Les meilleures pratiques d’Azure Web Application Firewall dans Azure Front Door

Cet article récapitule les meilleures pratiques relatives à l’utilisation d’Azure Web Application Firewall dans Azure Front Door.

Bonnes pratiques générales

Cette section décrit les meilleures pratiques générales.

Activer le pare-feu d'applications web

Pour les applications accessibles sur Internet, nous vous recommandons d’activer un pare-feu d’applications web (WAF) et de le configurer pour utiliser des règles managées. Lorsque vous utilisez un pare-feu d’applications web et des règles gérées par Microsoft, votre application est protégée contre toute une série d’attaques.

Paramétrer votre pare-feu d’applications web

Les règles de votre pare-feu d'applications web doivent être adaptées à votre charge de travail. À défaut de paramétrer votre pare-feu d'applications web, il peut bloquer accidentellement les requêtes qui doivent être autorisées. Le paramétrage peut impliquer la création d’exclusions de règles pour réduire la détection de faux positifs.

Lorsque vous paramétrez votre WAF, pensez à utiliser le mode de détection. Ce mode journalise les requêtes et les actions que le WAF prendrait normalement, sans réellement bloquer le trafic.

Pour plus d’informations, consultez l’article Paramétrer Azure Web Application Firewall pour Azure Front Door.

Utiliser le mode de prévention

Après avoir paramétré votre WAF, configurez-le pour qu’il s’exécute en mode prévention. Le mode prévention vous permet de vous assurer que le pare-feu d’applications web bloque les requêtes qu’il détecte comme malveillantes. Le mode détection est utile lorsque vous paramétrez et configurez votre pare-feu d’applications web, mais ne fournit aucune protection.

Définition de la configuration WAF en tant que code

Lorsque vous ajustez votre configuration WAF pour votre charge de travail applicative, vous créez généralement un ensemble d’exclusions de règles pour réduire les détections de faux positifs. Si vous configurez manuellement ces exclusions à l’aide du portail Azure, lorsque vous mettez à niveau votre WAF pour utiliser une version plus récente de l’ensemble de règles, vous devez reconfigurer les mêmes exceptions en fonction de la nouvelle version d’ensemble de règles. Ce processus peut prendre du temps et faire l’objet d’erreurs.

Vous pouvez au contraire définir vos exclusions de règle WAF et d’autres configurations en tant que code, par exemple à l’aide d’Azure CLI, d’Azure PowerShell, de Bicep ou de Terraform. Lorsque vous devez mettre à jour la version de votre ensemble de règles WAF, vous pouvez facilement réutiliser les mêmes exclusions.

Meilleures pratiques relatives à l’ensemble de règles managées

Cette section décrit les meilleures pratiques relatives aux ensembles de règles.

Activer les ensembles de règles par défaut

Les ensembles de règles principales Microsoft sont conçus pour protéger votre application en détectant et en bloquant les attaques courantes. Les règles sont basées sur différentes sources, notamment les 10 principaux types d’attaques OWASP et sur les informations issues de Microsoft Threat Intelligence.

Pour plus d’informations, consultez les ensembles de règles gérés par Azure.

Activer les règles de gestion des bots

Les bots gèrent une proportion importante du trafic vers les applications web. L’ensemble de règles de protection des bots du pare-feu d'applications web classe les bots selon qu’ils sont bons, mauvais ou inconnus. Les bots jugés mauvais peuvent ensuite être bloqués, tandis que les bots jugés bons tels que les analyseurs de moteur de recherche sont autorisés pour votre application.

Pour plus d’informations, consultez Ensemble de règles de protection bot.

Utiliser les dernières versions de l’ensemble de règles

Microsoft met régulièrement à jour les règles gérées pour tenir compte du paysage actuel des menaces. Veillez à vérifier régulièrement les mises à jour des ensembles de règles gérées par Azure.

Pour plus d’informations, consultez Règles et groupes de règles Data Replication Service Azure Web Application Firewall.

Meilleures pratiques de limitation des taux

Cette section décrit les meilleures pratiques relatives à la limitation du débit.

Ajouter la limitation du débit

Le WAF Azure Front Door vous permet de contrôler le nombre de requêtes autorisées à partir de l’adresse IP de chaque client sur une période donnée. Il est recommandé d’ajouter une limitation de débit pour réduire l’effet des clients envoyant accidentellement ou intentionnellement de grandes quantités de trafic à votre service, comme lors d’une tempête de nouvelles tentatives.

Pour plus d’informations, consultez les ressources suivantes :

• Qu’est-ce que la limitation de débit pour Azure Front Door ?.
• Configurer une règle de limitation de débit Azure Web Application Firewall à l’aide d’Azure PowerShell.
• Pourquoi les requêtes au-delà du seuil configuré pour ma règle de limitation de débit sont-elles transmises à mon serveur principal ?

Utiliser un seuil élevé pour les limites de débit

Il est généralement recommandé de définir un seuil de limitation de débit relativement élevé. Par exemple, si vous savez qu’une seule adresse IP cliente peut envoyer environ 10 requêtes à votre serveur chaque minute, envisagez de spécifier un seuil de 20 requêtes par minute.

Les seuils de limitation de débit élevés évitent de bloquer le trafic légitime. Ces seuils offrent toujours une protection contre un nombre extrêmement élevé de demandes susceptibles de submerger votre infrastructure.

Meilleures pratiques relatives au géofiltrage

Cette section décrit les meilleures pratiques relatives au géofiltrage.

Géofiltrer le trafic

De nombreuses applications web sont conçues pour les utilisateurs d’une région géographique spécifique. Si cette situation s’applique à votre application, envisagez d’implémenter le géofiltrage pour bloquer les requêtes provenant de l’extérieur des pays ou régions depuis lesquels vous prévoyez de recevoir du trafic.

Pour plus d’informations, consultez Qu’est-ce que le géofiltrage sur un domaine Azure Front Door ?.

Spécifier l’emplacement inconnu (ZZ)

Certaines adresses IP ne sont pas mappées aux emplacements de notre jeu de données. Lorsqu’une adresse IP ne peut pas être mappée à un emplacement, le WAF attribue le trafic à une région ou un pays inconnu (ZZ). Pour éviter de bloquer des requêtes valides provenant de ces adresses IP, envisagez d’autoriser la région ou le pays inconnu (ZZ) par votre géofiltre.

Pour plus d’informations, consultez Qu’est-ce que le géofiltrage sur un domaine Azure Front Door ?.

Journalisation

Cette section décrit la journalisation.

Ajouter des paramètres de diagnostic pour enregistrer les journaux de votre pare-feu d’applications web

Le WAF Azure Front Door est intégré à Azure Monitor. Il est important d’enregistrer les journaux du pare-feu d’applications web vers une destination telle que Log Analytics. Vous devez régulièrement consulter les journaux du pare-feu d'applications web. L’évaluation de ces journaux vous aide à paramétrer vos stratégies WAF pour réduire la détection de faux positifs et à savoir si votre application a fait l’objet d’attaques.

Pour plus d’informations, consultez Analyse et journalisation du pare-feu d’applications web Azure.

Envoyer des journaux à Microsoft Sentinel

Microsoft Sentinel est un système de gestion des informations et des événements de sécurité (SIEM), qui importe les journaux et les données de plusieurs sources afin de bien comprendre le paysage des menaces pour votre application web et l’environnement Azure global. Les journaux WAF Azure Front Door doivent être importés dans Microsoft Sentinel ou dans un autre système SIEM afin que vos propriétés accessibles sur Internet soient incluses dans son analyse. Pour Microsoft Sentinel, utilisez le connecteur WAF Azure afin d’importer facilement vos journaux WAF.

Pour plus d’informations, consultez Utiliser Microsoft Sentinel avec Azure Web Application Firewall.

Étapes suivantes

Découvrez comment Créer une stratégie WAF Azure Front Door.