Azure Web Application Firewall a Azure Policy

  • Článek

Azure Web Application Firewall (WAF) v kombinaci s Azure Policy může pomoct vynucovat standardy organizace a vyhodnocovat dodržování předpisů ve velkém pro prostředky WAF. Azure Policy je nástroj zásad správného řízení, který poskytuje agregované zobrazení pro vyhodnocení celkového stavu prostředí s možností přejít k podrobnostem podle jednotlivých prostředků a zásad. Azure Policy také pomáhá zajistit dodržování předpisů pro vaše prostředky prostřednictvím hromadné nápravy stávajících prostředků a automatické nápravy nových prostředků.

Azure Policy pro Web Application Firewall

Existuje několik předdefinovaných definic Azure Policy pro správu prostředků WAF. Rozpis definic zásad a jejich funkcí je následující:

Povolení Web Application Firewall (WAF)

  • Pro vstupní body služby Azure Front Door by měla být povolená služba Azure Web Application Firewall: Služba Azure Front Door Services se vyhodnocuje, jestli je k dispozici WAF, nebo ne. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, když služba Azure Front Door Service nemá WAF, a umožňuje uživatelům zjistit, co služba Azure Front Door Service nedodržuje. Odepření zabrání vytvoření jakékoli služby Azure Front Door Service, pokud není připojený WAF. Zakázáno vypne přiřazení zásad.

  • Web Application Firewall (WAF) by měla být povolená pro Application Gateway: Application Gateway se vyhodnocují, pokud je při vytváření prostředku k dispozici WAF. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, kdy Application Gateway nemá WAF, a umožňuje uživatelům zjistit, co Application Gateway nevyhovuje. Odepření brání vytvoření Application Gateway, pokud není připojený WAF. Zakázáno vypne přiřazení zásad.

Režim detekce nebo prevence mandátu

  • Web Application Firewall (WAF) by měl používat určený režim pro službu Azure Front Door Service: Vyžaduje, aby byl režim detekce nebo prevence aktivní ve všech zásadách Web Application Firewall pro službu Azure Front Door Service. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, když se waf nevejde do zadaného režimu. Odepření zabrání vytvoření waf, pokud není ve správném režimu. Zakázáno vypne přiřazení zásad.

  • Web Application Firewall (WAF) by měl používat určený režim pro Application Gateway: Vyžaduje, aby byl režim detekce nebo prevence aktivní ve všech zásadách Web Application Firewall pro Application Gateway. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, když se waf nevejde do zadaného režimu. Odepření zabrání vytvoření waf, pokud není ve správném režimu. Zakázáno vypne přiřazení zásad.

Vyžadovat kontrolu požadavku

  • Azure Web Application Firewall ve službě Azure Front Door by měla mít povolenou kontrolu textu požadavku: Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Front Door mají povolenou kontrolu textu požadavku. Tato funkce umožňuje WAF kontrolovat vlastnosti v textu HTTP, které nemusí být vyhodnoceny v hlavičce HTTP, soubory cookie nebo identifikátoru URI.

  • Služba Azure Web Application Firewall na Azure Application Gateway by měla mít povolenou kontrolu textu požadavku: Ujistěte se, že brány firewall webových aplikací přidružené ke službě Aplikace Azure Gateway mají povolenou kontrolu textu požadavku. Tato funkce umožňuje WAF kontrolovat vlastnosti v textu HTTP, které nemusí být vyhodnoceny v hlavičce HTTP, soubory cookie nebo identifikátoru URI.

Vyžadovat protokoly prostředků

  • Služba Azure Front Door by měla mít povolené protokoly prostředků: Vyžaduje povolení protokolů prostředků a metrik v klasické službě Azure Front Door, včetně WAF. Definice zásady má dva účinky: AuditIfNotExists a Disable. AuditIfNotExists sleduje, když služba Front Door nemá povolené protokoly prostředků, metriky, a upozorní uživatele, že služba nedodržuje předpisy. Zakázáno vypne přiřazení zásad.

  • Služba Azure Front Door Standard nebo Premium (plus WAF) by měla mít povolené protokoly prostředků: Vyžaduje povolení protokolů prostředků a metrik ve službách Azure Front Door Standard a Premium, včetně WAF. Definice zásady má dva účinky: AuditIfNotExists a Disable. AuditIfNotExists sleduje, když služba Front Door nemá povolené protokoly prostředků, metriky, a upozorní uživatele, že služba nedodržuje předpisy. Zakázáno vypne přiřazení zásad.

  • Azure Application Gateway by měly mít povolené protokoly prostředků: Vyžaduje povolení protokolů prostředků a metrik ve všech branách Application Gateway, včetně WAF. Definice zásady má dva účinky: AuditIfNotExists a Disable. AuditIfNotExists sleduje, kdy Application Gateway nemá povolené protokoly prostředků, metriky, a upozorní uživatele, že Application Gateway nevyhovuje. Zakázáno vypne přiřazení zásad.

  • Profily Služby Azure Front Door by měly používat úroveň Premium, která podporuje spravovaná pravidla WAF a privátní propojení: Vyžaduje, aby všechny vaše profily služby Azure Front Door byly na úrovni Premium místo úrovně Standard. Azure Front Door Premium je optimalizovaný pro zabezpečení a poskytuje přístup k nejaktuálnějším sadám pravidel a funkcím WAF, jako je ochrana robotů.

  • Povolení pravidla omezení rychlosti pro ochranu před útoky DDoS ve WAF služby Azure Front Door: Omezení rychlosti může pomoct chránit vaši aplikaci před útoky DDoS. Pravidlo omezení rychlosti azure Web Application Firewall (WAF) pro Službu Azure Front Door pomáhá chránit před útoky DDoS tím, že řídí počet požadavků povolených z konkrétní IP adresy klienta na aplikaci během doby trvání omezení rychlosti.

  • Migrace WAF z konfigurace WAF na zásadu WAF na Application Gateway: Pokud používáte konfiguraci WAF místo zásad WAF, možná budete chtít přejít na nové zásady WAF. zásady Web Application Firewall (WAF) nabízejí bohatší sadu pokročilých funkcí v rámci konfigurace WAF, poskytují vyšší škálování, lepší výkon a na rozdíl od starší konfigurace WAF je možné zásady WAF definovat jednou a sdílet mezi více branami, naslouchacími procesy a cestami URL. Do budoucna budou nejnovější funkce a budoucí vylepšení k dispozici pouze prostřednictvím zásad WAF.

Vytvoření Azure Policy

  1. Na domovské stránce Azure na panelu hledání zadejte Policy a vyberte ikonu Azure Policy.

  2. Ve službě Azure Policy v části Vytváření obsahu vyberte Přiřazení.

Snímek obrazovky s kartou Zadání v rámci Azure Policy

  1. Na stránce Přiřazení vyberte ikonu Přiřadit zásadu v horní části.

Snímek obrazovky s kartou Základy na stránce Přiřadit zásadu

  1. Na kartě Základy stránky Přiřadit zásadu aktualizujte následující pole:
    1. Rozsah: Vyberte, na jaká předplatná Azure a skupiny prostředků se zásady vztahují.
    2. Vyloučení: Vyberte všechny prostředky z oboru, které chcete vyloučit z přiřazení zásad.
    3. Definice zásady: Vyberte definici zásady, která se má použít pro obor s vyloučeními. Do vyhledávacího panelu zadejte "Web Application Firewall" a zvolte relevantní Web Application Firewall Azure Policy.

Snímek obrazovky znázorňující kartu Definice zásad na stránce Dostupné definice

  1. Vyberte kartu Parametry a aktualizujte parametry přiřazení zásad. Pokud chcete podrobněji objasnit, co parametr dělá, najeďte myší na ikonu s informacemi vedle názvu parametru, abyste ho podrobněji objasnili.

  2. Pokud chcete dokončit přiřazení zásad, vyberte Zkontrolovat a vytvořit . Přiřazení zásad trvá přibližně 15 minut, než bude aktivní pro nové prostředky.