Azure Web Application Firewall ve službě Azure Front Door

  • Článek

Azure Web Application Firewall ve službě Azure Front Door poskytuje centralizovanou ochranu webových aplikací. Firewall webových aplikací (WAF) chrání vaše webové služby před běžným zneužitím a ohrožením zabezpečení. Zajišťuje vysokou dostupnost vaší služby pro vaše uživatele a pomáhá splňovat požadavky na dodržování předpisů.

Azure Web Application Firewall ve službě Azure Front Door je globální a centralizované řešení. Je nasazená v hraničních umístěních sítě Azure po celém světě. Webové aplikace s podporou WAF kontrolují všechny příchozí požadavky doručované službou Azure Front Door na hraničních zařízeních sítě.

WAF zabraňuje škodlivým útokům blízko zdrojům útoků, než vstoupí do vaší virtuální sítě. Globální ochranu získáte ve velkém měřítku bez obětování výkonu. Zásady WAF snadno pro propojení s libovolným profilem služby Azure Front Door ve vašem předplatném. Nová pravidla je možné nasadit během několika minut, takže můžete rychle reagovat na měnící se vzory hrozeb.

Screenshot that shows Azure Web Application Firewall.

Poznámka:

U webových úloh důrazně doporučujeme využívat ochranu Před útoky DDoS Azure a bránu firewall webových aplikací k ochraně před vznikajícími útoky DDoS. Další možností je použít Službu Azure Front Door spolu s firewallem webových aplikací. Azure Front Door nabízí ochranu na úrovni platformy před útoky DDoS na úrovni sítě. Další informace najdete v tématu Standardní hodnoty zabezpečení pro služby Azure.

Azure Front Door má dvě úrovně:

  • Standard
  • Premium

Azure Web Application Firewall je nativně integrovaný se službou Azure Front Door Premium s úplnými možnostmi. Pro Azure Front Door Standard se podporují jenom vlastní pravidla .

Ochrana

Azure Web Application Firewall chrání vaše:

  • Webové aplikace z ohrožení zabezpečení webu a útoků bez úprav back-endového kódu.
  • Webové aplikace od škodlivých robotů se sadou pravidel reputace IP adres
  • Aplikace proti útokům DDoS. Další informace najdete v tématu Ochrana před útoky DDoS aplikace.

Zásady a pravidla WAF

Můžete nakonfigurovat zásady WAF a tyto zásady přidružit k jedné nebo více doménám služby Azure Front Door pro ochranu. Zásady WAF se skládají ze dvou typů pravidel zabezpečení:

  • Vlastní pravidla, která zákazník vytvořil.
  • Spravované sady pravidel, které jsou kolekcí předkonfigurovaných sad pravidel spravovaných azure.

Pokud existují obě, vlastní pravidla se zpracovávají před zpracováním pravidel ve spravované sadě pravidel. Pravidlo se skládá z podmínky shody, priority a akce. Podporované typy akcí jsou ALLOW, BLOCK, LOG a REDIRECT. Pomocí kombinace spravovaných a vlastních pravidel můžete vytvořit plně přizpůsobené zásady, které vyhovují vašim konkrétním požadavkům na ochranu aplikací.

Pravidla v rámci zásady se zpracovávají v pořadí priority. Priorita je jedinečné celé číslo, které definuje pořadí pravidel, která se mají zpracovat. Menší celočíselná hodnota označuje vyšší prioritu a tato pravidla se vyhodnocují před pravidly s vyšší celočíselnou hodnotou. Po porovnání pravidla se na požadavek použije odpovídající akce definovaná v pravidle. Po zpracování takové shody se pravidla s nižšími prioritami nezpracují dál.

Webová aplikace poskytovaná službou Azure Front Door může mít současně přidruženou jenom jednu zásadu WAF. Můžete ale mít konfiguraci služby Azure Front Door bez přidružených zásad WAF. Pokud existují zásady WAF, replikují se do všech hraničních umístění, aby se zajistily konzistentní zásady zabezpečení po celém světě.

Režimy WAF

Zásady WAF můžete nakonfigurovat tak, aby běžely ve dvou režimech:

  • Detekce: Když se WAF spustí v režimu detekce, monitoruje a protokoluje pouze požadavek a odpovídající pravidlo WAF do protokolů WAF. Neprovádí žádné další akce. Diagnostiku protokolování pro Službu Azure Front Door můžete zapnout. Když používáte portál, přejděte do části Diagnostika .
  • Prevence: V režimu prevence provede WAF zadanou akci, pokud požadavek odpovídá pravidlu. Pokud se najde shoda, nevyhodnotí se žádná další pravidla s nižší prioritou. Všechny odpovídající požadavky se také protokolují v protokolech WAF.

Akce WAF

Zákazníci WAF se můžou rozhodnout spustit z jedné z akcí, když požadavek odpovídá podmínkám pravidla:

  • Povolit: Požadavek projde přes WAF a předá se do zdroje. Tato žádost nemůže blokovat žádná další pravidla s nižší prioritou.
  • Blok: Požadavek je zablokovaný a WAF odešle klientovi odpověď, aniž by požadavek přeposlal do zdroje.
  • Protokol: Požadavek se zaprotokoluje v protokolech WAF a WAF nadále vyhodnocuje pravidla s nižší prioritou.
  • Přesměrování: WAF přesměruje požadavek na zadaný identifikátor URI. Zadaný identifikátor URI je nastavení na úrovni zásad. Po konfiguraci se na tento identifikátor URI odešlou všechny požadavky, které odpovídají akci Přesměrování .
  • Skóre anomálií: Celkové skóre anomálií se při porovnávání pravidla s touto akcí přírůstkově zvýší. Tato výchozí akce je určená pro výchozí sadu pravidel 2.0 nebo novější. Nejde použít pro sadu pravidel Správce robota.

Pravidla WAF

Zásady WAF se můžou skládat ze dvou typů pravidel zabezpečení:

  • Vlastní pravidla authored by the customer and managed rule sets
  • Předkonfigurované sady pravidel spravovaných Azure

Vlastní pravidla

Ke konfiguraci vlastních pravidel pro WAF použijte následující ovládací prvky:

  • Seznam povolených IP adres a seznam blokovaných adres: Přístup k webovým aplikacím můžete řídit na základě seznamu IP adres klienta nebo rozsahů IP adres. Podporují se typy adres IPv4 i IPv6. Tento seznam lze nakonfigurovat tak, aby blokoval nebo povoloval žádosti, ve kterých zdrojová IP adresa odpovídá IP adrese v seznamu.
  • Geografické řízení přístupu: Přístup k webovým aplikacím můžete řídit na základě kódu země přidruženého k IP adrese klienta.
  • Řízení přístupu na základě parametrů HTTP: Pravidla můžete založit na shodách řetězců v parametrech požadavku HTTP/HTTPS. Mezi příklady patří řetězce dotazů, metody POST args, identifikátor URI požadavku, hlavička požadavku a text požadavku.
  • Řízení přístupu na základě metody požadavku: Pravidla se zakládají na metodě požadavku HTTP požadavku. Mezi příklady patří GET, PUT nebo HEAD.
  • Omezení velikosti: Pravidla můžete založit na délkách konkrétních částí požadavku, jako je řetězec dotazu, identifikátor URI nebo text požadavku.
  • Pravidla omezování rychlosti: Omezení rychlosti omezuje neobvykle vysoký provoz z jakékoli IP adresy klienta. Můžete nakonfigurovat prahovou hodnotu počtu webových požadavků povolených z IP adresy klienta během jedné minuty. Toto pravidlo se liší od vlastního pravidla povolení nebo blokování založeného na seznamu IP adres, které buď povoluje všechny požadavky, nebo blokuje všechny požadavky z IP adresy klienta. Omezení rychlosti se dají kombinovat s jinými podmínkami shody, jako jsou například parametry HTTP(S) pro podrobné řízení rychlosti.

Sady pravidel spravovaných v Azure

Sady pravidel spravovaných Azure poskytují snadný způsob, jak nasadit ochranu před běžnou sadou bezpečnostních hrozeb. Vzhledem k tomu, že Azure tyto sady pravidel spravuje, pravidla se aktualizují podle potřeby, aby se chránila před novými podpisy útoků. Výchozí sada pravidel spravovaná v Azure obsahuje pravidla pro následující kategorie hrozeb:

  • Skriptování mezi weby
  • Útoky v Javě
  • Zahrnutí místních souborů
  • Útoky prostřednictvím injektáže PHP
  • Vzdálené spuštění příkazu
  • Zahrnutí vzdálených souborů
  • Fixace relace
  • Ochrana před útoky prostřednictvím injektáže SQL.
  • Útoky na protokol

Vlastní pravidla se vždy použijí před vyhodnocením pravidel ve výchozí sadě pravidel. Pokud požadavek odpovídá vlastnímu pravidlu, použije se odpovídající akce pravidla. Požadavek se buď zablokuje, nebo se předává do back-endu. Nezpracují se žádná jiná vlastní pravidla ani pravidla ve výchozí sadě pravidel. Výchozí sadu pravidel můžete také odebrat ze zásad WAF.

Další informace najdete v tématu Výchozí skupiny pravidel a pravidla firewallu webových aplikací.

Sada pravidel ochrany robota

Můžete povolit sadu pravidel ochrany spravovaného robota, která bude provádět vlastní akce s požadavky ze známých kategorií robotů.

Podporují se tři kategorie robotů:

  • Špatné: Chybní roboti zahrnují roboty ze škodlivých IP adres a robotů, kteří zfalšovali své identity. Škodlivé IP adresy jsou získány z informačního kanálu Microsoft Threat Intelligence a aktualizují se každou hodinu. Intelligent Security Graph využívá analýzu hrozeb Microsoftu a používá ji několik služeb, včetně Microsoft Defenderu pro cloud.
  • Dobré: Mezi vhodné roboty patří ověřené vyhledávací weby.
  • Neznámé: Neznámé roboty zahrnují další skupiny robotů, které se identifikovaly jako roboti. Mezi příklady patří analyzátory trhu, nástroje pro načítání informačních kanálů a agenti shromažďování dat. Neznámé roboty se klasifikují prostřednictvím publikovaných uživatelských agentů bez jakéhokoli jiného ověření.

Platforma WAF spravuje a dynamicky aktualizuje podpisy robotů. Můžete vytvořit vlastní akce, aby blokovaly, povolovaly, protokolovaly nebo přesměrovávaly různé typy robotů.

Screenshot that shows a bot protection rule set.

Pokud je povolená ochrana robota, zaprotokolují se příchozí požadavky odpovídající pravidlu robota. Přístup k protokolům WAF můžete získat z účtu úložiště, centra událostí nebo Log Analytics. Další informace o tom, jak WAF protokoluje požadavky, najdete v tématu Monitorování a protokolování firewallu webových aplikací Azure.

Konfigurace

Všechny zásady WAF můžete nakonfigurovat a nasadit pomocí webu Azure Portal, rozhraní REST API, šablon Azure Resource Manageru a Azure PowerShellu. Pomocí integrace firewall Manageru můžete také nakonfigurovat a spravovat zásady Azure WAF ve velkém měřítku. Další informace najdete v tématu Použití Azure Firewall Manageru ke správě zásad firewallu webových aplikací Azure.

Sledování

Monitorování WAF ve službě Azure Front Door je integrované se službou Azure Monitor za účelem sledování výstrah a snadného monitorování trendů provozu. Další informace najdete v tématu Monitorování a protokolování služby Azure Web Application Firewall.

Další kroky