Aanbevolen procedures voor Azure Web Application Firewall in Azure Front Door

In dit artikel vindt u een overzicht van aanbevolen procedures voor het gebruik van Azure Web Application Firewall in Azure Front Door.

Algemene aanbevolen procedures

In deze sectie worden algemene aanbevolen procedures besproken.

De WAF inschakelen

Voor internetgerichte toepassingen raden we u aan een Web Application Firewall (WAF) in te schakelen en deze te configureren voor het gebruik van beheerde regels. Wanneer u een door WAF en Door Microsoft beheerde regels gebruikt, wordt uw toepassing beschermd tegen verschillende aanvallen.

Uw WAF afstemmen

De regels in uw WAF moeten worden afgestemd op uw workload. Als u uw WAF niet afstemt, wordt mogelijk per ongeluk aanvragen geblokkeerd die moeten worden toegestaan. Het afstemmen kan betrekking hebben op het maken van regeluitsluitingen om fout-positieve detecties te verminderen.

Terwijl u uw WAF afstemt, kunt u overwegen om de detectiemodus te gebruiken. Deze modus registreert aanvragen en de acties die de WAF normaal gesproken zou uitvoeren, maar blokkeert geen verkeer.

Zie Tune Azure Web Application Firewall voor Azure Front Door voor meer informatie.

Preventiemodus gebruiken

Nadat u uw WAF hebt afgestemd, configureert u deze zo dat deze wordt uitgevoerd in de preventiemodus. Door in de preventiemodus te worden uitgevoerd, zorgt u ervoor dat de WAF aanvragen blokkeert die worden gedetecteerd schadelijk zijn. Het uitvoeren in de detectiemodus is handig tijdens het afstemmen en configureren van uw WAF, maar biedt geen beveiliging.

Uw WAF-configuratie definiëren als code

Wanneer u uw WAF voor uw toepassingsworkload afstemt, maakt u doorgaans een set regeluitsluitingen om fout-positieve detecties te verminderen. Als u deze uitsluitingen handmatig configureert met behulp van Azure Portal, moet u bij het upgraden van uw WAF een nieuwere versie van de regelset gebruiken, dezelfde uitzonderingen opnieuw configureren voor de nieuwe versie van de regelset. Dit proces kan tijdrovend en foutgevoelig zijn.

In plaats daarvan kunt u overwegen om uitsluitingen van WAF-regels en andere configuraties als code te definiëren, zoals met behulp van de Azure CLI, Azure PowerShell, Bicep of Terraform. Wanneer u de versie van de WAF-regelset moet bijwerken, kunt u dezelfde uitsluitingen eenvoudig opnieuw gebruiken.

Aanbevolen procedures voor beheerde regelset

In deze sectie worden de aanbevolen procedures voor regelsets besproken.

Standaardregelsets inschakelen

De standaardregelsets van Microsoft zijn ontworpen om uw toepassing te beveiligen door veelvoorkomende aanvallen te detecteren en te blokkeren. De regels zijn gebaseerd op verschillende bronnen, waaronder de OWASP top-10-aanvalstypen en informatie van Microsoft Threat Intelligence.

Zie Voor meer informatie, door Azure beheerde regelsets.

Regels voor botbeheer inschakelen

Bots zijn verantwoordelijk voor een aanzienlijk deel van verkeer naar webtoepassingen. De regelset voor botbeveiliging van WAF categoriseert bots op basis van of ze goed, slecht of onbekend zijn. Slechte bots kunnen vervolgens worden geblokkeerd, terwijl goede bots zoals zoekprogramma's zijn toegestaan voor uw toepassing.

Zie de regelset voor botbeveiliging voor meer informatie.

De nieuwste versies van regelset gebruiken

Microsoft werkt regelmatig de beheerde regels bij om rekening te houden met het huidige bedreigingslandschap. Zorg ervoor dat u regelmatig controleert op updates voor door Azure beheerde regelsets.

Zie DrS-regelgroepen en -regels van Azure Web Application Firewall voor meer informatie.

Best practices voor snelheidsbeperking

In deze sectie worden aanbevolen procedures voor snelheidsbeperking besproken.

Snelheidsbeperking toevoegen

Met azure Front Door WAF kunt u het aantal aanvragen beheren dat gedurende een bepaalde periode is toegestaan vanaf het IP-adres van elke client. Het is een goede gewoonte om snelheidsbeperking toe te voegen om het effect van clients per ongeluk of opzettelijk grote hoeveelheden verkeer naar uw service te verzenden, zoals tijdens een storm voor opnieuw proberen.

Voor meer informatie raadpleegt u de volgende bronnen:

• Wat is snelheidsbeperking voor Azure Front Door?.
• Configureer een frequentielimietregel voor Azure Web Application Firewall met behulp van Azure PowerShell.
• Waarom worden extra aanvragen boven de drempelwaarde die is geconfigureerd voor mijn frequentielimietregel doorgegeven aan mijn back-endserver?

Een hoge drempelwaarde gebruiken voor frequentielimieten

Meestal is het raadzaam om de drempelwaarde voor frequentielimieten in te stellen op hoog. Als u bijvoorbeeld weet dat één CLIENT-IP-adres elke minuut ongeveer 10 aanvragen naar uw server kan verzenden, kunt u overwegen om een drempelwaarde van 20 aanvragen per minuut op te geven.

Drempelwaarden voor hoge frequentielimieten voorkomen dat legitiem verkeer wordt geblokkeerd. Deze drempelwaarden bieden nog steeds bescherming tegen zeer veel aanvragen die uw infrastructuur kunnen overbelasten.

Aanbevolen procedures voor geofilters

In deze sectie worden de aanbevolen procedures voor geofiltering besproken.

Geo-filterverkeer

Veel webtoepassingen zijn ontworpen voor gebruikers binnen een specifieke geografische regio. Als deze situatie van toepassing is op uw toepassing, kunt u overwegen om geofiltering te implementeren om aanvragen te blokkeren die afkomstig zijn van buiten de landen of regio's waarvan u verwacht dat u verkeer ontvangt.

Zie Wat is geofiltering in een domein voor Azure Front Door? voor meer informatie.

Geef de onbekende locatie (ZZ) op

Sommige IP-adressen worden niet toegewezen aan locaties in onze gegevensset. Wanneer een IP-adres niet kan worden toegewezen aan een locatie, wijst de WAF het verkeer toe aan het onbekende (ZZ) land of de onbekende regio. Om te voorkomen dat geldige aanvragen van deze IP-adressen worden geblokkeerd, kunt u overwegen het onbekende land of de regio toe te staan via uw geofilter.

Zie Wat is geofiltering in een domein voor Azure Front Door? voor meer informatie.

Registratie in logboek

In deze sectie wordt de logboekregistratie besproken.

Diagnostische instellingen toevoegen om de logboeken van uw WAF op te slaan

De Azure Front Door WAF kan worden geïntegreerd met Azure Monitor. Het is belangrijk dat u de WAF-logboeken opslaat op een bestemming zoals Log Analytics. Controleer regelmatig de WAF-logboeken. Door logboeken te bekijken, kunt u uw WAF-beleid afstemmen om fout-positieve detecties te verminderen en te begrijpen of uw toepassing het onderwerp van aanvallen is geweest.

Zie Bewaking en logboekregistratie van Azure Web Application Firewall voor meer informatie.

Logboeken verzenden naar Microsoft Sentinel

Microsoft Sentinel is een SIEM-systeem (Security Information and Event Management), waarmee logboeken en gegevens uit meerdere bronnen worden geïmporteerd om inzicht te hebben in het bedreigingslandschap voor uw webtoepassing en de algehele Azure-omgeving. Azure Front Door WAF-logboeken moeten worden geïmporteerd in Microsoft Sentinel of een andere SIEM, zodat uw internetgerichte eigenschappen worden opgenomen in de analyse. Gebruik voor Microsoft Sentinel de Azure WAF-connector om uw WAF-logboeken eenvoudig te importeren.

Zie Microsoft Sentinel gebruiken met Azure Web Application Firewall voor meer informatie.

Volgende stappen

Meer informatie over het maken van een Azure Front Door WAF-beleid.