Web Application Firewall voor Azure Front Door

  • Artikel

Azure Web Application Firewall in Azure Front Door biedt gecentraliseerde beveiliging voor uw webtoepassingen. Een WaF (Web Application Firewall) verdedigt uw webservices tegen veelvoorkomende aanvallen en beveiligingsproblemen. De firewall houdt uw service maximaal beschikbaar voor uw gebruikers en helpt u te voldoen aan de nalevingsvereisten.

Azure Web Application Firewall in Azure Front Door is een wereldwijde en gecentraliseerde oplossing. De service is wereldwijd geïmplementeerd op locaties aan de randen van het Azure-netwerk. Webtoepassingen met WAF controleren elke binnenkomende aanvraag die door Azure Front Door wordt geleverd aan de netwerkrand.

Een WAF voorkomt schadelijke aanvallen dicht bij de aanvalsbronnen voordat ze uw virtuele netwerk binnenkomen. U krijgt wereldwijde beveiliging op schaal zonder prestatieverlies. Een WAF-beleid kan eenvoudig worden gekoppeld aan elk Azure Front Door-profiel in uw abonnement. Nieuwe regels kunnen binnen enkele minuten worden geïmplementeerd, zodat u snel kunt reageren op veranderende bedreigingspatronen.

Screenshot that shows Azure Web Application Firewall.

Notitie

Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een webtoepassingsfirewall te gebruiken. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau. Zie de beveiligingsbasislijn voor Azure-services voor meer informatie.

Azure Front Door heeft twee lagen:

  • Standard
  • Premium

Azure Web Application Firewall is systeemeigen geïntegreerd met Azure Front Door Premium met volledige mogelijkheden. Voor Azure Front Door Standard worden alleen aangepaste regels ondersteund.

Beveiliging

Azure Web Application Firewall beschermt het volgende:

  • Webtoepassingen van beveiligingsproblemen op internet en aanvallen zonder wijzigingen in back-endcode.
  • Webtoepassingen van schadelijke bots met de IP-reputatieregelset.
  • Toepassingen tegen DDoS-aanvallen. Zie Application DDoS-beveiliging voor meer informatie.

WAF-beleid en -regels

U kunt een WAF-beleid configureren en dat beleid koppelen aan een of meer Azure Front Door-domeinen voor beveiliging. Een WAF-beleid bestaat uit twee typen beveiligingsregels:

  • Aangepaste regels die de klant heeft gemaakt.
  • Beheerde regelsets die een verzameling vooraf geconfigureerde sets met regels zijn die door Azure worden beheerd.

Als beide typen regels aanwezig zijn, worden aangepaste regels eerst verwerkt en daarna de regels in een beheerde regelset. Een regel bestaat uit een voorwaarde voor overeenkomst, een prioriteit en een actie. Ondersteunde actietypen zijn ALLOW, BLOCK, LOG en REDIRECT. U kunt een volledig aangepast beleid maken dat voldoet aan uw specifieke vereisten voor toepassingsbeveiliging door beheerde en aangepaste regels te combineren.

Regels in een beleid worden verwerkt in een prioriteitsvolgorde. Prioriteit is een uniek geheel getal dat de volgorde bepaalt van de te verwerken regels. Een kleinere geheel getalwaarde geeft een hogere prioriteit aan en deze regels worden geëvalueerd vóór regels met een hogere geheel getalwaarde. Nadat een regel is gekoppeld, wordt de bijbehorende actie die in de regel is gedefinieerd, toegepast op de aanvraag. Nadat een dergelijke overeenkomst is verwerkt, worden regels met lagere prioriteiten niet verder verwerkt.

Aan een webtoepassing die door Azure Front Door wordt geleverd, kan slechts één WAF-beleid tegelijk zijn gekoppeld. U kunt echter wel een Azure Front Door-configuratie hebben zonder dat er WAF-beleidsregels aan zijn gekoppeld. Als er een WAF-beleid aanwezig is, wordt dit gerepliceerd naar al onze randlocaties om over de hele wereld een consistent beveiligingsbeleid te garanderen.

WAF-modi

U kunt een WAF-beleid configureren voor uitvoering in twee modi:

  • Detectie: Wanneer een WAF wordt uitgevoerd in de detectiemodus, bewaakt en registreert deze alleen de aanvraag en de overeenkomende WAF-regel in WAF-logboeken. Er worden geen andere acties uitgevoerd. U kunt diagnostische logboekregistratie inschakelen voor Azure Front Door. Wanneer u de portal gebruikt, gaat u naar de sectie Diagnostische gegevens.
  • Preventie: In de preventiemodus voert een WAF de opgegeven actie uit als een aanvraag overeenkomt met een regel. Als er een overeenkomst wordt gevonden, worden er geen verdere regels met een lagere prioriteit geëvalueerd. Alle overeenkomende aanvragen worden ook in de WAF-logboeken vastgelegd.

WAF-acties

WAF-klanten kunnen ervoor kiezen om uit een van de acties te worden uitgevoerd wanneer een aanvraag overeenkomt met de voorwaarden van een regel:

  • Toestaan: de aanvraag wordt doorgegeven via de WAF en wordt doorgestuurd naar de oorsprong. Deze aanvraag kan niet worden geblokkeerd door regels met een lagere prioriteit.
  • Blokkeren: de aanvraag wordt geblokkeerd en de WAF verzendt een antwoord naar de client zonder de aanvraag door te sturen naar de oorsprong.
  • Logboek: De aanvraag wordt geregistreerd in de WAF-logboeken en de WAF blijft regels met een lagere prioriteit evalueren.
  • Omleiding: De WAF leidt de aanvraag om naar de opgegeven URI. De opgegeven URI is een instelling op beleidsniveau. Na de configuratie worden alle aanvragen die overeenkomen met de omleidingsactie verzonden naar die URI.
  • Afwijkingsscore: de totale anomaliescore wordt incrementeel verhoogd wanneer een regel met deze actie overeenkomt. Deze standaardactie is voor standaardregelset 2.0 of hoger. Deze is niet van toepassing op de Regelset voor Bot Manager.

WAF-regels

Een WAF-beleid kan bestaan uit twee typen beveiligingsregels:

  • Aangepaste regels, gemaakt door de klant en beheerde regelsets
  • Vooraf geconfigureerde sets met regels die door Azure worden beheerd

Aangepaste regels

Gebruik de volgende besturingselementen om aangepaste regels voor een WAF te configureren:

  • Ip-acceptatielijst en blokkeringslijst: u kunt de toegang tot uw webtoepassingen beheren op basis van een lijst met client-IP-adressen of IP-adresbereiken. Zowel IPv4- als IPv6-adrestypen worden ondersteund. Deze lijst kan worden geconfigureerd om aanvragen te blokkeren of toe te staan waarbij de bron-IP overeenkomt met een IP-adres in de lijst.
  • Geografisch toegangsbeheer: U kunt de toegang tot uw webtoepassingen beheren op basis van de landcode die is gekoppeld aan het IP-adres van een client.
  • Op HTTP-parameters gebaseerd toegangsbeheer: u kunt regels baseren op tekenreeksovereenkomsten in HTTP/HTTPS-aanvraagparameters. Voorbeelden hiervan zijn queryreeksen, POST-argumenten, aanvraag-URI, aanvraagheader en aanvraagbody.
  • Toegangsbeheer op basis van aanvraagmethode: u baseert regels op de HTTP-aanvraagmethode van de aanvraag. Voorbeelden zijn GET, PUT of HEAD.
  • Groottebeperking: u kunt regels baseren op de lengte van specifieke onderdelen van een aanvraag, zoals querytekenreeks, URI of Aanvraagbody.
  • Regels voor snelheidsbeperking: een frequentiebeperkingsregel beperkt abnormaal hoog verkeer vanaf elk client-IP-adres. U kunt een drempelwaarde configureren voor het aantal webaanvragen dat is toegestaan vanaf een client-IP gedurende een duur van één minuut. Deze regel verschilt van een op IP-lijst gebaseerde regel voor toestaan/blokkeren die alle aanvragen van een client-IP toestaat of blokkeert. Frequentielimieten kunnen worden gecombineerd met andere overeenkomstvoorwaarden, zoals HTTP(S)-parameterovereenkomsten voor gedetailleerde snelheidsbeheer.

Door Azure beheerde regelsets

Door Azure beheerde regelsets bieden een eenvoudige manier om beveiliging te implementeren op basis van een gemeenschappelijke set beveiligingsbedreigingen. Omdat Azure deze regelsets beheert, worden de regels zo nodig bijgewerkt om u te beschermen tegen nieuwe aanvalshandtekeningen. De door Azure beheerde standaardregelset bevat regels voor de volgende bedreigingscategorieën:

  • Script uitvoeren op meerdere sites
  • Java-aanvallen
  • Lokale bestandsopname
  • PHP-injectieaanvallen
  • Uitvoeren van opdrachten op afstand
  • Externe bestandsopname
  • Sessiefixatie
  • Beveiliging tegen SQL-injecties
  • Protocolaanvallers

Aangepaste regels worden altijd toegepast voordat regels in de standaardregelset worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels verwerkt, evenmin als de regels in de standaardregelset. U kunt ook de standaardregelset uit uw WAF-beleid verwijderen.

Zie Voor meer informatie Web Application Firewall Standaardregelsetgroepen en -regels.

Regelset voor botbeveiliging

U kunt een beheerde set regels voor de beveiliging tegen bots inschakelen om aangepaste acties te nemen op aanvragen van bots uit bekende categorieën.

Er worden drie botcategorieën ondersteund:

  • Slecht: slechte bots bevatten bots van schadelijke IP-adressen en bots die hun identiteiten hebben vervalst. De IP-adressen zijn afkomstig uit de feed Bedreigingsinformatie van Microsoft en worden iedere uur bijgewerkt. Intelligent Security Graph maakt gebruik van Microsoft Threat Intelligence en wordt gebruikt door meerdere services, waaronder Microsoft Defender voor Cloud.
  • Goed: Goede bots zijn gevalideerde zoekmachines.
  • Onbekend: onbekende bots bevatten andere botgroepen die zichzelf hebben geïdentificeerd als bots. Voorbeelden hiervan zijn marktanalyses, feed fetchers en agents voor gegevensverzameling. Onbekende bots worden geclassificeerd via gepubliceerde gebruikersagenten zonder andere validatie.

Het WAF-platform beheert en werkt bothandtekeningen dynamisch bij. U kunt aangepaste acties instellen om verschillende typen bots te blokkeren, toestaan, vast te leggen in een logboek of om te leiden.

Screenshot that shows a bot protection rule set.

Als botbeveiliging is ingeschakeld, worden binnenkomende aanvragen die overeenkomen met botregels geregistreerd. U hebt toegang tot WAF-logboeken vanuit een opslagaccount, een Event Hub of Log Analytics. Zie Bewaking en logboekregistratie van Azure Web Application Firewall voor meer informatie over hoe de WAF-logboekaanvragen worden aangevraagd.

Configuration

U kunt alle WAF-beleidsregels configureren en implementeren met behulp van Azure Portal, REST API's, Azure Resource Manager-sjablonen en Azure PowerShell. U kunt ook Azure WAF-beleid op schaal configureren en beheren met behulp van Firewall Manager-integratie. Zie Azure Firewall Manager gebruiken voor het beheren van Azure Web Application Firewall-beleid voor meer informatie.

Bewaking

Bewaking voor een WAF op Azure Front Door is geïntegreerd met Azure Monitor om waarschuwingen bij te houden en eenvoudig verkeerstrends te bewaken. Zie Bewaking en logboekregistratie van Azure Web Application Firewall voor meer informatie.

Volgende stappen