Azure Front Door 上の Web アプリケーション ファイアウォール (WAF)

Azure Front Door の Azure Web アプリケーション ファイアウォール (WAF) は、Web アプリケーションに対する一元的な保護を提供します。 WAF は、一般的な悪用や脆弱性から Web サービスを守ります。 ユーザーに対するサービスの高可用性が維持され、コンプライアンス要件を満たしやすくなります。 この記事では、Azure Front Door の Azure Web アプリケーション ファイアウォールのさまざまな機能について説明します。 詳細については、Azure Front Door の WAF に関するページをご覧ください。

Diagram of Web Application Firewall applied to an Azure Front Door environment.

ポリシー設定

Web アプリケーション ファイアウォール (WAF) ポリシーを使用すると、一連のカスタム規則とマネージド規則によって、Web アプリケーションへのアクセスを制御することができます。 ポリシーの状態を変更するか、ポリシーの特定のモード タイプを構成できます。 ポリシー レベルの設定に応じて、受信要求をアクティブに検査して、監視のみを行う、または規則に一致する要求に対して監視してアクションを実行する、のいずれかを選択できます。 詳細については、WAF ポリシーの設定 に関するページをご覧ください。

マネージド ルール

Azure Front Door の Web Application Firewall (WAF) により、Web アプリケーションは一般的な脆弱性や悪用から保護されます。 Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。 そのような規則セットは Azure によって管理されるので、規則は、新しい攻撃シグネチャから保護するため、必要に応じて更新されます。 また、既定の規則セットには、Microsoft 脅威インテリジェンスの収集規則が含まれます。これは、Microsoft インテリジェンス チームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上を実現するものです。 詳細については、WAF マネージド規則に関するページをご覧ください。

注意

  • Azure Front Door Premium と Azure Front Door (クラシック) のみ、マネージド規則をサポートします。
  • Azure Front Door (クラシック) では、DRS 1.1 以下のみをサポートしています。

カスタム規則

Front Door で Azure Web アプリケーション ファイアウォール (WAF) を使用すると、ユーザーが定義した条件に基づいて Web アプリケーションへのアクセスを制御することができます。 カスタム WAF 規則は、優先順位番号、規則の種類、一致条件、およびアクションで構成されます。 カスタム規則には、一致規則とレート制限規則の 2 種類があります。 一致規則では一連の一致条件に基づいてアクセスが制御されるのに対し、レート制限規則では一致条件と受信要求のレートに基づいてアクセスが制御されます。 詳細については、WAF カスタム規則に関するページをご覧ください。

除外リスト

Azure Web アプリケーション ファイアウォール (WAF) によって、アプリケーションに許可したい要求がブロックされる場合があります。 WAF 除外リストを使用すると、WAF 評価から特定の要求属性を省略し、残りの要求を通常のように処理できます。 詳細については、 WAF 除外リスト に関するページをご覧ください。

geo フィルタリング

既定の Azure Front Door は、要求が送信される場所に関係なくすべてのユーザーの要求に応答します。 ジオ フィルタリングを使用すると、国/地域別に Web アプリケーションへのアクセスを制限できます。 詳細については、WAF ジオ フィルタリングに関するページをご覧ください。

ボット保護

Front Door 用の Azure Web アプリケーション ファイアウォール (WAF) には、適切なボットを識別し、悪いボットから保護するためのボット規則が用意されています。 詳細については、ボット保護の構成に関するページをご覧ください。

IP 制限

IP アドレス ベースのアクセス制御規則はカスタム WAF 規則であり、IP アドレスのリストまたは IP アドレスの範囲を指定することにより、Web アプリケーションへのアクセスを制御できます。 詳細については、IP 制限の構成に関するページをご覧ください。

レート制限

カスタム レート制限規則では、一致条件と受信要求のレートに基づいてアクセスが制御されます。 詳細については、レート制限の構成に関するページをご覧ください。

チューニング

Microsoft が管理する既定の規則セットは、OWASP コア ルール セット (CRS) に基づいており、Microsoft 脅威インテリジェンスの収集規則が含まれています。 Azure Web アプリケーション ファイアウォール (WAF) を使用すると、アプリケーションと組織の WAF 要件のニーズに合わせて WAF 規則を調整できます。 予想されるチューニング機能には、ルール除外の定義、カスタム規則の作成、規則の無効化があります。 詳細については、WAF のチューニングに関するページをご覧ください。

監視とログ記録

Azure Web アプリケーション ファイアウォール (WAF) の監視とログ記録は、Azure Monitor および Azure Monitor ログのログ記録およびそれらとの統合を通じて提供されます。 詳細については、「Azure Web アプリケーション ファイアウォール (WAF) のログ記録と監視」 を参照してください。

次のステップ