Monitor. Další informace o povolení protokolů najdete v tématu Diagnostika služby Application Gateway.

Microsoft Defender for Cloud

Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně. Poskytuje lepší přehled o zabezpečení vašich prostředků Azure a kontrolu nad nimi. Application Gateway je integrovaná s defenderem pro cloud. Defender for Cloud kontroluje vaše prostředí a zjišťuje nechráněné webové aplikace. Může doporučit WAF služby Application Gateway k ochraně těchto ohrožených prostředků. Brány firewall vytvoříte přímo z Defenderu pro cloud. Tyto instance WAF jsou integrované s defenderem pro cloud. Odesílají výstrahy a informace o stavu do Programu Defender for Cloud pro vytváření sestav.

Defender for Cloud overview window

Microsoft Sentinel

Microsoft Sentinel je škálovatelné, nativní cloudové řešení, správa událostí zabezpečení (SIEM) a řešení automatické orchestrace zabezpečení (SOAR). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku a poskytuje jediné řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní vyhledávání a reakci na hrozby.

S integrovaným sešitem událostí brány firewall azure WAF můžete získat přehled událostí zabezpečení ve službě WAF. To zahrnuje události, spárovaná a blokovaná pravidla a všechno ostatní, co se protokoluje v protokolech brány firewall. Další informace o protokolování najdete níže.

Azure WAF firewall events workbook

Sešit Azure Monitoru pro WAF

Tento sešit umožňuje vlastní vizualizaci událostí WAF relevantních pro zabezpečení na několika filtrovatelných panelech. Funguje se všemi typy WAF, včetně Application Gateway, Front Dooru a CDN, a dá se filtrovat na základě typu WAF nebo konkrétní instance WAF. Importujte prostřednictvím šablony ARM nebo šablony galerie. Pokud chcete tento sešit nasadit, přečtěte si článek o sešitu WAF.

Protokolování

WaF služby Application Gateway poskytuje podrobné hlášení o každé hrozbě, kterou detekuje. Protokolování je integrované s protokoly diagnostiky Azure. Výstrahy se zaznamenávají ve formátu .json. Tyto protokoly je možné integrovat s protokoly služby Azure Monitor.

Application Gateway diagnostics logs windows

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Ceny SKU WAF služby Application Gateway

Cenové modely se liší od cenových úrovní WAF_v1 a WAF_v2 skladových položek. Další informace najdete na stránce s cenami služby Application Gateway.

Co je nového

Informace o novinkách ve službě Azure Web Application Firewall najdete v aktualizacích Azure.

Další kroky