Firewall de aplicaciones web de Azure Application GatewayWeb application firewall for Azure Application Gateway

Azure Application Gateway ofrece un firewall de aplicaciones web (WAF) que brinda a las aplicaciones web una protección centralizada contra vulnerabilidades de seguridad comunes.Azure Application Gateway offers a web application firewall (WAF) that provides centralized protection of your web applications from common exploits and vulnerabilities. Las aplicaciones web son cada vez más el objetivo de ataques malintencionados que aprovechan vulnerabilidades habitualmente conocidas.Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities. Los scripts entre sitios y las inyecciones de código SQL están dentro de los ataques más comunes.SQL injection and cross-site scripting are among the most common attacks.

Evitar dichos ataques en el código de la aplicación es todo un desafío.Preventing such attacks in application code is challenging. Puede requerir un mantenimiento riguroso, revisión y supervisión en varias capas de la topología de la aplicación.It can require rigorous maintenance, patching, and monitoring at multiple layers of the application topology. Un firewall de aplicaciones web centralizado ayuda a simplificar muchísimo la administración de la seguridad.A centralized web application firewall helps make security management much simpler. Un WAF también proporciona a los administradores de la aplicación a un mejor control de la protección contra amenazas e intrusiones.A WAF also gives application administrators better assurance of protection against threats and intrusions.

Las soluciones de WAF pueden reaccionar más rápido ante una amenaza de la seguridad mediante la aplicación centralizada de revisiones que aborden una vulnerabilidad conocida, en lugar de proteger de manera individual cada aplicación web.A WAF solution can react to a security threat faster by centrally patching a known vulnerability, instead of securing each individual web application. Las puertas de enlace de aplicación existentes se pueden convertir fácilmente en puertas de enlace de aplicación habilitadas para firewall.Existing application gateways can easily be converted into fire wall-enabled application gateways.

El firewall de aplicaciones web de Application Gateway se basa en el conjunto de reglas básicas (CRS) 3.0 o 2.2.9 de OWASP (Open Web Application Security Project).The Application Gateway WAF is based on Core Rule Set (CRS) 3.0 or 2.2.9 from the Open Web Application Security Project (OWASP). El WAF se actualiza automáticamente para incluir protección frente a nuevas vulnerabilidades sin necesidad de configuración adicional.The WAF automatically updates to include protection against new vulnerabilities, with no additional configuration needed.

Diagrama de WAF de Application Gateway

Application Gateway funciona como un controlador de entrega de aplicaciones (ADC).Application Gateway operates as an application delivery controller (ADC). Ofrece terminación de la Capa de sockets seguros (SSL), afinidad de sesión basada en cookies, distribución de la carga en operaciones por turnos, enrutamiento basado en contenido, posibilidad de hospedar varios sitios y mejoras de seguridad.It offers Secure Sockets Layer (SSL) termination, cookie-based session affinity, round-robin load distribution, content-based routing, ability to host multiple websites, and security enhancements.

Las mejoras de seguridad de Application Gateway incluyen la administración de directivas SSL y la compatibilidad con SSL de extremo a extremo.Application Gateway security enhancements include SSL policy management and end-to-end SSL support. La integración de WAF con Application Gateway mejora la seguridad de las aplicaciones.Application security is strengthened by WAF integration into Application Gateway. La combinación protege las aplicaciones web ante las vulnerabilidades comunesThe combination protects your web applications against common vulnerabilities. y proporciona una ubicación central fácil de configurar que se va a administrar.And it provides an easy-to-configure central location to manage.

VentajasBenefits

En esta sección se describen las ventajas principales que Application Gateway y su WAF proporcionan.This section describes the core benefits that Application Gateway and its WAF provide.

ProtecciónProtection

  • Proteja las aplicaciones web contra las vulnerabilidades y los ataques web si modificación del código de back-end.Protect your web applications from web vulnerabilities and attacks without modification to back-end code.

  • Proteja varias aplicaciones web al mismo tiempo.Protect multiple web applications at the same time. Una instancia de Application Gateway puede hospedar hasta 100 sitios web protegidos por un firewall de aplicaciones web.An instance of Application Gateway can host of up to 100 websites that are protected by a web application firewall.

SupervisiónMonitoring

  • Supervise los ataques contra sus aplicaciones web con un registro de WAF en tiempo real.Monitor attacks against your web applications by using a real-time WAF log. El registro se integra con Azure Monitor para hacer un seguimiento de las alertas de WAF y permite supervisar con facilidad las tendencias.The log is integrated with Azure Monitor to track WAF alerts and easily monitor trends.

  • El WAF de Application Gateway está integrado con Azure Security Center.The Application Gateway WAF is integrated with Azure Security Center. Security Center proporciona una visión centralizada del estado de la seguridad de todos los recursos de Azure.Security Center provides a central view of the security state of all your Azure resources.

PersonalizaciónCustomization

  • Puede personalizar las reglas y grupos de reglas del WAF para satisfacer los requisitos de su aplicación y eliminar los falsos positivos.You can customize WAF rules and rule groups to suit your application requirements and eliminate false positives.

CaracterísticasFeatures

  • Protección contra inyección de código SQL.SQL-injection protection.
  • Protección contra scripts entre sitios.Cross-site scripting protection.
  • Protección contra otros ataques web comunes, como la inyección de comandos, el contrabando de solicitudes HTTP, la división de respuestas HTTP y la inclusión de archivos remotos.Protection against other common web attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion.
  • Protección contra infracciones del protocolo HTTP.Protection against HTTP protocol violations.
  • Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación.Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.
  • Protección contra bots, rastreadores y escáneres.Protection against bots, crawlers, and scanners.
  • Detección de errores de configuración comunes de las aplicaciones (por ejemplo, Apache e IIS).Detection of common application misconfigurations (for example, Apache and IIS).
  • Límites de tamaño de solicitud configurables con límites inferior y superior.Configurable request size limits with lower and upper bounds.
  • Las listas de exclusión le permiten omitir determinados atributos de una solicitud de una evaluación del WAF.Exclusion lists let you omit certain request attributes from a WAF evaluation. Un ejemplo común son los tokens insertados de Active Directory que se usan para campos de contraseña o autenticación.A common example is Active Directory-inserted tokens that are used for authentication or password fields.

Conjuntos de reglas principalesCore rule sets

Application Gateway admite dos conjuntos de reglas: CRS 3.0 y CRS 2.2.9.Application Gateway supports two rule sets, CRS 3.0 and CRS 2.2.9. Estas reglas protegen las aplicaciones web frente a actividades malintencionadas.These rules protect your web applications from malicious activity.

El WAF de Application Gateway está preconfigurado con CRS 3.0 de manera predeterminada,The Application Gateway WAF comes preconfigured with CRS 3.0 by default. pero puede elegir usar CRS 2.2.9 en su lugar.But you can choose to use CRS 2.2.9 instead. CRS 3.0 ofrece menos falsos positivos en comparación con CRS 2.2.9.CRS 3.0 offers reduced false positives compared with CRS 2.2.9. También puede personalizar reglas para satisfacer sus necesidades.You can also customize rules to suit your needs.

El WAF brinda protección contra las vulnerabilidades web siguientes:The WAF protects against the following web vulnerabilities:

  • Ataques por inyección de código SQL.SQL-injection attacks
  • Ataques por scripts entre sitios.Cross-site scripting attacks
  • Otros ataques comunes, como la inyección de comandos, el contrabando de solicitudes HTTP, la división de respuestas HTTP y la inclusión de archivos remotos.Other common attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion
  • Infracciones del protocolo HTTP.HTTP protocol violations
  • Anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación.HTTP protocol anomalies, such as missing host user-agent and accept headers
  • Bots, rastreadores y escáneres.Bots, crawlers, and scanners
  • Errores de configuración comunes de las aplicaciones (por ejemplo, Apache e IIS).Common application misconfigurations (for example, Apache and IIS)

OWASP CRS 3.0OWASP CRS 3.0

CRS 3.0 incluye 13 grupos de reglas, tal como se muestra en la tabla siguiente.CRS 3.0 includes 13 rule groups, as shown in the following table. Cada grupo contiene varias reglas, las que se pueden deshabilitar.Each group contains multiple rules, which can be disabled.

Grupo de reglasRule group DESCRIPCIÓNDescription
REQUEST-911-METHOD-ENFORCEMENTREQUEST-911-METHOD-ENFORCEMENT Métodos de bloqueo (PUT, PATCH)Lock-down methods (PUT, PATCH)
REQUEST-913-SCANNER-DETECTIONREQUEST-913-SCANNER-DETECTION Protección contra los escáneres de puertos y entornosProtect against port and environment scanners
REQUEST-920-PROTOCOL-ENFORCEMENTREQUEST-920-PROTOCOL-ENFORCEMENT Protección contra problemas de protocolo y codificaciónProtect against protocol and encoding issues
REQUEST-921-PROTOCOL-ATTACKREQUEST-921-PROTOCOL-ATTACK Protección contra ataques por inyección de encabezado, contrabando de solicitudes y división de respuestasProtect against header injection, request smuggling, and response splitting
REQUEST-930-APPLICATION-ATTACK-LFIREQUEST-930-APPLICATION-ATTACK-LFI Protección contra ataques a archivos y rutas de accesoProtect against file and path attacks
REQUEST-931-APPLICATION-ATTACK-RFIREQUEST-931-APPLICATION-ATTACK-RFI Protección contra ataques por inclusión de archivos remotos (RFI)Protect against remote file inclusion (RFI) attacks
REQUEST-932-APPLICATION-ATTACK-RCEREQUEST-932-APPLICATION-ATTACK-RCE Protección contra ataques de ejecución de código remotoProtect again remote code execution attacks
REQUEST-933-APPLICATION-ATTACK-PHPREQUEST-933-APPLICATION-ATTACK-PHP Protección contra ataques por inyección de código PHPProtect against PHP-injection attacks
REQUEST-941-APPLICATION-ATTACK-XSSREQUEST-941-APPLICATION-ATTACK-XSS Protección contra ataques por scripts entre sitiosProtect against cross-site scripting attacks
REQUEST-942-APPLICATION-ATTACK-SQLIREQUEST-942-APPLICATION-ATTACK-SQLI Protección contra ataques por inyección de código SQLProtect against SQL-injection attacks
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATIONREQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protección contra ataques por fijación de sesiónProtect against session-fixation attacks

OWASP CRS 2.2.9OWASP CRS 2.2.9

CRS 2.2.9 incluye 10 grupos de reglas, tal como se muestra en la tabla siguiente.CRS 2.2.9 includes 10 rule groups, as shown in the following table. Cada grupo contiene varias reglas, las que se pueden deshabilitar.Each group contains multiple rules, which can be disabled.

Grupo de reglasRule group DESCRIPCIÓNDescription
crs_20_protocol_violationscrs_20_protocol_violations Protección contra infracciones de protocolo (como caracteres no válidos o GET con un cuerpo de solicitud)Protect against protocol violations (such as invalid characters or a GET with a request body)
crs_21_protocol_anomaliescrs_21_protocol_anomalies Protección contra información de encabezados incorrectaProtect against incorrect header information
crs_23_request_limitscrs_23_request_limits Protección contra argumentos o archivos que superan las limitacionesProtect against arguments or files that exceed limitations
crs_30_http_policycrs_30_http_policy Protección contra métodos, encabezados y tipos de archivo restringidosProtect against restricted methods, headers, and file types
crs_35_bad_robotscrs_35_bad_robots Protección contra escáneres y rastreadores webProtect against web crawlers and scanners
crs_40_generic_attackscrs_40_generic_attacks Protección contra ataques genéricos (como fijación de sesión, inclusión de archivos remotos e inyección de código PHP)Protect against generic attacks (such as session fixation, remote file inclusion, and PHP injection)
crs_41_sql_injection_attackscrs_41_sql_injection_attacks Protección contra ataques por inyección de código SQLProtect against SQL-injection attacks
crs_41_xss_attackscrs_41_xss_attacks Protección contra ataques por scripts entre sitiosProtect against cross-site scripting attacks
crs_42_tight_securitycrs_42_tight_security Protección contra ataques punto punto barraProtect against path-traversal attacks
crs_45_trojanscrs_45_trojans Protección contra troyanos de puerta traseraProtect against backdoor trojans

Modos de WAFWAF modes

El WAF de Application Gateway se puede configurar para ejecutarse en dos modos:The Application Gateway WAF can be configured to run in the following two modes:

  • Modo de detección: supervisa y registra todas las alertas de amenazas.Detection mode: Monitors and logs all threat alerts. Puede activar el registro de diagnósticos de Application Gateway en la sección Diagnósticos.You turn on logging diagnostics for Application Gateway in the Diagnostics section. También debe asegurarse de que el registro del WAF está seleccionado y activado.You must also make sure that the WAF log is selected and turned on. El firewall de aplicaciones web no bloquea solicitudes entrantes cuando se ejecuta en modo de detección.Web application firewall doesn't block incoming requests when it's operating in Detection mode.
  • Modo de prevención: bloquea las intrusiones y los ataques que detectan las reglas.Prevention mode: Blocks intrusions and attacks that the rules detect. El atacante recibe una excepción de "acceso no autorizado 403" y se termina la conexión.The attacker receives a "403 unauthorized access" exception, and the connection is terminated. El modo de prevención registra dichos ataques en los registros del WAF.Prevention mode records such attacks in the WAF logs.

Modo de puntuación de anomalíasAnomaly Scoring mode

OWASP tiene dos modos para decidir si bloquear el tráfico: el modo tradicional y el modo de puntuación de anomalías.OWASP has two modes for deciding whether to block traffic: Traditional mode and Anomaly Scoring mode.

En el modo tradicional, se considera el tráfico que coincide con alguna regla, independientemente de si otra regla coincide.In Traditional mode, traffic that matches any rule is considered independently of any other rule matches. Este modo es fácil de entender,This mode is easy to understand. pero la falta de información sobre cuántas reglas coinciden con una solicitud específica representa una limitación.But the lack of information about how many rules match a specific request is a limitation. Es por eso que se introdujo el modo de puntuación de anomalías.So, Anomaly Scoring mode was introduced. Es el valor predeterminado en OWASP 3.x.It's the default for OWASP 3.x.

En el modo de puntuación de anomalías, el tráfico que coincide con alguna regla no se bloquea de inmediato cuando el firewall está en modo de prevención.In Anomaly Scoring mode, traffic that matches any rule isn't immediately blocked when the firewall is in Prevention mode. Las reglas tienen una gravedad determinada: Crítica, Error, Advertencia o Aviso.Rules have a certain severity: Critical, Error, Warning, or Notice. Dicha gravedad afecta a un valor numérico para la solicitud, denominado como la puntuación de anomalía.That severity affects a numeric value for the request, which is called the Anomaly Score. Por ejemplo, una coincidencia con la regla Advertencia contribuye con un valor de 3 a la puntuación.For example, one Warning rule match contributes 3 to the score. Una coincidencia con la regla Crítica, con 5.One Critical rule match contributes 5.

GravedadSeverity ValorValue
CríticoCritical 55
ErrorError 44
AdvertenciaWarning 33
AvisoNotice 22

Hay un umbral de 5 para que la puntuación de anomalías bloquee el tráfico.There's a threshold of 5 for the Anomaly Score to block traffic. Por lo tanto, solo hace falta una coincidencia con la regla Crítica para que el WAF de Application Gateway bloquee una solicitud, includo en modo de prevención.So, a single Critical rule match is enough for the Application Gateway WAF to block a request, even in Prevention mode. Pero una coincidencia con la regla Advertencia solo aumenta la puntuación de anomalías en 3, lo que no es suficiente para bloquear por sí misma el tráfico.But one Warning rule match only increases the Anomaly Score by 3, which isn't enough by itself to block the traffic.

Nota

El mensaje que se registra cuando una regla de WAF coincide con el tráfico incluye el valor de acción "Blocked" (Bloqueado),The message that's logged when a WAF rule matches traffic includes the action value "Blocked." pero el tráfico en realidad solo se bloquea con una puntuación de anomalías de 5 o más.But the traffic is actually only blocked for an Anomaly Score of 5 or higher.

Supervisión de WAFWAF monitoring

Es importante supervisar el estado de la instancia de Application Gateway.Monitoring the health of your application gateway is important. Supervisar el estado del WAF y las aplicaciones que protege es compatible con la integración con Azure Security Center, Azure Monitor y los registros de Azure Monitor.Monitoring the health of your WAF and the applications that it protects is supported by integration with Azure Security Center, Azure Monitor, and Azure Monitor logs.

Diagrama de los diagnósticos de WAF de Application Gateway

Azure MonitorAzure Monitor

Los registros de Application Gateway se integran con Azure Monitor.Application Gateway logs are integrated with Azure Monitor. Esto permite realizar un seguimiento de la información de diagnósticos incluidos los registros y las alertas de WAF.This allows you to track diagnostic information, including WAF alerts and logs. Puede acceder a esta funcionalidad en la pestaña Diagnósticos del recurso de Application Gateway en el portal o directamente en Azure Monitor.You can access this capability on the Diagnostics tab in the Application Gateway resource in the portal or directly through Azure Monitor. Para más información sobre cómo habilitar los registros, consulte el artículo sobre los diagnósticos de Application Gateway.To learn more about enabling logs, see Application Gateway diagnostics.

Azure Security CenterAzure Security Center

Security Center ayuda a evitar y a detectar las amenazas, además de responder a ellas.Security Center helps you prevent, detect, and respond to threats. Brinda una visibilidad mejorada y más control sobre la seguridad de los recursos de Azure.It provides increased visibility into and control over the security of your Azure resources. Application Gateway se integra con Security Center.Application Gateway is integrated with Security Center. Security Center examina su entorno para detectar aplicaciones web no protegidas.Security Center scans your environment to detect unprotected web applications. Puede recomendar el firewall de aplicaciones web (WAF) de Application Gateway para proteger estos recursos vulnerables.It can recommend Application Gateway WAF to protect these vulnerable resources. Puede crear los firewalls directamente desde Security Center.You create the firewalls directly from Security Center. Estas instancias de WAF se integran con Security Center.These WAF instances are integrated with Security Center. Envían alertas e información de estado a Security Center para generar informes.They send alerts and health information to Security Center for reporting.

Ventana de información general de Security Center

RegistroLogging

WAF de Application Gateway ofrece informes detallados sobre cada amenaza que detecta.Application Gateway WAF provides detailed reporting on each threat that it detects. El registro se integra con los registros de Azure Diagnostics.Logging is integrated with Azure Diagnostics logs. Las alertas se registran en el formato .json.Alerts are recorded in the .json format. Estos registros pueden integrarse con los registros de Azure Monitor.These logs can be integrated with Azure Monitor logs.

Ventanas de registros de diagnósticos de Application Gateway

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    "instanceId": "ApplicationGatewayRole_IN_0",
    "clientIp": "104.210.252.3",
    "clientPort": "4835",
    "requestUri": "/?a=%3Cscript%3Ealert(%22Hello%22);%3C/script%3E",
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "ruleId": "941320",
    "message": "Possible XSS Attack Detected - HTML Tag Handler",
    "action": "Blocked",
    "site": "Global",
    "details": {
      "message": "Warning. Pattern match \"<(a|abbr|acronym|address|applet|area|audioscope|b|base|basefront|bdo|bgsound|big|blackface|blink|blockquote|body|bq|br|button|caption|center|cite|code|col|colgroup|comment|dd|del|dfn|dir|div|dl|dt|em|embed|fieldset|fn|font|form|frame|frameset|h1|head|h ...\" at ARGS:a.",
      "data": "Matched Data: <script> found within ARGS:a: <script>alert(\\x22hello\\x22);</script>",
      "file": "rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf",
      "line": "865"
    }
  }
} 

Precios de las SKU de WAF de Application GatewayApplication Gateway WAF SKU pricing

El WAF de Application Gateway está disponible en una nueva SKU.The Application Gateway WAF is available under a new a SKU. Esta SKU está disponible solo en el modelo de aprovisionamiento de Azure Resource Manager y no en el modelo de implementación clásica.This SKU is available only in the Azure Resource Manager provisioning model, not in the classic deployment model. Además, la SKU de WAF está disponible solo para tamaños de instancias medianas y grandes de Application Gateway.Additionally, the WAF SKU comes only in medium and large Application Gateway instance sizes. Todos los límites de Application Gateway también se aplican a la SKU de WAF.All the limits for Application Gateway also apply to the WAF SKU.

El precio se basa en un cargo por instancia de puerta de enlace por hora y un cargo por procesamiento de datos.Pricing is based on an hourly gateway instance charge and a data-processing charge. Los precios de Application Gateway para la SKU de WAF difieren de los cargos de SKU estándar.Application Gateway pricing for the WAF SKU differs from standard SKU charges. Los cargos por procesamiento de datos siguen iguales.Data-processing charges are the same. No hay cargos por regla ni por grupo de reglas.There are no per-rule or rule-group charges. Puede proteger varias aplicaciones web detrás del mismo firewall de aplicaciones web.You can protect multiple web applications behind the same web application firewall. No se le cobrará por admitir varias aplicaciones.You aren't charged for supporting multiple applications.

Pasos siguientesNext steps

Consulte los procedimientos para configurar el firewall de aplicaciones web en Application Gateway.See How to configure web application firewall on Application Gateway.