Azure Front Door 上の Web アプリケーションファイアウォール (WAF)

[アーティクル]
06/06/2023

Azure Front Door の Azure Web アプリケーションファイアウォール (WAF) は、Web アプリケーションに対する一元的な保護を提供します。 WAF は、一般的な悪用や脆弱性から Web サービスを守ります。ユーザーに対するサービスの高可用性が維持され、コンプライアンス要件を満たしやすくなります。この記事では、Azure Front Door 上の Azure Web Application Firewall のさまざまな機能について説明します。詳細については、Azure Front Door の WAF に関するページをご覧ください。

Azure Front Door 環境に適用された Web Application Firewall の図。

ポリシー設定

Web アプリケーションファイアウォール (WAF) ポリシーを使用すると、一連のカスタム規則とマネージド規則によって、Web アプリケーションへのアクセスを制御することができます。ポリシーの状態を変更するか、ポリシーの特定のモードタイプを構成できます。ポリシーレベルの設定に応じて、受信要求をアクティブに検査する、監視のみを行う、監視を行いルールに一致する要求に対してアクションを実行する、のいずれかを選択できます。また、WAF を構成して、脅威をブロックせずに検出だけすることもできます。これは、まず WAF を有効にする場合に便利です。 WAF がアプリケーションでどのように動作するかを評価したら、WAF 設定を再構成し、防止モードで WAF を有効にすることができます。詳細については、WAF ポリシーの設定に関するページをご覧ください。

マネージドルール

Azure Front Door の Web Application Firewall (WAF) により、Web アプリケーションは一般的な脆弱性や悪用から保護されます。 Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。ルールセットは Azure によって管理されるので、ルールは、新しい攻撃シグネチャから保護するために必要に応じて更新されます。また、既定の規則セットには、Microsoft 脅威インテリジェンスの収集規則が含まれます。これは、Microsoft インテリジェンスチームと協力して作成されており、カバレッジの向上、特定の脆弱性に対するパッチ、擬陽性削減の向上を実現するものです。詳細については、WAF マネージド規則に関するページをご覧ください。

注意

Azure Front Door Premium と Azure Front Door (クラシック) のみ、マネージド規則をサポートします。
Azure Front Door (クラシック) では、DRS 1.1 以下のみをサポートしています。

カスタム規則

Front Door で Azure Web アプリケーションファイアウォール (WAF) を使用すると、ユーザーが定義した条件に基づいて Web アプリケーションへのアクセスを制御することができます。カスタム WAF 規則は、優先順位番号、規則の種類、一致条件、およびアクションで構成されます。カスタム規則には、一致規則とレート制限規則の 2 種類があります。一致規則では一連の一致条件に基づいてアクセスが制御されるのに対し、レート制限規則では一致条件と受信要求のレートに基づいてアクセスが制御されます。詳細については、WAF カスタム規則に関するページをご覧ください。

除外リスト

Azure Web アプリケーションファイアウォール (WAF) によって、アプリケーションに許可したい要求がブロックされる場合があります。 WAF 除外リストを使用すると、WAF 評価から特定の要求属性を省略し、残りの要求を通常のように処理できます。詳細については、 WAF 除外リストに関するページをご覧ください。

geo フィルタリング

Azure Front Door は既定では、要求がどこから来ているかの場所に関係なくすべてのユーザー要求に応答します。ジオフィルタリングを使用すると、国/地域別に Web アプリケーションへのアクセスを制限できます。詳細については、WAF ジオフィルタリングに関するページをご覧ください。

ボット保護

Front Door 用の Azure Web アプリケーションファイアウォール (WAF) には、適切なボットを識別し、悪いボットから保護するためのボット規則が用意されています。詳細については、ボット保護の構成に関するページをご覧ください。

IP 制限

IP アドレスベースのアクセス制御規則はカスタム WAF 規則であり、IP アドレスのリストまたは IP アドレスの範囲を指定することにより、Web アプリケーションへのアクセスを制御できます。詳細については、IP 制限の構成に関するページをご覧ください。

レート制限

カスタムレート制限規則は、一致条件と受信要求のレートに基づいてアクセスを制御します。詳細については、「Azure Front Door Service のレート制限とは」を参照してください。

チューニング

Microsoft が管理する既定の規則セットは、OWASP コアルールセット (CRS) に基づいており、Microsoft 脅威インテリジェンスの収集規則が含まれています。 Azure Web アプリケーションファイアウォール (WAF) を使用すると、アプリケーションと組織の WAF 要件のニーズに合わせて WAF 規則を調整できます。予想されるチューニング機能には、ルール除外の定義、カスタム規則の作成、規則の無効化があります。詳細については、WAF のチューニングに関するページをご覧ください。

監視とログ記録

Azure Web アプリケーションファイアウォール (WAF) の監視とログ記録は、Azure Monitor および Azure Monitor ログのログ記録およびそれらとの統合を通じて提供されます。詳細については、「Azure Web アプリケーションファイアウォール (WAF) のログ記録と監視」を参照してください。

次のステップ

Azure Front Door に Web Application Firewall ポリシーを作成して適用する方法について説明します。
詳細については、Web アプリケーションファイアウォール (WAF) に関する FAQ ページを参照してください。

Azure Front Door 上の Web アプリケーション ファイアウォール (WAF)