Co je Azure Web Application Firewall v Azure Application Gateway?

  • Článek
  • 8 min ke čtení

Azure Web Application Firewall (WAF) na Azure Application Gateway poskytuje centralizovanou ochranu webových aplikací před běžným zneužitím a ohrožením zabezpečení. Na webové aplikace stále častěji cílí škodlivé útoky, které zneužívají běžně známá ohrožení zabezpečení. SQL injektáže a skriptování mezi weby patří mezi nejběžnější útoky.

WAF ve službě Application Gateway je založený na core rule set (CRS) 3.1, 3.0 nebo 2.2.9 z OWASP (Open Web Application Security Project).

Všechny níže uvedené funkce WAF existují uvnitř zásad WAF. Můžete vytvořit více zásad, které mohou být přidruženy k Application Gateway, jednotlivým naslouchaným serverům nebo pravidlům směrování na základě cesty na Application Gateway. Tímto způsobem můžete mít samostatné zásady pro každý web za vaším Application Gateway případě potřeby. Další informace o zásadách WAF najdete v tématu Vytvoření zásad WAF.

Application Gateway diagram WAF

Application Gateway funguje jako kontroler doručování aplikací (ADC). Nabízí protokol TLS (Transport Layer Security), dříve označované jako protokol SSL (Secure Sockets Layer) (SSL), ukončení, spřažení relací na základě souborů cookie, distribuci zatížení pomocí kruhového dotazování, směrování na základě obsahu, možnost hostování více webů a vylepšení zabezpečení.

Application Gateway zabezpečení zahrnují správu zásad PROTOKOLU TLS a podporu koncového šifrování TLS. Zabezpečení aplikací je posílené integrací WAF do Application Gateway. Tato kombinace chrání vaše webové aplikace před běžnými ohroženími zabezpečení. Poskytuje také snadno konfigurovaté centrální umístění pro správu.

Výhody

Tato část popisuje základní výhody, které WAF na Application Gateway poskytuje.

Ochrana

  • Chraňte své webové aplikace před webovými chybami zabezpečení a útoky beze změny back-endového kódu.

  • Ochrana více webových aplikací současně Instance služby Application Gateway hostovat až 40 webů chráněných firewallem webových aplikací.

  • Vytvoření vlastních zásad WAF pro různé weby za stejným WAF

  • Ochrana webových aplikací před škodlivými roboty pomocí sady pravidel reputace IP adres

Monitorování

  • Monitorujte útoky na webové aplikace pomocí protokolu WAF v reálném čase. Protokol je integrovaný s integrovaným Azure Monitor sledování upozornění WAF a snadné monitorování trendů.

  • Waf Application Gateway integrovaný s Microsoft Defenderem for Cloud. Defender for Cloud poskytuje centrální přehled o stavu zabezpečení všech vašich prostředků Azure, hybridních a multicloudových prostředků.

Přizpůsobení

  • Přizpůsobte pravidla a skupiny pravidel WAF tak, aby vyhovovaly požadavkům vaší aplikace, a eliminujte falešně pozitivní výsledky.

  • Přidružení zásad WAF pro každou lokalitu za WAF, aby bylo možné povolit konfiguraci specifickou pro web

  • Vytvoření vlastních pravidel tak, aby vyhovovala potřebám vaší aplikace

Funkce

  • SQL injektáží.
  • Ochrana skriptování mezi weby.
  • Ochrana před jinými běžnými webovými útoky, jako je injektáž příkazů, napadení požadavků HTTP, rozdělování odpovědí HTTP a zahrnutí vzdálených souborů.
  • Ochrana před porušením protokolu HTTP.
  • Ochrana před anomáliemi protokolu HTTP, jako je například chybějící uživatelský agent hostitele a hlavičky Accept.
  • Ochrana před prohledávacími a skenery.
  • Detekce běžných chyb konfigurace aplikací (například Apache a IIS)
  • Konfigurovatelné limity velikosti požadavků s dolní a horní mezí
  • Seznamy vyloučení umožňují vynechat určité atributy požadavku z vyhodnocení WAF. Běžným příkladem jsou tokeny vložené službou Active Directory, které se používají pro pole ověřování nebo hesla.
  • Vytvářejte vlastní pravidla tak, aby vyhovovala konkrétním potřebám vašich aplikací.
  • Geograficky filtrovat provoz, aby určité země nebo oblasti mohly získat přístup k vašim aplikacím.
  • Chraňte své aplikace před roboty pomocí sady pravidel omezení rizik robotů.
  • Kontrola JSON a XML v textu požadavku

Zásady a pravidla WAF

Pokud chcete povolit Web Application Firewall Application Gateway, musíte vytvořit zásadu WAF. V této zásadách existují všechna spravovaná pravidla, vlastní pravidla, vyloučení a další přizpůsobení, jako je limit pro nahrávání souborů.

Můžete nakonfigurovat zásady WAF a přidružit je k jedné nebo více aplikačním branám pro zajištění ochrany. Zásady WAF se skládají ze dvou typů pravidel zabezpečení:

  • Vlastní pravidla, která vytvoříte

  • Spravované sady pravidel, které jsou kolekcí předkonfigurovaných sad pravidel spravovaných Azure

Pokud jsou k dispozici obě, vlastní pravidla se zpracují před zpracováním pravidel ve spravované sadě pravidel. Pravidlo je tvořeno podmínkou shody, prioritou a akcí. Podporované typy akcí: ALLOW, BLOCK a LOG. Kombinací spravovaných a vlastních pravidel můžete vytvořit plně přizpůsobené zásady, které splňují vaše konkrétní požadavky na ochranu aplikací.

Pravidla v rámci zásad se zpracovávají v pořadí podle priority. Priorita je jedinečné celé číslo, které definuje pořadí pravidel ke zpracování. Menší celočíselná hodnota označuje vyšší prioritu a tato pravidla se vyhodnocují před pravidly s vyšší celočíselnou hodnotou. Po spárování pravidla se na požadavek použije odpovídající akce definovaná v pravidle. Po zpracování takové shody se pravidla s nižší prioritou dále nezpracují.

Webová aplikace doručená službou Application Gateway může mít přidruženou zásadu WAF na globální úrovni, na úrovni pro každý web nebo na úrovni identifikátoru URI.

Základní sady pravidel

Application Gateway podporuje tři sady pravidel: CRS 3.1, CRS 3.0 a CRS 2.2.9. Tato pravidla chrání vaše webové aplikace před škodlivou aktivitou.

Další informace najdete v tématu Skupiny pravidel CRS a pravidla Firewallu webových aplikací.

Vlastní pravidla

Application Gateway podporuje také vlastní pravidla. S vlastními pravidly můžete vytvořit vlastní pravidla, která se vyhodnocují pro každý požadavek, který prochází waf. Tato pravidla mají vyšší prioritu než ostatní pravidla ve spravovaných sadách pravidel. Pokud je splněna sada podmínek, je přijata akce, která povolí nebo zablokuje.

Operátor geomatche je teď k dispozici pro vlastní pravidla. Další informace najdete v tématu o vlastních pravidlech geografické blízkosti.

Další informace o vlastních pravidlech najdete v tématu Vlastní pravidla pro Application Gateway.

Omezení rizik robotů

Pro WAF je možné povolit spravovanou sadu pravidel ochrany před roboty, která může blokovat nebo protokolovat žádosti ze známých škodlivých IP adres společně se spravovanou sadu pravidel. Zdrojem těchto IP adres je kanál analýzy hrozeb Microsoftu. Inteligentní zabezpečení Graph je využíváno inteligentním řízením hrozeb Microsoftu a používá ho několik služeb, včetně Microsoft Defenderu for Cloud.

Pokud je povolená služba Bot Protection, příchozí požadavky, které odpovídají IP adresy klienta robota se zlými úmysly, se zaprotokolují do protokolu brány firewall. Další informace najdete níže. K protokolům WAF máte přístup z účtu úložiště, centra událostí nebo analytiky protokolů.

Režimy WAF

Waf Application Gateway nakonfigurovat tak, aby se spouštěl v následujících dvou režimech:

  • Režim detekce: Monitoruje a protokoluje všechna upozornění na hrozby. Diagnostiku protokolování pro uživatele Application Gateway v části Diagnostika. Musíte se také ujistit, že je vybraný a zapnutý protokol WAF. Firewall webových aplikací neblokuje příchozí požadavky, pokud se provozují v režimu detekce.
  • Režim prevence: Blokuje vniknutí a útoky, které pravidla detekují. Útočník obdrží výjimku "403 Neautorizovaný přístup" a připojení se zavře. Režim prevence zaznamenává tyto útoky do protokolů WAF.

Poznámka

V produkčním prostředí doporučujeme krátce spustit nově nasazený WAF v režimu detekce. To poskytuje možnost získat protokoly brány firewall a před přechodem do režimu prevence aktualizovat všechny výjimky nebo vlastní pravidla. To může pomoct omezit výskyt neočekávaného blokovaného provozu.

Režim bodování anomálií

OWASP má dva režimy pro rozhodování, jestli blokovat provoz: tradiční režim a režim bodování anomálií.

V tradičním režimu se provoz, který odpovídá libovolnému pravidlu, považuje za nezávisle na všech ostatních shodách pravidel. Tento režim je snadno pochopitelné. Nedostatek informací o tom, kolik pravidel odpovídá konkrétnímu požadavku, je ale omezení. Proto jsme zavedli režim bodování anomálií. Jedná se o výchozí nastavení pro OWASP 3. x.

V režimu bodování anomálií se provoz, který odpovídá žádnému pravidlu, neblokuje okamžitě, když je brána firewall v režimu prevence. Pravidla mají určitou závažnost: Kritické, Chyba, Upozornění nebo Oznámení. Tato závažnost má vliv na číselnou hodnotu požadavku, která se nazývá skóre anomálií. Například jedna shoda pravidla upozornění přispívá ke skóre 3. Jedna shoda kritického pravidla přispívá 5.

Závažnost Hodnota
Kritické 5
Chyba 4
Upozornění 3
Oznámení 2

Existuje prahová hodnota 5 pro skóre anomálií pro blokování provozu. Takže jedna shoda s kritickým pravidlem je natolik důležitá, že Application Gateway WAF zablokuje požadavek, a to i v režimu prevence. Jedna shoda pravidla upozornění ale zvýší skóre anomálií pouze o 3, což samo o sobě nestačí k blokování provozu.

Poznámka

Zpráva, která se zaprotokoluje, když pravidlo WAF odpovídá provozu, obsahuje hodnotu akce Blokováno. Provoz je ale ve skutečnosti blokovaný pouze pro skóre anomálií 5 nebo vyšší. Další informace najdete v tématu Řešení potíží Web Application Firewall (WAF) pro Azure Application Gateway.

Monitorování WAF

Monitorování stavu službu Application Gateway je velmi důležité. Monitorování stavu WAF a aplikací, které chrání, je podporováno integrací se službou Microsoft Defender for Cloud, Azure Monitor a Azure Monitor protokolů.

Diagram Application Gateway WAF

Azure Monitor

Application Gateway protokoly jsou integrované s Azure Monitor. To vám umožní sledovat diagnostické informace, včetně výstrah a protokolů WAF. K této funkci můžete přistupovat na kartě Diagnostika v Application Gateway na portálu nebo přímo prostřednictvím Azure Monitor. Další informace o povolení protokolů najdete v tématu Application Gateway diagnostice.

Microsoft Defender for Cloud

Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně. Poskytuje lepší přehled o zabezpečení vašich prostředků Azure a kontrolu nad jejich zabezpečením. Application Gateway je integrovaná se službou Defender for Cloud. Defender for Cloud prohledává vaše prostředí a zjišťuje nechráněné webové aplikace. K ochraně těchto ohrožených Application Gateway může doporučit waf. Brány firewall vytváříte přímo z Defenderu for Cloud. Tyto instance WAF jsou integrované se službou Defender for Cloud. Za účely vytváření sestav odesílat výstrahy a informace o stavu do služby Defender for Cloud.

Okno přehledu služby Defender for Cloud

Microsoft Sentinel

Microsoft Sentinel je škálovatelné řešení pro správu akcí informací o zabezpečení (SIEM) a orchestraci zabezpečení (SOAR) nativní pro cloud. Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v rámci celého podniku a poskytuje jediné řešení pro detekci výstrah, viditelnost hrozeb, proaktivní vyhledávání a reakci na hrozby.

Pomocí integrovaného sešitu událostí brány firewall Azure WAF můžete získat přehled o událostech zabezpečení ve waf. To zahrnuje události, odpovídající a blokovaná pravidla a všechno ostatní, co se zaprotokoluje do protokolů brány firewall. Další informace o protokolování najdete níže.

Sešit událostí brány firewall Azure WAF

Azure Monitor Workbook for WAF

Tento sešit umožňuje vlastní vizualizaci událostí WAF relevantních pro zabezpečení na několika filtrovatelných panelech. Funguje se všemi typy WAF, včetně Application Gateway, Front Door a CDN, a je možné ho filtrovat podle typu WAF nebo konkrétní instance WAF. Importujte prostřednictvím šablony ARM nebo šablony galerie. Pokud chcete tento sešit nasadit, podívejte se na sešit WAF.

protokolování

Application Gateway WAF poskytuje podrobné hlášení o každé hrozbě, kterou detekuje. Protokolování je integrované s Azure Diagnostics protokoly. Výstrahy se zaznamenávají ve formátu .json. Tyto protokoly je možné integrovat s Azure Monitor protokoly.

Application Gateway okna diagnostických protokolů

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Ceny SKU WAF služby Application Gateway

Cenové modely se pro skladové WAF_v1 a WAF_v2 liší. Další informace najdete Application Gateway stránce s cenami služby.

Novinky

Pokud se chcete dozvědět, co je nového v Azure Web Application Firewall, přečtěte si o aktualizacích Azure.

Další kroky