Web Application Firewall di Azure nel gateway applicazione di AzureAzure Web Application Firewall on Azure Application Gateway

Web Application Firewall (WAF) di Azure nel gateway applicazione di Azure offre protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni.Azure Web Application Firewall (WAF) on Azure Application Gateway provides centralized protection of your web applications from common exploits and vulnerabilities. Le applicazioni Web sono sempre più vittime di attacchi che sfruttano le più comuni e note vulnerabilità.Web applications are increasingly targeted by malicious attacks that exploit commonly known vulnerabilities. Gli attacchi SQL injection e quelli tramite scripting intersito sono tra i più comuni.SQL injection and cross-site scripting are among the most common attacks.

WAF in gateway applicazione basa sullo standard CRS (Core Rule Set) 3.1, 3.0 o 2.2.9 dell'OWASP (Open Web Application Security Project).WAF on Application Gateway is based on Core Rule Set (CRS) 3.1, 3.0, or 2.2.9 from the Open Web Application Security Project (OWASP). WAF si aggiorna automaticamente per includere la protezione contro le nuove vulnerabilità, senza alcuna configurazione aggiuntiva.The WAF automatically updates to include protection against new vulnerabilities, with no additional configuration needed.

Tutte le funzionalità di WAF elencate di seguito sono disponibili all'interno di un criterio di WAF.All of the WAF features listed below exist inside of a WAF Policy. È possibile creare più criteri, che possono essere associati a un gateway applicazione, a singoli listener o a regole di routing basate su percorso in un gateway applicazione.You can create multiple policies, and they can be associated with an Application Gateway, to individual listeners, or to path-based routing rules on an Application Gateway. In questo modo, se necessario, è possibile avere criteri distinti per ogni sito dietro il gateway applicazione.This way, you can have separate policies for each site behind your Application Gateway if needed. Per altre informazioni sui criteri di WAF, vedere Creare un criterio di WAF.For more information on WAF Policies, see Create a WAF Policy.

Nota

I criteri di WAF per sito e per URI sono disponibili in anteprima pubblica.Per-site and per-URI WAF Policies are in Public Preview. Questa funzionalità è quindi soggetta alle condizioni per l'utilizzo supplementari di Microsoft.That means this feature is subject to Microsoft's Supplemental Terms of Use. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.For more information, see Supplemental Terms of Use for Microsoft Azure Previews.

Diagramma di WAF nel gateway applicazione

Il gateway applicazione funziona da controller per la distribuzione di applicazioni (ADC, Application Delivery Controller).Application Gateway operates as an application delivery controller (ADC). Offre TLS (Transport Layer Security), noto in precedenza come SSL (Secure Sockets Layer), terminazione, affinità di sessione basata su cookie, distribuzione del carico round robin, routing basato sul contenuto, possibilità di ospitare più siti Web e miglioramenti della sicurezza.It offers Transport Layer Security (TLS), previously known as Secure Sockets Layer (SSL), termination, cookie-based session affinity, round-robin load distribution, content-based routing, ability to host multiple websites, and security enhancements.

I miglioramenti della sicurezza offerti dal gateway applicazione includono la gestione dei criteri di TLS e il supporto di TLS end-to-end.Application Gateway security enhancements include TLS policy management and end-to-end TLS support. La sicurezza delle applicazioni è rafforzata dall'integrazione di WAF nel gateway applicazione.Application security is strengthened by WAF integration into Application Gateway. La combinazione protegge le applicazioni Web da vulnerabilità comuni.The combination protects your web applications against common vulnerabilities. Fornisce inoltre una posizione centrale di facile configurazione da gestire.And it provides an easy-to-configure central location to manage.

VantaggiBenefits

Questa sezione descrive i vantaggi principali offerti da WAF nel gateway applicazione.This section describes the core benefits that WAF on Application Gateway provides.

ProtezioneProtection

  • Protezione dell'applicazione Web dalle vulnerabilità e dagli attacchi del Web, senza alcuna modifica del codice di back-end.Protect your web applications from web vulnerabilities and attacks without modification to back-end code.

  • Protezione contemporanea di più applicazioni Web.Protect multiple web applications at the same time. Un'istanza del gateway applicazione può ospitare fino a 40 siti Web protetti da Web Application Firewall.An instance of Application Gateway can host up to 40 websites that are protected by a web application firewall.

  • Creazione di criteri di WAF personalizzati per siti diversi dietro lo stesso firewall WAFCreate custom WAF policies for different sites behind the same WAF

  • Protezione delle applicazioni Web da bot dannosi con il set di regole IP Reputation (anteprima)Protect your web applications from malicious bots with the IP Reputation ruleset (preview)

MonitoraggioMonitoring

  • Monitoraggio degli attacchi contro le applicazioni Web tramite il log in tempo reale di WAF.Monitor attacks against your web applications by using a real-time WAF log. Il log è integrato in Monitoraggio di Azure per tenere traccia degli avvisi di WAF e monitorare con facilità le tendenze.The log is integrated with Azure Monitor to track WAF alerts and easily monitor trends.

  • WAF nel gateway applicazione è integrato con il Centro sicurezza di Azure.The Application Gateway WAF is integrated with Azure Security Center. Il Centro sicurezza offre una visione centralizzata dello stato di sicurezza di tutte le risorse di Azure.Security Center provides a central view of the security state of all your Azure resources.

PersonalizzazioneCustomization

  • Personalizzazione di regole e gruppi di regole di WAF in base ai requisiti delle applicazioni ed eliminazione di falsi positivi.Customize WAF rules and rule groups to suit your application requirements and eliminate false positives.

  • Associazione di un criterio di WAF per ogni sito dietro WAF per consentire la configurazione specifica per sitoAssociate a WAF Policy for each site behind your WAF to allow for site-specific configuration

  • Creazione di regole personalizzate per soddisfare le esigenze dell'applicazioneCreate custom rules to suit the needs of your application

FunzionalitàFeatures

  • Protezione da attacchi SQL injection.SQL-injection protection.
  • Protezione da attacchi tramite script da altri siti.Cross-site scripting protection.
  • Protezione da altri attacchi Web comuni, come command injection, HTTP Request Smuggling, HTTP Response Splitting e Remote File Inclusion.Protection against other common web attacks, such as command injection, HTTP request smuggling, HTTP response splitting, and remote file inclusion.
  • Protezione da violazioni del protocollo HTTP.Protection against HTTP protocol violations.
  • Protezione da anomalie del protocollo HTTP, ad esempio agente utente host e intestazioni accept mancanti.Protection against HTTP protocol anomalies, such as missing host user-agent and accept headers.
  • Protezione da crawler e scanner.Protection against crawlers and scanners.
  • Rilevamento di errori di configurazione comuni dell'applicazione, ad esempio Apache e IIS.Detection of common application misconfigurations (for example, Apache and IIS).
  • Limiti inferiori e superiori configurabili per le dimensioni delle richieste.Configurable request size limits with lower and upper bounds.
  • Elenchi di esclusione che consentono di omettere determinati attributi delle richieste da una valutazione di WAF.Exclusion lists let you omit certain request attributes from a WAF evaluation. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione o per i campi delle password.A common example is Active Directory-inserted tokens that are used for authentication or password fields.
  • Creazione di regole personalizzate per soddisfare le esigenze delle applicazioni.Create custom rules to suit the specific needs of your applications.
  • Traffico con filtro basato sull'area geografica per consentire o impedire a determinati paesi/aree geografiche di accedere alle applicazioni.Geo-filter traffic to allow or block certain countries/regions from gaining access to your applications. (anteprima)(preview)
  • Protezione delle applicazioni dai bot con il set di regole di mitigazione dei bot.Protect your applications from bots with the bot mitigation ruleset. (anteprima)(preview)

Criterio di WAFWAF Policy

Per abilitare Web Application Firewall in un gateway applicazione, è necessario creare un criterio di WAF.To enable a Web Application Firewall on an Application Gateway, you must create a WAF Policy. Questo criterio include tutte le regole gestite, le regole personalizzate, le esclusioni e altre personalizzazioni, ad esempio un limite per il caricamento di file.This Policy is where all of the managed rules, custom rules, exclusions, and other customizations such as file upload limit exist.

Set di regole principaliCore rule sets

Il gateway applicazione supporta tre set di regole, ovvero CRS 3.1, CRS 3.0 e CRS 2.2.9.Application Gateway supports three rule sets: CRS 3.1, CRS 3.0, and CRS 2.2.9. Queste regole proteggono le applicazioni Web da attività dannose.These rules protect your web applications from malicious activity.

Per altre informazioni, vedere Regole e gruppi di regole CRS di Web Application Firewall.For more information, see Web application firewall CRS rule groups and rules.

Regole personalizzateCustom rules

Il gateway applicazione supporta anche regole personalizzate,Application Gateway also supports custom rules. ossia regole che è possibile creare e che vengono valutate per ogni richiesta che passa attraverso WAF.With custom rules, you can create your own rules, which are evaluated for each request that passes through WAF. Queste regole hanno una priorità più elevata rispetto alle altre dei set di regole gestiti.These rules hold a higher priority than the rest of the rules in the managed rule sets. Se viene soddisfatto un set di condizioni, viene intrapresa un'azione per consentire o bloccare le richieste.If a set of conditions is met, an action is taken to allow or block.

L'operatore di corrispondenza geografica è ora disponibile in anteprima pubblica per le regole personalizzate.The geomatch operator is now available in public preview for custom rules. Per altre informazioni, vedere Regole personalizzate di corrispondenza geografica.Please see geomatch custom rules for more information.

Nota

L'operatore di corrispondenza geografica per le regole personalizzate è attualmente disponibile in anteprima pubblica e viene fornito con un contratto di servizio di anteprima.The geomatch operator for custom rules is currently in public preview and is provided with a preview service level agreement. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features may not be supported or may have constrained capabilities. Vedere Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

Per altre informazioni, vedere Regole personalizzate per il gateway applicazione.For more information on custom rules, see Custom Rules for Application Gateway.

Mitigazione dei bot (anteprima)Bot Mitigation (preview)

Per WAF è possibile abilitare un set di regole gestito di protezione dai bot per bloccare o registrare le richieste provenienti da indirizzi IP noti per essere dannosi, oltre al set di regole gestito.A managed Bot protection rule set can be enabled for your WAF to block or log requests from known malicious IP addresses, alongside the managed ruleset. Gli indirizzi IP hanno origine dal feed di Microsoft Threat Intelligence.The IP addresses are sourced from the Microsoft Threat Intelligence feed. La soluzione Microsoft Threat Intelligence, basata su Intelligent Security Graph, viene usata da più servizi, tra cui Centro sicurezza di Azure.Intelligent Security Graph powers Microsoft threat intelligence and is used by multiple services including Azure Security Center.

Nota

Il set di regole di protezione dai bot è attualmente disponibile in anteprima pubblica e viene fornito con un contratto di servizio di anteprima.Bot protection rule set is currently in public preview and is provided with a preview service level agreement. Alcune funzionalità potrebbero non essere supportate o potrebbero presentare funzionalità limitate.Certain features may not be supported or may have constrained capabilities. Vedere Condizioni supplementari per l'uso delle anteprime di Microsoft Azure.See the Supplemental Terms of Use for Microsoft Azure Previews for details.

Se la protezione dai bot è abilitata, le richieste in ingresso che corrispondono a IP client di bot dannosi vengono registrati nel log del firewall. Per altre informazioni, vedere di seguito.If Bot Protection is enabled, incoming requests that match Malicious Bot's client IPs are logged in the Firewall log, see more information below. È possibile accedere ai log di WAF dall'account di archiviazione, dall'hub eventi o da Log Analytics.You may access WAF logs from storage account, event hub, or log analytics.

Modalità di WAFWAF modes

WAF nel gateway applicazione può essere configurato per l'esecuzione nelle due modalità seguenti:The Application Gateway WAF can be configured to run in the following two modes:

  • Modalità di rilevamento: monitora e registra tutti gli avvisi sulle minacce.Detection mode: Monitors and logs all threat alerts. Attivare la registrazione diagnostica per il gateway applicazione usando la sezione Diagnostica.You turn on logging diagnostics for Application Gateway in the Diagnostics section. È anche necessario assicurarsi che il log di WAF sia selezionato e attivato.You must also make sure that the WAF log is selected and turned on. Quando viene eseguito in modalità di rilevamento, Web Application Firewall non blocca le richieste in ingresso.Web application firewall doesn't block incoming requests when it's operating in Detection mode.
  • Modalità di prevenzione: blocca le intrusioni e gli attacchi rilevati dalle regole.Prevention mode: Blocks intrusions and attacks that the rules detect. L'autore dell'attacco riceve un'eccezione di "accesso non autorizzato 403" e la connessione viene chiusa.The attacker receives a "403 unauthorized access" exception, and the connection is closed. La modalità di prevenzione registra tali attacchi nei log di WAF.Prevention mode records such attacks in the WAF logs.

Nota

Negli ambienti di produzione è consigliabile eseguire una nuova distribuzione di WAF in modalità di rilevamento per un breve periodo di tempo.It is recommended that you run a newly deployed WAF in Detection mode for a short period of time in a production environment. In questo modo è possibile ottenere i log del firewall e aggiornare eventuali eccezioni o regole personalizzate prima della transizione alla modalità di prevenzione.This provides the opportunity to obtain firewall logs and update any exceptions or custom rules prior to transition to Prevention mode. Ciò consente di ridurre la possibilità che il traffico venga bloccato in modo imprevisto.This can help reduce the occurrence of unexpected blocked traffic.

Modalità di assegnazione di punteggi di anomaliaAnomaly Scoring mode

OWASP prevede due modalità per decidere se bloccare o meno il traffico: la modalità tradizionale e la modalità di assegnazione di punteggi di anomalia.OWASP has two modes for deciding whether to block traffic: Traditional mode and Anomaly Scoring mode.

In modalità tradizionale, il traffico che corrisponde a qualsiasi regola viene considerato in modo indipendente da qualsiasi altra regola corrispondente.In Traditional mode, traffic that matches any rule is considered independently of any other rule matches. Questa modalità è facile da comprendere.This mode is easy to understand. Ma la mancanza di informazioni sul numero di regole che corrispondono a una specifica richiesta costituisce una limitazione.But the lack of information about how many rules match a specific request is a limitation. Per questo motivo, è stata introdotta la modalità di assegnazione di punteggi di anomalia.So, Anomaly Scoring mode was introduced. Si tratta dell'impostazione predefinita per OWASP 3.x.It's the default for OWASP 3.x.

In questa modalità, il traffico che corrisponde a qualsiasi regola non viene immediatamente bloccato se il firewall è in modalità di prevenzione.In Anomaly Scoring mode, traffic that matches any rule isn't immediately blocked when the firewall is in Prevention mode. Le regole hanno uno specifico livello di gravità: critico, errore, avviso o notifica.Rules have a certain severity: Critical, Error, Warning, or Notice. Questo livello determina un valore numerico per la richiesta, ossia il punteggio di anomalia.That severity affects a numeric value for the request, which is called the Anomaly Score. Ad esempio, una regola di tipo avviso aggiunge 3 al punteggio.For example, one Warning rule match contributes 3 to the score. Una regola di livello critico aggiunge 5.One Critical rule match contributes 5.

GravitàSeverity valoreValue
CriticoCritical 55
ErroreError 44
AvvisoWarning 33
NotificaNotice 22

Per bloccare il traffico, il punteggio di anomalia deve raggiungere la soglia 5.There's a threshold of 5 for the Anomaly Score to block traffic. Quindi, una singola corrispondenza con una regola di livello critico è sufficiente perché WAF nel gateway applicazione blocchi una richiesta, anche in modalità di prevenzione.So, a single Critical rule match is enough for the Application Gateway WAF to block a request, even in Prevention mode. Invece una singola corrispondenza con una regola di tipo avviso si limita a incrementare di 3 il punteggio di anomalia, quindi non è sufficiente per bloccare il traffico.But one Warning rule match only increases the Anomaly Score by 3, which isn't enough by itself to block the traffic.

Nota

Il messaggio registrato quando una regola di WAF corrisponde al traffico include il valore di azione "Blocked", ossia bloccato.The message that's logged when a WAF rule matches traffic includes the action value "Blocked." Ma in realtà il traffico viene bloccato solo nel caso di un punteggio di anomalia pari o superiore a 5.But the traffic is actually only blocked for an Anomaly Score of 5 or higher.

Monitoraggio di WAFWAF monitoring

Il monitoraggio dello stato del gateway applicazione è un'attività importante.Monitoring the health of your application gateway is important. Il monitoraggio dell'integrità di WAF e delle applicazioni che protegge è supportato dall'integrazione con il Centro sicurezza di Azure, con Monitoraggio di Azure e con i log di Monitoraggio di Azure.Monitoring the health of your WAF and the applications that it protects are supported by integration with Azure Security Center, Azure Monitor, and Azure Monitor logs.

Diagramma della diagnostica di WAF nel gateway applicazione

Monitoraggio di AzureAzure Monitor

I log del gateway applicazione sono integrati con Monitoraggio di Azure.Application Gateway logs are integrated with Azure Monitor. Ciò consente di tenere traccia delle informazioni diagnostiche, inclusi i log e gli avvisi di WAF.This allows you to track diagnostic information, including WAF alerts and logs. È possibile accedere a questa funzionalità nella scheda Diagnostica della risorsa Gateway applicazione nel portale o direttamente tramite Monitoraggio di Azure.You can access this capability on the Diagnostics tab in the Application Gateway resource in the portal or directly through Azure Monitor. Per altre informazioni sull'abilitazione dei log, vedere Diagnostica del gateway applicazione.To learn more about enabling logs, see Application Gateway diagnostics.

Centro sicurezza di AzureAzure Security Center

Il Centro sicurezza aiuta a prevenire, rilevare e rispondere alle minacce.Security Center helps you prevent, detect, and respond to threats. Offre maggiore visibilità e controllo sulla sicurezza delle risorse di Azure.It provides increased visibility into and control over the security of your Azure resources. Il gateway applicazione è integrato con il Centro sicurezza.Application Gateway is integrated with Security Center. Il Centro sicurezza analizza l'ambiente per rilevare eventuali applicazioni Web non protetteSecurity Center scans your environment to detect unprotected web applications. e può consigliare a WAF nel gateway applicazione di proteggere queste risorse vulnerabili.It can recommend Application Gateway WAF to protect these vulnerable resources. I firewall vengono creati direttamente dal Centro sicurezza.You create the firewalls directly from Security Center. Queste istanze di WAF sono integrate con il Centro sicurezza.These WAF instances are integrated with Security Center. Inviano avvisi e informazioni sull'integrità al Centro sicurezza a scopo di report.They send alerts and health information to Security Center for reporting.

Finestra di panoramica del Centro sicurezza

Azure SentinelAzure Sentinel

Microsoft Azure Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud.Microsoft Azure Sentinel is a scalable, cloud-native, security information event management (SIEM) and security orchestration automated response (SOAR) solution. Azure Sentinel offre analisi della sicurezza intelligenti e intelligence sulle minacce per l'intera azienda, fornendo un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.Azure Sentinel delivers intelligent security analytics and threat intelligence across the enterprise, providing a single solution for alert detection, threat visibility, proactive hunting, and threat response.

Con la cartella di lavoro predefinita degli eventi del firewall Azure WAF, è possibile ottenere una panoramica degli eventi di sicurezza in WAF.With the built-in Azure WAF firewall events workbook, you can get an overview of the security events on your WAF. Sono inclusi eventi, regole corrispondenti e bloccanti e tutto quello che viene registrato nei log del firewall.This includes events, matched and blocked rules, and everything else that gets logged in the firewall logs. Per altre informazioni sulla registrazione, vedere di seguito.See more on logging below.

Sentinel

RegistrazioneLogging

WAF nel gateway applicazione fornisce report dettagliati su ogni minaccia rilevata.Application Gateway WAF provides detailed reporting on each threat that it detects. La registrazione è integrata con i log di Diagnostica di Azure.Logging is integrated with Azure Diagnostics logs. Gli avvisi vengono registrati nel formato JSON.Alerts are recorded in the .json format. Questi log possono essere integrati con i log di Monitoraggio di Azure.These logs can be integrated with Azure Monitor logs.

Finestre dei log di diagnostica del gateway applicazione

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Prezzi dello SKU WAF del gateway applicazioneApplication Gateway WAF SKU pricing

I modelli di determinazione dei prezzi sono diversi per gli SKU WAF_v1 e WAF_v2.The pricing models are different for the WAF_v1 and WAF_v2 SKUs. Per altre informazioni, vedere la pagina relativa ai prezzi del gateway applicazione.Please see the Application Gateway pricing page to learn more.

Passaggi successiviNext steps