Cet article répond aux questions courantes sur les fonctions et fonctionnalités du pare-feu d’application web (WAF) Azure sur Azure Front Door Service.
Qu’est-ce qu’Azure WAF ?
Azure WAF est un pare-feu d’applications web qui aide à protéger vos applications web des menaces courantes telles que les injections de code SQL, le script de site à site et autres codes malveillants exploitant des failles de sécurité. Vous pouvez définir une stratégie de pare-feu d’applications web consistant en une combinaison de règles personnalisées et gérées pour contrôler l’accès à vos applications web.
Une stratégie de pare-feu d’applications web Azure peut être appliquée aux applications web hébergées sur Application Gateway ou Azure Front Door.
Qu’est-ce qu’un pare-feu d’applications web sur Azure Front Door ?
Azure Front Door est un réseau de distribution de contenu et d’application hautement évolutif et distribué mondialement. Un pare-feu d’applications web Azure, lorsqu’intégré à Front Door, bloque les attaques DDoS et ciblant une application à la périphérie du réseau Azure, près de la source avant qu’elles ne pénètrent dans votre réseau virtuel, et offre une protection sans sacrifice des performances.
Le pare-feu d’applications web prend-il en charge HTTPS ?
Front Door offre le déplacement du traitement TLS. Le pare-feu d’applications web est intégré de façon native à Front Door et peut inspecter une demande après qu’elle ait été déchiffrée.
Le pare-feu d’applications web prend-il en charge IPv6 ?
Oui. Vous pouvez configurer la restriction IP pour IPv4 et IPv6.
Les ensembles de règles gérées sont-ils à jour ?
Nous faisons de notre mieux pour suivre le rythme d’un monde de menaces en constante évolution. Lorsqu’une nouvelle règle est mise à jour, elle est ajoutée à l’ensemble de règles par défaut avec un nouveau numéro de version.
Quelle est la durée de propagation si j’effectue une modification de ma stratégie de pare-feu d’applications web ?
La plupart des déploiements de stratégie de pare-feu d’applications web s’effectuent en moins de 20 minutes. Vous pouvez vous attendre à ce que la stratégie prenne effet dès que la mise à jour sera terminée globalement dans tous les emplacements périphériques.
Les stratégies de pare-feu d’applications web peuvent-elles être différentes d’une région à une autre ?
Une fois intégré à Front Door, le pare-feu d’applications web constitue une ressource globale. La même configuration s’applique à tous les emplacements Front Door.
Comment limiter l’accès à mon serveur back-end au service Front Door uniquement ?
Vous pouvez configurer une liste de contrôle d’accès dans votre back-end pour n’autoriser que les plages d’adresses IP sortantes utilisant l’étiquette de service Azure Front Door et refuser tout accès direct depuis Internet. Les balises de service sont prises en charge pour une utilisation sur votre réseau virtuel. De plus, vous pouvez vérifier que le champ de l’en-tête HTTP X-Forwarded-Host est valide pour votre application web.
Quelles options de pare-feu d’applications web Azure dois-je choisir ?
Il y a deux options lors de l’application de stratégies de pare-feu d’applications web dans Azure. Le pare-feu d’applications web avec Azure Front Door est une solution distribuée mondialement de sécurité en périphérie. Le pare-feu d’applications web avec Application Gateway est une solution dédiée et régionale. Nous vous recommandons de choisir une solution basée sur vos exigences générales en matière de performances et de sécurité. Pour en savoir plus, consultez Équilibrage de charge avec la suite de livraison d’application Azure.
Quelle est l’approche recommandée pour activer le WAF sur Front Door ?
Lorsque vous activez le WAF sur une application existante, il est courant d’obtenir des détections de faux positifs, dans lesquels les règles WAF identifient le trafic légitime comme une menace. Pour réduire le risque d’impact sur vos utilisateurs, nous vous recommandons le processus suivant :
- Activez le WAF en mode Détection pour être sûr qu’il ne bloque pas les requêtes tandis que vous mettez en œuvre ce processus. Cette étape est recommandée à des fins de test sur WAF.
Important
Ce processus explique comment activer le WAF sur une solution nouvelle ou existante lorsque votre priorité est de réduire les perturbations pour les utilisateurs de votre application. En cas d’attaque ou de menace imminente, vous pouvez préférer déployer immédiatement le WAF en mode Prévention, et utiliser le processus de paramétrage pour superviser et ajuster le WAF au fil du temps. Le blocage d’une partie de votre trafic légitime en découlera probablement, c’est pourquoi nous vous recommandons d’agir ainsi uniquement lorsque vous êtes confronté à une menace.
- Suivez nos conseils en matière de paramétrage du WAF. Ce processus nécessite l’activation de la journalisation des diagnostics, la consultation régulière des journaux et l’ajout d’exclusions de règles ainsi que d’autres solutions de contournement.
- Répétez ce processus dans son intégralité, en vérifiant les journaux régulièrement, jusqu’à être certain qu’aucun trafic légitime n’est bloqué. Le déroulement du processus entier peut prendre plusieurs semaines. Dans l’idéal, vous devriez constater moins de détections de faux positifs après chaque modification de paramétrage que vous effectuez.
- Au final, activez le WAF en mode Prévention.
- Même lorsque vous exécutez le WAF en production, il est impératif de continuer à superviser les journaux, afin d’identifier d’autres détections de faux positifs. En examinant régulièrement les journaux, vous pourrez également identifier les tentatives d’attaque réelle qui ont été bloquées.
Prenez-vous en charge les mêmes fonctionnalités de pare-feu d’applications web dans toutes les plateformes intégrées ?
Actuellement, les règles ModSec CRS 3.0, CRS 3.1, et CRS 3.2 sont uniquement prises en charge avec le pare-feu d’applications web sur Application Gateway. Les règles de l’ensemble de règles par défaut gérées par Azure et la limitation du débit sont pris en charge uniquement avec le pare-feu d’applications web sur Azure Front Door.
La protection DDoS est-elle intégrée à Front Door ?
Distribué mondialement aux périphéries réseau d’Azure, Azure Front Door peut absorber et isoler géographiquement d’importants volumes d’attaques. Vous pouvez créer une stratégie de pare-feu d’applications web personnalisée pour bloquer automatiquement et limiter le débit des attaques http(s) aux signatures connues. De plus, vous pouvez activer la référence SKU Protection réseau DDoS sur le réseau virtuel où vos back-ends sont déployés. Les clients Azure DDoS Protection profitent d’avantages supplémentaires dont la protection du coût, la garantie SLA et l’accès à des experts de l’équipe spécialisée en attaques DDoS, pour une aide immédiate en cas d’attaque. Pour plus d’informations, consultez Protection DDoS sur Front Door.
Pourquoi les demandes au-delà du seuil configuré pour la règle de limite de débit sont-elles transmises à mon serveur principal ?
Les demandes peuvent ne pas être bloquées immédiatement par la limite de débit quand les requêtes sont traitées par différents serveurs Front Door. Pour plus d’informations, consultez Limitation de débit et serveurs Front Door.
Quels types de contenu le pare-feu d’applications web (WAF) prend-il en charge ?
Le pare-feu d’applications web de Front Door prend en charge les types de contenu suivants :
DRS 2.0
Règles managées
- application/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
Règles personnalisées
- application/x-www-form-urlencoded
DRS 1.x
Règles managées
- application/x-www-form-urlencoded
- texte/brut
Règles personnalisées
- application/x-www-form-urlencoded
Puis-je appliquer une stratégie WAF Front Door aux hôtes front-end dans différents profils Front Door Premium (AFDX) appartenant à différents abonnements ?
Non, c’est impossible. Le profil AFD et la stratégie WAF doivent se trouver dans le même abonnement.
Étapes suivantes
- En savoir plus sur le pare-feu d’application web Azure.
- En savoir plus sur Azure Front Door.