Azure Web Application Firewall na Azure Front Door

  • Článek
  • 6 min ke čtení

Azure Web Application Firewall (WAF) na Azure Front Door poskytuje centralizovanou ochranu pro vaše webové aplikace. WAF chrání vaše webové služby před běžným zneužitím a ohrožením zabezpečení. Udržuje vaši službu vysoce dostupnou pro vaše uživatele a pomáhá splňovat požadavky na dodržování předpisů.

WAF on Front Door je globální a centralizované řešení. Je nasazená v hraničních umístěních sítě Azure po celém světě. Webové aplikace s podporou WAF prověří všechny příchozí požadavky doručené Front Door na hranici sítě.

WAF zabraňuje škodlivým útokům blízko zdrojům útoků před tím, než vstoupí do vaší virtuální sítě. Získáte globální ochranu ve velkém měřítku bez snížení výkonu. Zásada WAF snadno odkazuje na jakýkoli Front Door profilu ve vašem předplatném. Nová pravidla je možné nasadit během několika minut, abyste mohli rychle reagovat na měnící se vzory hrozeb.

Firewall webových aplikací Azure

Azure Front Door verzi Preview zavádí dvěnové SKU: Front Door Standard a Front Door Premium SKU. WAF je nativně integrovaný s Front Door Premium SKU s úplnými možnostmi. Pro Front Door SKU Standard se podporují pouze vlastní pravidla.

Zásady a pravidla WAF

Můžete nakonfigurovat zásady WAF a přidružit je k jedné nebo více Front Door front-endsů pro ochranu. Zásady WAF se skládají ze dvou typů pravidel zabezpečení:

  • vlastní pravidla, která jsou autorem zákazníka.

  • spravované sady pravidel, které jsou kolekcí předkonfigurovaných sad pravidel spravovaných Azure.

Pokud jsou k dispozici obě, vlastní pravidla se zpracují před zpracováním pravidel ve spravované sadě pravidel. Pravidlo je tvořeno podmínkou shody, prioritou a akcí. Podporované typy akcí: ALLOW, BLOCK, LOG a REDIRECT. Kombinací spravovaných a vlastních pravidel můžete vytvořit plně přizpůsobené zásady, které splňují vaše konkrétní požadavky na ochranu aplikací.

Pravidla v rámci zásad se zpracovávají v pořadí podle priority. Priorita je jedinečné celé číslo, které definuje pořadí pravidel ke zpracování. Menší celočíselná hodnota označuje vyšší prioritu a tato pravidla se vyhodnocují před pravidly s vyšší celočíselnou hodnotou. Po spárování pravidla se na požadavek použije odpovídající akce definovaná v pravidle. Po zpracování takové shody se pravidla s nižší prioritou dále nezpracují.

Webová aplikace doručená službou Front Door může mít současně přidruženou pouze jednu zásadu WAF. Můžete ale mít konfiguraci Front Door bez přidružených zásad WAF. Pokud jsou k dispozici zásady WAF, replikují se do všech našich hraničních umístění, aby se zajistily konzistentní zásady zabezpečení po celém světě.

Režimy WAF

Zásady WAF je možné nakonfigurovat tak, aby se spouštěl v následujících dvou režimech:

  • Režim detekce: Při spuštění v režimu detekce WAF nebude provádět žádné jiné akce než monitorování a zaznamená požadavek a odpovídající pravidlo WAF do protokolů WAF. Můžete zapnout diagnostiku protokolování pro Front Door. Když používáte portál, přejděte do části Diagnostika.

  • Režim prevence: V režimu prevence WAF provede zadanou akci, pokud požadavek odpovídá pravidlu. Pokud je nalezena shoda, nevyhodnocují se žádná další pravidla s nižší prioritou. Všechny odpovídající požadavky se také protokoluje v protokolech WAF.

Akce WAF

Zákazníci WAF se mohou rozhodnout spustit z jedné z akcí, když požadavek splňuje podmínky pravidla:

  • Povolit: Požadavek prochází přes WAF a předává se do back-endu. Tento požadavek nemůže blokovat žádná další pravidla s nižší prioritou.
  • Blokovat: Požadavek je blokovaný a WAF odešle klientovi odpověď bez předání požadavku do back-endu.
  • Protokol: Požadavek se protokoluje v protokolech WAF a WAF dál vyhodnocuje pravidla s nižší prioritou.
  • Přesměrování: WAF přesměruje požadavek na zadaný identifikátor URI. Zadaný identifikátor URI je nastavení na úrovni zásad. Po nakonfigurování se všechny požadavky, které odpovídají akci Přesměrování, budou na tento identifikátor URI odeslány.

Pravidla WAF

Zásady WAF se mohou skládat ze dvou typů pravidel zabezpečení – vlastních pravidel, autorů zákazníka a spravovaných sad pravidel, předem nakonfigurovaných pravidel spravovaných Azure.

Vlastní pravidla pro vytváření

Waf s vlastními pravidly můžete nakonfigurovat následujícím způsobem:

  • Seznam povolení IP adres a seznam blokování: Přístup k webovým aplikacím můžete řídit na základě seznamu IP adres klienta nebo rozsahů IP adres. Podporují se typy adres IPv4 i IPv6. Tento seznam lze nakonfigurovat tak, aby buď blokoval, nebo povoloval požadavky, u kterých zdrojová IP adresa odpovídá IP adrese v seznamu.

  • Geografické řízení přístupu: Přístup k webovým aplikacím můžete řídit na základě kódu země přidruženého k IP adrese klienta.

  • Řízení přístupu na základě parametrů HTTP: Pravidla můžete založit na shodách řetězců v parametrech požadavku HTTP/HTTPS. Například řetězce dotazů, argumenty POST, identifikátor URI požadavku, hlavičku požadavku a text požadavku.

  • Vyžádejte si řízení přístupu na základě metody: Pravidla se založit na metodě požadavku HTTP požadavku. Například GET, PUT nebo HEAD.

  • Omezení velikosti: Pravidla můžete založit na délkách konkrétních částí požadavku, jako je řetězec dotazu, identifikátor URI nebo text požadavku.

  • Pravidla omezování rychlosti: Pravidlo řízení rychlosti omezuje abnormálně vysoký provoz z jakékoli IP adresy klienta. Můžete nakonfigurovat prahovou hodnotu počtu webových požadavků povolených z IP adresy klienta během jedné minuty. Toto pravidlo se liší od vlastního pravidla povolení/blokování založeného na seznamu IP adres, které povoluje všechny nebo blokuje všechny požadavky z IP adresy klienta. Omezení přenosové rychlosti je možné kombinovat s dalšími podmínkami shody, jako jsou shody parametrů HTTP(S) pro podrobnou kontrolu rychlosti.

Sady pravidel spravované Azure

Sady pravidel spravované Azure poskytují snadný způsob, jak nasadit ochranu před běžnou sadou bezpečnostních hrozeb. Vzhledem k tomu, že tyto sady pravidel spravuje Azure, pravidla se aktualizují podle potřeby, aby se chránila před novými podpisy útoku. Výchozí sada pravidel spravovaná Azure zahrnuje pravidla pro následující kategorie hrozeb:

  • Skriptování mezi weby
  • Útoky v Javě
  • Zahrnutí místních souborů
  • Útoky injektáží PHP
  • Vzdálené spuštění příkazu
  • Zahrnutí vzdáleného souboru
  • Oprava relace
  • Ochrana před útoky prostřednictvím injektáže SQL.
  • Útočníci protokolu

Vlastní pravidla se vždy použijí před vyhodnocením pravidel ve výchozí sadě pravidel. Pokud požadavek odpovídá vlastnímu pravidlu, použije se odpovídající akce pravidla. Požadavek se zablokuje nebo předá back-endu. Žádná další vlastní pravidla ani pravidla ve výchozí sadě pravidel se zpracují. Výchozí sadu pravidel můžete ze zásad WAF také odebrat.

Další informace najdete v tématu Web Application Firewall a pravidla DRS.

Sada pravidel ochrany před roboty (Preview)

Můžete povolit spravovanou sadu pravidel ochrany robotů a provádět vlastní akce s požadavky ze známých kategorií robotů.

Podporují se tři kategorie robotů: Bad (Chybný), Good (Dobrý) a Unknown (Neznámý). Podpisy robotů se spravují a dynamicky aktualizují platformou WAF.

Mezi špatné roboty patří roboti ze škodlivých IP adres a roboti, kteří falšovali své identity. Škodlivé IP adresy jsou zdrojem z informačního kanálu Microsoft Threat Intelligence a aktualizují se každou hodinu. Inteligentní zabezpečení Graph je využíváno službou Microsoft Threat Intelligence a používá je několik služeb, včetně služby Microsoft Defender for Cloud.

Mezi vhodné roboty patří ověřené vyhledávací moduly. Neznámé kategorie zahrnují další skupiny robotů, které se identifikovaly jako roboti. Například analyzátor trhu, načítače informačních kanálů a agenti shromažďování dat.

Neznámí roboti se klasifikují prostřednictvím publikovaných uživatelských agentů bez dalšího ověření. Můžete nastavit vlastní akce pro blokování, povolení, protokolování nebo přesměrování pro různé typy robotů.

Sada pravidel ochrany před roboty

Důležité

Sada pravidel ochrany před roboty je aktuálně ve verzi Public Preview a poskytuje se se smlouvou o úrovni služeb ve verzi Preview. Některé funkce nemusí být podporované nebo můžou mít omezené možnosti. Podrobnosti najdete v dodatečných podmínkách použití systémů Microsoft Azure Preview.

Pokud je povolená ochrana robota, příchozí požadavky, které odpovídají pravidlům robota, se zaprotokolují v protokolu FrontdoorWebApplicationFirewallLog. K protokolům WAF máte přístup z účtu úložiště, centra událostí nebo analytiky protokolů.

Konfigurace

Všechny typy pravidel WAF můžete konfigurovat a nasazovat pomocí Azure Portal, rozhraní REST API, Azure Resource Manager šablon a Azure PowerShell.

Monitorování

Monitorování WAF na úrovni Front Door integrované s Azure Monitor sledování výstrah a snadného monitorování trendů provozu.

Další kroky