Wat is Azure Web Application Firewall voor Azure Application Gateway?

  • Artikel
  • 10 minuten om te lezen

Azure Web Application Firewall (WAF) voor Azure Application Gateway biedt gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Webtoepassingen zijn in toenemende mate het doel van aanvallen die gebruikmaken van algemeen bekende beveiligingsproblemen. SQL-injectie en cross-site scripting zijn twee van de meest voorkomende aanvallen.

WAF voor Application Gateway is gebaseerd op Core Rule Set (CRS) 3.1, 3.0 of 2.2.9 van het Open Web Application Security Project (OWASP).

Alle WAF-functies die hieronder worden vermeld, bevinden zich in een WAF-beleid. U kunt meerdere beleidsregels opstellen en deze kunnen worden gekoppeld aan een toepassingsgateway, aan individuele listeners of aan routeringsregels op een toepassingsgateway die op een pad zijn gebaseerd. Op deze manier kunt u indien nodig afzonderlijke beleidsregels hanteren voor elke site achter uw toepassingsgateway. Zie Een WAF-beleid makenvoor meer informatie over WAF-beleidsregels.

WAF-diagram van Application Gateway

Application Gateway fungeert als een ADC-controller (Application Delivery controller). Application Gateway biedt TLS (Transport Layer Security), eerder bekend als SSL (Secure Sockets Layer), beëindiging, sessieaffiniteit op basis van cookies, round robin-taakverdeling, routering op basis van inhoud, de mogelijkheid om meerdere websites te hosten en beveiligingsverbeteringen.

Beveiligingsverbeteringen die door Application Gateway worden geboden, zijn onder andere TLS-beleidsbeheer en ondersteuning voor end-to-end TLS. De beveiliging van toepassingen wordt versterkt door integratie van WAF in Application Gateway. Met deze combinatie worden uw webtoepassingen beschermd tegen veelvoorkomende beveiligingsproblemen. En het biedt een eenvoudig te configureren centrale beheerlocatie.

Voordelen

In deze sectie worden de belangrijkste voordelen beschreven die WAF in Application Gateway biedt.

Beveiliging

  • Beveilig uw webtoepassing tegen kwetsbaarheden en aanvallen op het web zonder dat u de code voor de back-end hoeft aan te passen.

  • Beveilig meerdere webtoepassingen tegelijk. Een instantie van Application Gateway kan maximaal 40 websites hosten die worden beveiligd door een Web Application Firewall.

  • Stel aangepaste WAF-beleidsregels op voor verschillende sites achter dezelfde WAF.

  • Uw webtoepassingen beschermen tegen schadelijke bots met de ip-reputatieregelset

Bewaking

  • Controleer op aanvallen tegen webtoepassingen door een real-time logboek van WAF te gebruiken. Het logboek is geïntegreerd met Azure Monitor om waarschuwingen van WAF bij te houden en gemakkelijk trends te ontdekken.

  • De Application Gateway WAF is geïntegreerd met Microsoft Defender for Cloud. Defender for Cloud biedt een centraal overzicht van de beveiligingstoestand van al uw Azure-, hybride en multicloudresources.

Aanpassing

  • Pas regels en regelgroepen van WAF aan om deze te laten voldoen aan de toepassingsvereisten en om fout-positieven te elimineren.

  • Koppel een WAF-beleid voor elke site achter uw WAF om sitespecifieke configuratie te bieden.

  • Stel aangepaste regels op om te voldoen aan de behoeften van uw toepassing.

Functies

  • Beveiliging tegen SQL-injectie.
  • Beveiliging tegen cross-site scripting
  • Beveiliging tegen andere veelvoorkomende aanvallen via het web, zoals opdrachtinjectie, het smokkelen van HTTP-aanvragen, het uitsplitsen van HTTP-antwoorden en het insluiten van externe bestanden.
  • Beveiliging tegen schendingen van het HTTP-protocol.
  • Beveiliging tegen afwijkingen van het HTTP-protocol, zoals het ontbreken van een gebruikersagent voor de host en Accept-headers.
  • Beveiliging tegen crawlers en scanners.
  • Detectie van veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS).
  • Configureerbare limieten voor grootte van aanvraag met boven- en ondergrenzen.
  • Met uitsluitingslijsten kunt u bepaalde kenmerken van aanvragen weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie- of wachtwoordvelden.
  • Stel aangepaste regels op om te voldoen aan de specifieke behoeften van uw toepassingen.
  • Pas geografische filters toe op verkeer om bepaalde landen/regio's al dan niet toegang te geven tot uw toepassingen.
  • Beveilig uw toepassingen tegen bots met de regelset voor beperking voor bots.
  • Controleer de JSON- en XML-code in de hoofdtekst van de aanvraag

WAF-beleid en -regels

Als u een Web Application Firewall wilt inschakelen op Application Gateway, moet u een WAF-beleid maken. In dit beleid zijn alle beheerde regels, aangepaste regels, uitsluitingen en andere aanpassingen verzameld, zoals de uploadlimiet voor bestanden.

U kunt een WAF-beleid configureren en dit beleid aan een of meer toepassingsgateways koppelen voor beveiliging. Een WAF-beleid bestaat uit twee typen beveiligingsregels:

  • Aangepaste regels die u kunt maken

  • Beheerde regelsets; een verzameling door Azure beheerde, vooraf geconfigureerde set regels

Als beide typen regels aanwezig zijn, worden aangepaste regels eerst verwerkt en daarna de regels in een beheerde regelset. Een regel bestaat uit een voorwaarde voor overeenkomst, een prioriteit en een actie. Dit zijn de ondersteunde actietypen: ALLOW, BLOCK en LOG. U kunt een volledig aangepast beleid maken dat voldoet aan uw specifieke vereisten voor toepassingsbeveiliging door beheerde en aangepaste regels te combineren.

Regels in een beleid worden verwerkt in een prioriteitsvolgorde. Prioriteit is een uniek geheel getal dat de volgorde bepaalt van de te verwerken regels. Een lager geheel getal geeft een hogere prioriteit aan, en deze regels worden eerder geëvalueerd dan regels met een hoger geheel getal. Zodra een overeenkomst met een regel is gevonden, wordt op de aanvraag de actie toegepast die is gedefinieerd in de regel. Zodra een dergelijke overeenkomst is verwerkt, worden regels met lagere prioriteiten niet meer verwerkt.

Aan een door Application Gateway geleverde webtoepassing kan een WAF-beleid op globaal niveau gekoppeld zijn, maar dat kan ook per site of per URI.

Core Rule Sets

Application Gateway ondersteunt drie regelsets: CRS 3.1, CRS 3.0 en CRS 2.2.9. Met deze regels worden uw webtoepassingen beveiligd tegen schadelijke activiteiten.

Zie voor meer informatie Web Application Firewall CRS rule groups and rules (CRS-regelgroepen en -regels voor Web Application Firewall).

Aangepaste regels

Application Gateway biedt ook ondersteuning voor aangepaste regels. Met aangepaste regels kunt u uw eigen regels maken, die worden geëvalueerd voor elke aanvraag die via WAF wordt doorgegeven. Deze regels hebben een hogere prioriteit dan de rest van de regels in de beheerde regelsets. Als aan een set voorwaarden wordt voldaan, wordt er een actie uitgevoerd om een bewerking toe te staan of te blokkeren.

De operator geomatch is nu beschikbaar voor aangepaste regels. Zie Aangepaste geomatch-regels voor meer informatie.

Zie Custom Rules for Application Gateway (Aangepaste regels voor Application Gateway) voor meer informatie over aangepaste regels.

Botbeperking

Naast de beheerde regelset, kan er een beheerde set met regels voor bescherming tegen bots worden ingeschakeld voor uw WAF om aanvragen van bekende schadelijke IP-adressen te blok keren of te registreren. De IP-adressen zijn afkomstig uit de feed Bedreigingsinformatie van Microsoft. Intelligent Security Graph vormt de kracht van bedreigingsinformatie van Microsoft en wordt gebruikt door meerdere services, waaronder Microsoft Defender for Cloud.

Als bot-beveiliging is ingeschakeld, worden inkomende aanvragen die overeenkomen met client-IP's van schadelijke bots vastgelegd in het firewalllogboek. Zie hieronder voor meer informatie. U kunt toegang krijgen tot WAF-logboeken vanuit het opslagaccount, Event Hub of Log Analytics.

WAF-modi

In Application Gateway WAF kunnen de volgende twee modi worden geconfigureerd:

  • Detectiemodus: Hiermee worden alle waarschuwingen voor bedreigingen gecontroleerd en vastgelegd. U kunt het vastleggen van diagnostische gegevens inschakelen voor Application Gateway via de sectie Diagnostische gegevens. U moet er ook voor zorgen dat het WAF-logboek is geselecteerd en ingeschakeld. In de detectiemodus worden binnenkomende verzoeken niet geblokkeerd door Web Application Firewall.
  • Preventiemodus: Blokkeert indringers en aanvallen die door de regels zijn gedetecteerd. De aanvaller krijgt een uitzondering '403 onbevoegde toegang' en de verbinding wordt verbroken. In de preventiemodus worden dergelijke aanvallen vastgelegd in de WAF-logboeken.

Notitie

Het is raadzaam om een nieuw geïmplementeerde WAF gedurende korte tijd in de detectiemodus uit te voeren in een productieomgeving. U hebt dan de mogelijkheid om firewall-logboeken te verzamelen, aan de hand waarvan u eventuele uitzonderingen of aangepaste regels kunt aanpassen voordat u verdergaat in de preventiemodus. Hierdoor kan het volume onverwacht geblokkeerd verkeer worden verminderd.

Modus Anomaliescore

OWASP heeft twee modi om te bepalen of verkeer moet worden geblokkeerd: traditionele modus en Anomaliescore.

In de traditionele modus wordt verkeer dat voldoet aan een regel, als onafhankelijk beschouwd van andere regels waaraan wordt voldaan. Deze modus is eenvoudig te begrijpen. Maar het ontbreken van informatie over het aantal regels dat voldoet aan een specifieke aanvraag is een beperking. Daarom is de modus Anomaliescore geïntroduceerd. Dit is de standaard waarde voor OWASP 3.x.

In de modus Anomaliescore wordt verkeer dat voldoet aan een regel niet onmiddellijk geblokkeerd wanneer de firewall in de preventiemodus staat. Regels hebben een bepaalde ernst: Kritiek, Fout, Waarschuwing of Kennisgeving. Deze ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomalie- of afwijkingsscore wordt genoemd. Een regel met de ernst Waarschuwing draagt bijvoorbeeld 3 bij aan de score. Eén overeenkomst met een kritieke regel betekent dat de score wordt verhoogd met 5.

Severity Waarde
Kritiek 5
Fout 4
Waarschuwing 3
Kennisgeving 2

Als de anomaliescore een drempel van 5 heeft bereikt, wordt het verkeer geblokkeerd. Dus één overeenkomst met een regel van de ernst Kritiek is voldoende voor de Application Gateway WAF om een aanvraag te blokkeren, zelfs in de preventiemodus. Maar bij één overeenkomst met een regel met het ernstniveau Waarschuwing, wordt de score alleen met 3 verhoogd, wat niet voldoende is om het verkeer te blokkeren.

Notitie

Het bericht dat wordt vastgelegd wanneer verkeer voldoet aan een WAF-regel bevat de actiewaarde 'Geblokkeerd'. Het verkeer wordt echter alleen daadwerkelijk geblokkeerd bij een anomaliescore van 5 of hoger. Raadpleeg Problemen met Web Application Firewall (WAF) voor Azure Application Gateway oplossen voor meer informatie.

Bewaking van WAF

Het bewaken van de status van uw toepassingsgateway is belangrijk. Het bewaken van de status van uw WAF en de toepassingen die beveiligen, wordt ondersteund door integratie met Microsoft Defender for Cloud, Azure Monitor en Azure Monitor logboeken.

Diagram van diagnostische gegevens van Application Gateway WAF

Azure Monitor

Logboeken van Application Gateway zijn geïntegreerd met Azure Monitor. Dit maak het mogelijk om diagnostische gegevens bij te houden, met inbegrip van WAF-meldingen en logboeken. Ga hiervoor naar het tabblad Diagnostische gegevens van de resource Application Gateway in de portal, of rechtstreeks vanuit de service Azure Monitor. Zie Diagnostische gegevens van Application Gateway voor meer informatie over het inschakelen van logboeken.

Microsoft Defender for Cloud

Defender for Cloud helpt u bij het voorkomen, detecteren en reageren op bedreigingen. De service biedt meer inzicht in en controle over de veiligheid van uw Azure-resources. Application Gateway is geïntegreerd met Defender for Cloud. Defender for Cloud scant uw omgeving op niet-beveiligde webtoepassingen. Indien nodig worden er aanbevelingen naar Application Gateway WAF gestuurd om deze kwetsbare resources te beschermen. U maakt de firewalls rechtstreeks vanuit Defender for Cloud. Deze WAF-exemplaren zijn geïntegreerd met Defender for Cloud. Ze verzenden waarschuwingen en statusinformatie naar Defender for Cloud voor rapportage.

Overzichtsvenster van Defender for Cloud

Microsoft Sentinel

Microsoft Sentinel is een schaalbare, cloudeigen OPLOSSING voor security information event management (SIEM) en Security Orchestration Automated Response (SOAR). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming, en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Met de ingebouwde werkmap voor firewallgebeurtenissen van Azure WAF kunt u een overzicht krijgen van de beveiligingsgebeurtenissen op uw WAF. Dit omvat gebeurtenissen, overeenkomende en geblokkeerde regels, en verder alles wat kan worden vastgelegd in de logboeken van de firewall. Hieronder vindt u meer informatie over logboekregistratie.

Werkmap voor Azure WAF-firewallgebeurtenissen

Azure Monitor-werkmap voor WAF

Met deze werkmap kunt u aangepaste visualisaties van WAF-gebeurtenissen met betrekking tot beveiliging voor verschillende filterbare deelvensters inschakelen. De werkmap werkt met alle WAF-typen, waaronder Application Gateway, Front Door en CDN, en kan worden gefilterd op basis van het WAF-type of een specifiek WAF-exemplaar. Importeren via ARM-sjabloon of galeriesjabloon. Zie WAF-werkmap als u deze werkmap wilt implementeren.

Logboekregistratie

Application Gateway WAF biedt gedetailleerde rapporten voor elke bedreiging die wordt gedetecteerd. Logboekregistratie is geïntegreerd met Azure Diagnostics-logboeken. Waarschuwingen worden vastgelegd in de JSON-indeling. Deze logboeken kunnen worden geïntegreerd met Azure Monitor-logboeken.

Vensters met diagnostische logboeken van Application Gateway

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Prijzen voor de Application Gateway WAF-voorraadeenheid

De prijsmodellen verschillen voor de SKU's WAF_v1 en WAF_v2. Ga naar de pagina Prijzen voor Application Gateway voor meer informatie.

Nieuwe functies

Zie Azure-updates om te ontdekken wat er nieuw is in Azure Web Application Firewall.

Volgende stappen