Azure Front Door 上の Azure Web アプリケーション ファイアウォールAzure Web Application Firewall on Azure Front Door

Azure Front Door の Azure Web アプリケーション ファイアウォール (WAF) は、Web アプリケーションに対する一元的な保護を提供します。Azure Web Application Firewall (WAF) on Azure Front Door provides centralized protection for your web applications. WAF は、一般的な悪用や脆弱性から Web サービスを守ります。WAF defends your web services against common exploits and vulnerabilities. ユーザーに対するサービスの高可用性が維持され、コンプライアンス要件を満たしやすくなります。It keeps your service highly available for your users and helps you meet compliance requirements.

Front Door 上の WAF は、グローバルな一元的ソリューションです。WAF on Front Door is a global and centralized solution. デプロイされる場所は、世界中の Azure ネットワーク エッジです。It's deployed on Azure network edge locations around the globe. WAF 対応の Web アプリケーションは、ネットワーク エッジの Front Door によって配信されたすべての受信要求を検査します。WAF enabled web applications inspect every incoming request delivered by Front Door at the network edge.

WAF は仮想ネットワークに入る前の攻撃ソースの近くで悪意のある攻撃を防ぐことができます。WAF prevents malicious attacks close to the attack sources, before they enter your virtual network. パフォーマンスを損なうことなく大規模でグローバルな保護機能を利用することができます。You get global protection at scale without sacrificing performance. WAF のポリシーはサブスクリプション内の任意の Front Door プロファイルに簡単にリンクできます。A WAF policy easily links to any Front Door profile in your subscription. 新しいルールを数分で展開できるので、脅威のパターンの変化にすばやく対応できます。New rules can be deployed within minutes, so you can respond quickly to changing threat patterns.

Azure Web アプリケーション ファイアウォール

WAF のポリシーと規則WAF policy and rules

WAF ポリシーを構成し、保護のためにそのポリシーを 1 つ以上の Front Door フロントエンドと関連付けることができます。You can configure a WAF policy and associate that policy to one or more Front Door front-ends for protection. WAF ポリシーは、2 種類のセキュリティ規則で構成されます。A WAF policy consists of two types of security rules:

  • お客様によって作成されたカスタム規則。custom rules that are authored by the customer.

  • Azure で管理される事前に構成された一連の規則のコレクションであるマネージド規則セット。managed rule sets that are a collection of Azure-managed pre-configured set of rules.

両方ともある場合、マネージド規則セットの規則が処理される前に、カスタム規則が処理されます。When both are present, custom rules are processed before processing the rules in a managed rule set. 規則は、一致条件、優先順位、およびアクションで構成されます。A rule is made of a match condition, a priority, and an action. サポートされているアクションの種類は次のとおりです: 許可、ブロック、ログ、リダイレクト。Action types supported are: ALLOW, BLOCK, LOG, and REDIRECT. マネージド規則とカスタム規則を組み合わせることで、特定のアプリケーション保護要件を満たす完全にカスタマイズされたポリシーを作成することができます。You can create a fully customized policy that meets your specific application protection requirements by combining managed and custom rules.

ポリシー内の規則は、優先順位に従って処理されます。Rules within a policy are processed in a priority order. 優先順位は、規則の処理順序を定義する一意の整数です。Priority is a unique integer that defines the order of rules to process. 整数値が小さいほど高い優先順位を表し、大きい整数値の規則より前に評価されます。Smaller integer value denotes a higher priority and those rules are evaluated before rules with a higher integer value. 規則が一致すると、規則で定義されている対応するアクションが要求に対して適用されます。Once a rule is matched, the corresponding action that was defined in the rule is applied to the request. このような一致が処理された後、優先順位の低い規則はそれ以上処理されません。Once such a match is processed, rules with lower priorities aren't processed further.

Front Door によって提供される Web アプリケーションには、一度に 1 つの WAF ポリシーだけを関連付けることができます。A web application delivered by Front Door can have only one WAF policy associated with it at a time. ただし、Front Door の構成に WAF ポリシーを関連付けなくてもかまいません。However, you can have a Front Door configuration without any WAF policies associated with it. WAF ポリシーが存在する場合は、世界中のセキュリティ ポリシーで一貫性が保たれるよう、すべてのエッジの場所にポリシーがレプリケートされます。If a WAF policy is present, it's replicated to all of our edge locations to ensure consistent security policies across the world.

WAF のモードWAF modes

WAF ポリシーは、次の 2 つのモードで実行するように構成できます。WAF policy can be configured to run in the following two modes:

  • 検出モード: 検出モードで実行されている WAF では、監視以外の他のアクションは実施されず、要求とそれに一致した WAF ルールが WAF ログに記録されます。Detection mode: When run in detection mode, WAF doesn't take any other actions other than monitors and logs the request and its matched WAF rule to WAF logs. Front Door では、診断のログ記録を有効にすることができます。You can turn on logging diagnostics for Front Door. ポータルを使用しているときに、 [診断] セクションに移動します。When you use the portal, go to the Diagnostics section.

  • 防止モード: 防止モードの WAF は、要求が規則に一致すると指定されたアクションを実行します。Prevention mode: In prevention mode, WAF takes the specified action if a request matches a rule. 一致が見つかった場合、それより優先順位が低い規則は評価されません。If a match is found, no further rules with lower priority are evaluated. 一致した要求は、WAF ログにも記録されます。Any matched requests are also logged in the WAF logs.

WAF のアクションWAF actions

WAF のお客様は、要求が規則の条件と一致したときに実行するアクションを 1 つ選択できます。WAF customers can choose to run from one of the actions when a request matches a rule’s conditions:

  • "許可: "要求は WAF を通過し、バックエンドに転送されます。Allow: Request passes through the WAF and is forwarded to back-end. それより優先順位の低い規則によって、この要求をブロックすることはできません。No further lower priority rules can block this request.
  • ブロック: 要求はブロックされ、WAF はバックエンドに要求を転送せず、クライアントに応答を送信します。Block: The request is blocked and WAF sends a response to the client without forwarding the request to the back-end.
  • ログ: 要求は WAF ログに記録され、WAF は優先順位の低い規則の評価を続行します。Log: Request is logged in the WAF logs and WAF continues evaluating lower priority rules.
  • リダイレクト: WAF は、指定された URI に要求をリダイレクトします。Redirect: WAF redirects the request to the specified URI. 指定される URI は、ポリシー レベルの設定です。The URI specified is a policy level setting. いったん構成すると、リダイレクト アクションと一致するすべての要求が、その URI に送信されます。Once configured, all requests that match the Redirect action will be sent to that URI.

WAF の規則WAF rules

WAF ポリシーは、2 種類のセキュリティ規則で構成できます。お客様が作成するカスタム規則と、Azure によって管理される事前構成済みの規則のセットであるマネージド規則セットです。A WAF policy can consist of two types of security rules - custom rules, authored by the customer and managed rulesets, Azure-managed pre-configured set of rules.

カスタム作成規則Custom authored rules

お客様は、次のようにしてカスタム規則 WAF を構成できます。You can configure custom rules WAF as follows:

  • IP 許可リストと禁止リスト: クライアント IP アドレスのリストまたは IP アドレス範囲に基づいて Web アプリケーションへのアクセスを制御することができます。IP allow list and block list: You can control access to your web applications based on a list of client IP addresses or IP address ranges. IPV4 と IPV6 の両方のアドレス タイプがサポートされています。Both IPv4 and IPv6 address types are supported. このリストを構成し、ソース IP アドレスがリストの IP アドレスと一致した要求を、許可またはブロックできます。This list can be configured to either block or allow those requests where the source IP matches an IP in the list.

  • 地理ベースのアクセス制御: クライアントの IP アドレスに関連付けられている国番号に基づいて Web アプリケーションへのアクセスを制御することができます。Geographic based access control: You can control access to your web applications based on the country code that's associated with a client’s IP address.

  • HTTP パラメーター ベースのアクセス制御: HTTP/HTTPS 要求パラメーターに含まれる文字列の一致を規則の基準にすることができますHTTP parameters-based access control: You can base rules on string matches in HTTP/HTTPS request parameters. (クエリ文字列、POST 引数、要求 URI、要求ヘッダー、要求本文など)。For example, query strings, POST args, Request URI, Request Header, and Request Body.

  • 要求メソッド ベースのアクセス制御: 要求の HTTP 要求メソッドを規則の基準にしますRequest method-based access control: You based rules on the HTTP request method of the request. (GET、PUT、HEAD など)。For example, GET, PUT, or HEAD.

  • サイズ制約: クエリ文字列、URI、要求本文など、要求の特定の部分の長さを規則の基準にすることができます。Size constraint: You can base rules on the lengths of specific parts of a request such as query string, Uri, or request body.

  • レート制限規則: レート制御ルールでは、クライアント IP からの異常に多いトラフィックが制限されます。Rate limiting rules: A rate control rule is to limit abnormal high traffic from any client IP. 1 分間に許可されるクライアント IP アドレスからの Web 要求の数に、しきい値を構成することができます。You may configure a threshold on the number of web requests allowed from a client IP during a one-minute duration. この規則は、クライアントの IP アドレスからのすべての要求を許可またはブロックする点が、IP リストに基づく許可または禁止のカスタム規則と異なります。This rule is distinct from an IP list-based allow/block custom rule that either allows all or blocks all request from a client IP. 詳細なレート制御については、レート制限を、HTTP(S) パラメーター一致などの他の一致条件と組み合わせることができます。Rate limits can be combined with additional match conditions such as HTTP(S) parameter matches for granular rate control.

Azure で管理される規則セットAzure-managed rule sets

Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。Azure-managed rule sets provide an easy way to deploy protection against a common set of security threats. そのような規則セットが Azure によって管理されるので、新しい攻撃シグネチャから保護するために、必要に応じて規則が更新されます。Since such rulesets are managed by Azure, the rules are updated as needed to protect against new attack signatures. Azure で管理される既定の規則セットには、次の脅威カテゴリに対する規則が含まれます。Azure-managed Default Rule Set includes rules against the following threat categories:

  • クロスサイト スクリプティングCross-site scripting
  • Java 攻撃Java attacks
  • ローカル ファイル インクルージョンLocal file inclusion
  • PHP インジェクション攻撃PHP injection attacks
  • リモート コマンド実行Remote command execution
  • リモート ファイル インクルージョンRemote file inclusion
  • セッション固定Session fixation
  • SQL インジェクションからの保護SQL injection protection
  • プロトコル攻撃者Protocol attackers

既定の規則セットのバージョン番号は、新しい攻撃シグネチャが規則セットに追加されると増分されます。The version number of the Default Rule Set increments when new attack signatures are added to the rule set. WAF ポリシーの検出モードでは、既定の規則セットが既定で有効になります。Default Rule Set is enabled by default in Detection mode in your WAF policies. ご自分のアプリケーション要件に合わせて、既定の規則セット内の規則を個別に有効または無効にすることができます。You can disable or enable individual rules within the Default Rule Set to meet your application requirements. また、規則ごとに特定のアクション (許可/ブロック/リダイレクト/ログ) を設定することもできます。You can also set specific actions (ALLOW/BLOCK/REDIRECT/LOG) per rule.

場合によっては、WAF の評価から特定の要求属性を省略する必要があります。Sometimes you may need to omit certain request attributes from a WAF evaluation. 一般的な例として、認証に使用される、Active Directory で挿入されたトークンが挙げられます。A common example is Active Directory-inserted tokens that are used for authentication. 管理下にある規則や規則グループに対する除外リスト、または規則セット全体に対する除外リストを構成することができます。You may configure an exclusion list for a managed rule, rule group, or for the entire rule set.

既定のアクションはブロックです。The Default action is to BLOCK. さらに、既定の規則セット内の事前構成済みの規則のいずれかをバイパスしたい場合は、同じ WAF ポリシーでカスタム規則を構成できます。Additionally, custom rules can be configured in the same WAF policy if you wish to bypass any of the pre-configured rules in the Default Rule Set.

カスタム規則は常に、既定の規則セット内の規則が評価される前に適用されます。Custom rules are always applied before rules in the Default Rule Set are evaluated. 要求がカスタム規則に一致した場合、対応する規則のアクションが適用されます。If a request matches a custom rule, the corresponding rule action is applied. 要求はブロックされるか、バックエンドに渡されます。The request is either blocked or passed through to the back-end. 他のカスタム規則や既定の規則セット内の規則は処理されません。No other custom rules or the rules in the Default Rule Set are processed. 既定の規則セットを WAF ポリシーから削除することもできます。You can also remove the Default Rule Set from your WAF policies.

ボット保護規則セット (プレビュー)Bot protection rule set (preview)

マネージド ボット保護規則セットを有効にすると、既知のボット カテゴリからの要求に対してカスタム アクションを実行することができます。You can enable a managed bot protection rule set to take custom actions on requests from known bot categories.

サポートされるボット カテゴリは、悪性、良性、不明の 3 つです。There are three bot categories supported: Bad, Good, and Unknown. ボットの署名は、WAF プラットフォームによって管理され、動的に更新されます。Bot signatures are managed and dynamically updated by the WAF platform.

悪性ボットの例として、悪意のある IP アドレスからのボットや、ID が偽装されたボットが挙げられます。Bad bots include bots from malicious IP addresses and bots that have falsified their identities. 悪意のある IP アドレスは、Microsoft の脅威インテリジェンス フィードを情報源とし、1 時間おきに更新されます。Malicious IP addresses are sourced from the Microsoft Threat Intelligence feed and updated every hour. インテリジェント セキュリティ グラフは、Microsoft の脅威インテリジェンスを動作させ、Azure Security Center を含む複数のサービスによって使用されます。Intelligent Security Graph powers Microsoft Threat Intelligence and is used by multiple services including Azure Security Center.

良性ボットには、検証済みの検索エンジンが含まれます。Good Bots include validated search engines. 不明のカテゴリには、ボットを自称するその他のボット グループが含まれます。Unknown categories include additional bot groups that have identified themselves as bots. たとえば、マーケット アナライザー、フィード フェッチャー、データ収集エージェントが該当します。For example, market analyzer, feed fetchers and data collection agents.

不明なボットは、公開されているユーザー エージェントにより、特別な検証を行うことなく分類されます。Unknown bots are classified via published user agents without additional validation. さまざまな種類のボットに対してブロック、許可、ログ、またはリダイレクトを実行するカスタム アクションを設定できます。You can set custom actions to block, allow, log, or redirect for different types of bots.

ボット保護規則セット

重要

ボット保護規則セットは、現在パブリック プレビュー段階であり、プレビュー サービス レベル アグリーメントで提供されます。The Bot protection rule set is currently in public preview and is provided with a preview service level agreement. 特定の機能はサポート対象ではなく、機能が制限されることがあります。Certain features may not be supported or may have constrained capabilities. 詳しくは、「Microsoft Azure プレビューの追加使用条件」をご覧ください。See the Supplemental Terms of Use for Microsoft Azure Previews for details.

ボット保護が有効になっている場合、ボット規則に一致する着信要求は FrontdoorWebApplicationFirewallLog ログに記録されます。If bot protection is enabled, incoming requests that match bot rules are logged at the FrontdoorWebApplicationFirewallLog log. WAF ログにはストレージ アカウント、イベント ハブ、またはログ分析からアクセスできます。You may access WAF logs from a storage account, event hub, or log analytics.

構成Configuration

どの種類の WAF 規則も、Azure portal、REST API、Azure Resource Manager テンプレート、Azure PowerShell を使用して構成、デプロイすることができます。You can configure and deploy all WAF rule types using the Azure portal, REST APIs, Azure Resource Manager templates, and Azure PowerShell.

監視Monitoring

Front Door での WAF の監視は、Azure Monitor と統合されており、アラートを追跡し、トラフィックの傾向を簡単に監視できます。Monitoring for WAF at Front Door is integrated with Azure Monitor to track alerts and easily monitor traffic trends.

次のステップNext steps