Pare-feu d’applications Web pour Azure Application GatewayWeb application firewall for Azure Application Gateway

Azure Application Gateway offre un pare-feu d’applications web (WAF) qui fournit une protection centralisée de vos applications web contre les vulnérabilités et exploits courants.Azure Application Gateway offers a web application firewall (WAF) that provides centralized protection of your web applications from common exploits and vulnerabilities. Applications Web sont plus en plus ciblées par des attaques malveillantes qui exploitent les vulnérabilités connues.Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities. L’injection SQL et les scripts intersites font partie des attaques les plus courantes.SQL injection and cross-site scripting are among the most common attacks.

Il est difficile d’empêcher ces attaques dans le code d’application.Preventing such attacks in application code is challenging. Il peut nécessiter une maintenance rigoureuse, mise à jour corrective et la surveillance sur plusieurs couches de la topologie de l’application.It can require rigorous maintenance, patching, and monitoring at multiple layers of the application topology. Un pare-feu d’applications web centralisé permet de rendre la gestion de la sécurité beaucoup plus simple.A centralized web application firewall helps make security management much simpler. Un pare-feu WAF offre également une meilleure garantie de protection contre les menaces et intrusions administrateurs d’application.A WAF also gives application administrators better assurance of protection against threats and intrusions.

Une solution WAF peut réagir à une menace de sécurité plus rapide par manière centralisée mise à jour corrective une vulnérabilité connue, au lieu de la sécurisation de chaque application web individuelles.A WAF solution can react to a security threat faster by centrally patching a known vulnerability, instead of securing each individual web application. Passerelles d’application existantes peuvent facilement être convertis en passerelles d’application prenant en charge le mur incendie.Existing application gateways can easily be converted into fire wall-enabled application gateways.

L’Application Gateway WAF est basé sur Core règle définie (CRS) 3.0 ou 2.2.9 à partir de l’Open Web Application Security Project (OWASP).The Application Gateway WAF is based on Core Rule Set (CRS) 3.0 or 2.2.9 from the Open Web Application Security Project (OWASP). Le pare-feu WAF met automatiquement à jour pour inclure une protection contre les nouvelles vulnérabilités, sans aucune configuration supplémentaire requise.The WAF automatically updates to include protection against new vulnerabilities, with no additional configuration needed.

Diagramme d’application Gateway WAF

Application Gateway fonctionne comme un intègre application delivery controller (ADC).Application Gateway operates as an application delivery controller (ADC). Elle offre l’arrêt de la couche SSL (Secure Sockets), l’affinité de session basée sur les cookies, distribution de charge de tourniquet (round-robin), le routage basé sur le contenu, possibilité d’héberger plusieurs sites Web et les améliorations de sécurité.It offers Secure Sockets Layer (SSL) termination, cookie-based session affinity, round-robin load distribution, content-based routing, ability to host multiple websites, and security enhancements.

Améliorations de sécurité Application Gateway incluent la gestion de stratégie SSL et SSL de bout en bout pour prendre en charge.Application Gateway security enhancements include SSL policy management and end-to-end SSL support. Sécurité des applications est renforcée par l’intégration du pare-feu d’applications Web dans Application Gateway.Application security is strengthened by WAF integration into Application Gateway. La combinaison protège vos applications web contre les vulnérabilités courantes.The combination protects your web applications against common vulnerabilities. Et il fournit un emplacement central facile à configurer pour gérer.And it provides an easy-to-configure central location to manage.

AvantagesBenefits

Cette section décrit les avantages principaux par Application Gateway et son WAF.This section describes the core benefits that Application Gateway and its WAF provide.

ProtectionProtection

  • Protéger vos applications web contre les vulnérabilités web et des attaques sans modification au code principal.Protect your web applications from web vulnerabilities and attacks without modification to back-end code.

  • Protéger plusieurs applications web en même temps.Protect multiple web applications at the same time. Une instance de passerelle d’Application peut héberger jusqu'à 20 sites Web qui sont protégés par un pare-feu d’applications web.An instance of Application Gateway can host of up to 20 websites that are protected by a web application firewall.

SurveillanceMonitoring

  • Surveiller les attaques contre vos applications web à l’aide d’un journal WAF en temps réel.Monitor attacks against your web applications by using a real-time WAF log. Le journal est intégré avec Azure Monitor pour effectuer le suivi des alertes WAF et analyser facilement les tendances.The log is integrated with Azure Monitor to track WAF alerts and easily monitor trends.

  • L’Application Gateway WAF est intégré avec Azure Security Center.The Application Gateway WAF is integrated with Azure Security Center. Security Center fournit une vue centralisée de l’état de sécurité de toutes vos ressources Azure.Security Center provides a central view of the security state of all your Azure resources.

PersonnalisationCustomization

  • Vous pouvez personnaliser les règles de pare-feu d’applications Web et les groupes de règles pour les besoins de votre application et éliminer les faux positifs.You can customize WAF rules and rule groups to suit your application requirements and eliminate false positives.

CaractéristiquesFeatures

  • Protection de l’injection de code SQL.SQL-injection protection.
  • Protection contre les scripts intersites.Cross-site scripting protection.
  • Protection contre les autres attaques web courantes, telles que l’injection de commande, dissimulation, fractionnement, de la réponse HTTP de la requête HTTP et inclusion d’un fichier distant.Protection against other common web attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion.
  • Protection contre les violations de protocole HTTP.Protection against HTTP protocol violations.
  • Protection contre les anomalies de protocole HTTP, tels que l’absence agent-utilisateur hôte et en-têtes accept.Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.
  • Protection contre les robots, les robots et les scanneurs.Protection against bots, crawlers, and scanners.
  • Détection d’application courantes (par exemple, Apache et IIS).Detection of common application misconfigurations (for example, Apache and IIS).
  • Taille de la demande configurable limite avec les limites inférieure et supérieure.Configurable request size limits with lower and upper bounds.
  • Listes d’exclusion vous permettent d’omettre certains attributs de la demande à partir d’une version d’évaluation de WAF.Exclusion lists let you omit certain request attributes from a WAF evaluation. Un exemple courant est inséré par Active Directory de jetons qui sont utilisés pour l’authentification ou les champs de mot de passe.A common example is Active Directory-inserted tokens that are used for authentication or password fields.

Ensembles de règles de baseCore rule sets

Application Gateway prend en charge les deux ensembles de règles CRS 3.0 et CRS 2.2.9.Application Gateway supports two rule sets, CRS 3.0 and CRS 2.2.9. Ces règles protègent vos applications web à partir d’activités malveillantes.These rules protect your web applications from malicious activity.

Le pare-feu WAF Application Gateway est préconfiguré avec CRS 3.0 par défaut.The Application Gateway WAF comes preconfigured with CRS 3.0 by default. Mais vous pouvez choisir d’utiliser à la place des CRS 2.2.9.But you can choose to use CRS 2.2.9 instead. CRS 3.0 permet une réduction des faux positifs par rapport aux CRS 2.2.9.CRS 3.0 offers reduced false positives compared with CRS 2.2.9. Vous pouvez également personnaliser les règles pour l’adapter à vos besoins.You can also customize rules to suit your needs.

Le pare-feu WAF protège contre les vulnérabilités web suivant :The WAF protects against the following web vulnerabilities:

  • Attaques d’injection SQLSQL-injection attacks
  • Attaques de script entre sitesCross-site scripting attacks
  • Autres attaques courantes, telles que l’injection de commande, HTTP demande par dissimulation, fractionnement de réponse HTTP et l’inclusion de fichier distantOther common attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion
  • Violations de protocole HTTPHTTP protocol violations
  • Les anomalies de protocole HTTP, tels que l’absence agent-utilisateur hôte et les en-têtes acceptHTTP protocol anomalies, such as missing host user-agent and accept headers
  • Robots, les robots et les scanneursBots, crawlers, and scanners
  • Application courantes (par exemple, Apache et IIS)Common application misconfigurations (for example, Apache and IIS)

OWASP CRS 3.0OWASP CRS 3.0

CRS 3.0 inclut 13 groupes de règles, comme illustré dans le tableau suivant.CRS 3.0 includes 13 rule groups, as shown in the following table. Chaque groupe contient plusieurs règles, qui peuvent être désactivées.Each group contains multiple rules, which can be disabled.

Groupe de règlesRule group DescriptionDescription
REQUEST-911-METHOD-ENFORCEMENTREQUEST-911-METHOD-ENFORCEMENT Méthodes de verrouillage (PUT, PATCH)Lock-down methods (PUT, PATCH)
REQUEST-913-SCANNER-DETECTIONREQUEST-913-SCANNER-DETECTION Protection contre les scanneurs de port et d’environnementProtect against port and environment scanners
REQUEST-920-PROTOCOL-ENFORCEMENTREQUEST-920-PROTOCOL-ENFORCEMENT Protection contre le protocole et les problèmes de codageProtect against protocol and encoding issues
REQUEST-921-PROTOCOL-ATTACKREQUEST-921-PROTOCOL-ATTACK Protection contre l’injection d’en-tête, dissimulation de requête et fractionnement de réponseProtect against header injection, request smuggling, and response splitting
REQUEST-930-APPLICATION-ATTACK-LFIREQUEST-930-APPLICATION-ATTACK-LFI Protection contre les attaques de fichier et chemin d’accèsProtect against file and path attacks
REQUEST-931-APPLICATION-ATTACK-RFIREQUEST-931-APPLICATION-ATTACK-RFI Protection contre les attaques par inclusion de fichier distantProtect against remote file inclusion (RFI) attacks
REQUEST-932-APPLICATION-ATTACK-RCEREQUEST-932-APPLICATION-ATTACK-RCE Protéger à nouveau les attaques de l’exécution de code à distanceProtect again remote code execution attacks
REQUEST-933-APPLICATION-ATTACK-PHPREQUEST-933-APPLICATION-ATTACK-PHP Protection contre les attaques par injection de code PHPProtect against PHP-injection attacks
REQUEST-941-APPLICATION-ATTACK-XSSREQUEST-941-APPLICATION-ATTACK-XSS Protection contre les attaques de script entre sitesProtect against cross-site scripting attacks
REQUEST-942-APPLICATION-ATTACK-SQLIREQUEST-942-APPLICATION-ATTACK-SQLI Protection contre les attaques par injection SQLProtect against SQL-injection attacks
REQUEST-943-APPLICATION-ATTACK-SESSION-FIXATIONREQUEST-943-APPLICATION-ATTACK-SESSION-FIXATION Protection contre les attaques par fixation de sessionProtect against session-fixation attacks

OWASP CRS 2.2.9.OWASP CRS 2.2.9

CRS 2.2.9 inclut 10 groupes de règles, comme illustré dans le tableau suivant.CRS 2.2.9 includes 10 rule groups, as shown in the following table. Chaque groupe contient plusieurs règles, qui peuvent être désactivées.Each group contains multiple rules, which can be disabled.

Groupe de règlesRule group DescriptionDescription
crs_20_protocol_violationscrs_20_protocol_violations Protection contre les violations de protocole (par exemple, les caractères non valides ou une opération GET avec un corps de demande)Protect against protocol violations (such as invalid characters or a GET with a request body)
crs_21_protocol_anomaliescrs_21_protocol_anomalies Protéger les informations d’en-tête incorrectesProtect against incorrect header information
crs_23_request_limitscrs_23_request_limits Protection contre les arguments ou les fichiers qui dépassent les limitesProtect against arguments or files that exceed limitations
crs_30_http_policycrs_30_http_policy Protection contre les méthodes restreintes, des en-têtes et des types de fichiersProtect against restricted methods, headers, and file types
crs_35_bad_robotscrs_35_bad_robots Protection contre les scanneurs et les robotsProtect against web crawlers and scanners
crs_40_generic_attackscrs_40_generic_attacks Protection contre les attaques génériques (par exemple, par fixation de session, inclusion de fichier distant et injection de code PHP)Protect against generic attacks (such as session fixation, remote file inclusion, and PHP injection)
crs_41_sql_injection_attackscrs_41_sql_injection_attacks Protection contre les attaques par injection SQLProtect against SQL-injection attacks
crs_41_xss_attackscrs_41_xss_attacks Protection contre les attaques de script entre sitesProtect against cross-site scripting attacks
crs_42_tight_securitycrs_42_tight_security Protection contre les attaques par traversée de chemin d’accèsProtect against path-traversal attacks
crs_45_trojanscrs_45_trojans Protection contre les chevaux de TroieProtect against backdoor trojans

Modes WAFWAF modes

L’Application Gateway WAF peut être configuré pour s’exécuter dans les deux modes suivants :The Application Gateway WAF can be configured to run in the following two modes:

  • Mode de détection: Surveille et consigne toutes les alertes de menace.Detection mode: Monitors and logs all threat alerts. Vous activer la journalisation des diagnostics pour Application Gateway dans le Diagnostics section.You turn on logging diagnostics for Application Gateway in the Diagnostics section. Vous devez également vous assurer que le journal WAF est sélectionné et activé.You must also make sure that the WAF log is selected and turned on. Pare-feu d’applications Web ne bloque pas les demandes entrantes qu’elle s’exécute en mode de détection.Web application firewall doesn't block incoming requests when it's operating in Detection mode.
  • Mode de prévention: Intrusions de blocs et les attaques qui détectent les règles.Prevention mode: Blocks intrusions and attacks that the rules detect. L’attaquant reçoit une exception « 403 tout accès non autorisé », et la connexion est interrompue.The attacker receives a "403 unauthorized access" exception, and the connection is terminated. Mode de prévention enregistre ces attaques dans les journaux WAF.Prevention mode records such attacks in the WAF logs.

Mode de score d’anomalieAnomaly Scoring mode

OWASP comporte deux modes pour décider s’il faut bloquer le trafic : Mode traditionnel et le mode de calcul de score d’anomalie.OWASP has two modes for deciding whether to block traffic: Traditional mode and Anomaly Scoring mode.

En mode traditionnel, le trafic qui correspond à n’importe quelle règle est considérée comme indépendamment de toutes les correspondances de règle.In Traditional mode, traffic that matches any rule is considered independently of any other rule matches. Ce mode est facile à comprendre.This mode is easy to understand. Mais l’absence d’informations sur le nombre de règles qui correspondent à une demande spécifique est une limitation.But the lack of information about how many rules match a specific request is a limitation. Par conséquent, le mode de calcul de score d’anomalie a été introduit.So, Anomaly Scoring mode was introduced. Il est la valeur par défaut pour les 3 OWASP. x.It's the default for OWASP 3.x.

En mode de calcul de score d’anomalie, le trafic qui correspond à aucune règle n’est pas bloqué immédiatement lorsque le pare-feu est en mode de prévention.In Anomaly Scoring mode, traffic that matches any rule isn't immediately blocked when the firewall is in Prevention mode. Les règles ont un niveau de gravité spécifique : Critique, erreur, avertissement, ou avis.Rules have a certain severity: Critical, Error, Warning, or Notice. Ce niveau de gravité affecte une valeur numérique pour la demande, ce qui est appelée le Score d’anomalie.That severity affects a numeric value for the request, which is called the Anomaly Score. Par exemple, un avertissement règle de correspondance contribue 3 au score.For example, one Warning rule match contributes 3 to the score. Un critique règle de correspondance contribue à 5.One Critical rule match contributes 5.

Il existe un seuil de 5 pour le Score d’anomalie à bloquer le trafic.There's a threshold of 5 for the Anomaly Score to block traffic. Par conséquent, un seul critique correspondance de règle est suffisant pour l’Application Gateway WAF bloquer une demande, même en mode de prévention.So, a single Critical rule match is enough for the Application Gateway WAF to block a request, even in Prevention mode. Mais un avertissement règle de correspondance augmente uniquement l’anomalie Score par 3, ce qui n’est pas suffisant en lui-même pour bloquer le trafic.But one Warning rule match only increases the Anomaly Score by 3, which isn't enough by itself to block the traffic.

Notes

Le message est consigné lorsqu’une règle de pare-feu d’applications Web correspond au trafic inclut la valeur de l’action « Bloqué ».The message that's logged when a WAF rule matches traffic includes the action value "Blocked." Mais le trafic est en fait uniquement bloqué pour un Score d’anomalie de 5 ou version ultérieure.But the traffic is actually only blocked for an Anomaly Score of 5 or higher.

Surveillance de WAFWAF monitoring

Il est important de surveiller l’état de votre passerelle d’application.Monitoring the health of your application gateway is important. Surveiller l’intégrité de votre pare-feu d’applications Web et les applications qu’il protège est pris en charge par l’intégration avec Azure Security Center, Azure Monitor, et les journaux d’Azure Monitor.Monitoring the health of your WAF and the applications that it protects is supported by integration with Azure Security Center, Azure Monitor, and Azure Monitor logs.

Diagramme de diagnostic d’Application Gateway WAF

Azure MonitorAzure Monitor

Journaux de passerelle d’application sont intégrés avec Azure Monitor.Application Gateway logs are integrated with Azure Monitor. Cela vous permet le suivi des informations de diagnostics, y compris les journaux et alertes WAF.This allows you to track diagnostic information, including WAF alerts and logs. Vous pouvez accéder à cette fonctionnalité sur le Diagnostics onglet dans la ressource de passerelle d’Application dans le portail ou directement par le biais d’Azure Monitor.You can access this capability on the Diagnostics tab in the Application Gateway resource in the portal or directly through Azure Monitor. Pour en savoir plus sur l’activation des journaux, consultez diagnostics Application Gateway.To learn more about enabling logs, see Application Gateway diagnostics.

Azure Security CenterAzure Security Center

Centre de sécurité vous aide à vous empêchez, détectez et répondez aux menaces.Security Center helps you prevent, detect, and respond to threats. Il fournit une visibilité et contrôle de la sécurité de vos ressources Azure.It provides increased visibility into and control over the security of your Azure resources. Application Gateway est intégrées à Security Center.Application Gateway is integrated with Security Center. Security Center analyse votre environnement pour détecter les applications web non protégées.Security Center scans your environment to detect unprotected web applications. Il peut vous recommander d’Application Gateway WAF de protéger ces ressources vulnérables.It can recommend Application Gateway WAF to protect these vulnerable resources. Vous créez les pare-feux directement à partir de Security Center.You create the firewalls directly from Security Center. Ces instances WAF sont intégrées à Security Center.These WAF instances are integrated with Security Center. Ils envoient des alertes et les informations de contrôle d’intégrité au centre de sécurité pour les rapports.They send alerts and health information to Security Center for reporting.

Fenêtre de vue d’ensemble du centre de sécurité

JournalisationLogging

Application Gateway WAF fournit des rapports détaillés sur chaque menace qu’il détecte.Application Gateway WAF provides detailed reporting on each threat that it detects. La journalisation est intégrée aux journaux Azure Diagnostics.Logging is integrated with Azure Diagnostics logs. Alertes sont enregistrées au format .json.Alerts are recorded in the .json format. Ces journaux d’activité peuvent être intégrés aux journaux d’activité Azure Monitor.These logs can be integrated with Azure Monitor logs.

Journaux de diagnostics de passerelle d’application windows

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    "instanceId": "ApplicationGatewayRole_IN_0",
    "clientIp": "104.210.252.3",
    "clientPort": "4835",
    "requestUri": "/?a=%3Cscript%3Ealert(%22Hello%22);%3C/script%3E",
    "ruleSetType": "OWASP",
    "ruleSetVersion": "3.0",
    "ruleId": "941320",
    "message": "Possible XSS Attack Detected - HTML Tag Handler",
    "action": "Blocked",
    "site": "Global",
    "details": {
      "message": "Warning. Pattern match \"<(a|abbr|acronym|address|applet|area|audioscope|b|base|basefront|bdo|bgsound|big|blackface|blink|blockquote|body|bq|br|button|caption|center|cite|code|col|colgroup|comment|dd|del|dfn|dir|div|dl|dt|em|embed|fieldset|fn|font|form|frame|frameset|h1|head|h ...\" at ARGS:a.",
      "data": "Matched Data: <script> found within ARGS:a: <script>alert(\\x22hello\\x22);</script>",
      "file": "rules/REQUEST-941-APPLICATION-ATTACK-XSS.conf",
      "line": "865"
    }
  }
} 

Tarification de la référence SKU Application Gateway WAFApplication Gateway WAF SKU pricing

L’Application Gateway WAF est disponible sous un nouveau une référence (SKU).The Application Gateway WAF is available under a new a SKU. Cette référence est disponible uniquement dans le modèle d’approvisionnement Azure Resource Manager, et non dans le modèle de déploiement classique.This SKU is available only in the Azure Resource Manager provisioning model, not in the classic deployment model. En outre, la référence SKU WAF est fourni uniquement dans les moyennes et grandes tailles d’instance Application Gateway.Additionally, the WAF SKU comes only in medium and large Application Gateway instance sizes. Toutes les limites pour la passerelle d’Application s’appliquent également à la référence SKU WAF.All the limits for Application Gateway also apply to the WAF SKU.

Tarification est basée sur un tarif d’instance de passerelle horaire et un coût de traitement des données.Pricing is based on an hourly gateway instance charge and a data-processing charge. Tarification Application Gateway pour la référence WAF diffère des frais de référence (SKU) standard.Application Gateway pricing for the WAF SKU differs from standard SKU charges. Les frais de traitement de données sont les mêmes.Data-processing charges are the same. Aucuns frais ne sont par règle ou groupe de règles.There are no per-rule or rule-group charges. Vous pouvez protéger plusieurs applications web derrière le même pare-feu d’application web.You can protect multiple web applications behind the same web application firewall. Vous n’êtes pas facturé pour prendre en charge de plusieurs applications.You aren't charged for supporting multiple applications.

Étapes suivantesNext steps

Consultez comment configurer le pare-feu d’applications web sur Application Gateway.See How to configure web application firewall on Application Gateway.