Wat is Azure Web Application Firewall voor Azure Application Gateway?

Azure Web Application Firewall (WAF) voor Azure Application Gateway biedt gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Webtoepassingen zijn in toenemende mate het doel van aanvallen die gebruikmaken van algemeen bekende beveiligingsproblemen. SQL-injectie en cross-site scripting zijn twee van de meest voorkomende aanvallen.

WAF op Application Gateway is gebaseerd op de Core Rule Set (CRS) van het Open Web Application Security Project (OWASP).

Alle WAF-functies die hieronder worden vermeld, bestaan in een WAF-beleid. U kunt meerdere beleidsregels opstellen en deze kunnen worden gekoppeld aan een toepassingsgateway, aan individuele listeners of aan routeringsregels op een toepassingsgateway die op een pad zijn gebaseerd. Op deze manier kunt u indien nodig afzonderlijke beleidsregels hanteren voor elke site achter uw toepassingsgateway. Zie Een WAF-beleid maken voor meer informatie over WAF-beleid.

Notitie

Application Gateway heeft twee versies van de WAF-sKU: Application Gateway WAF_v1 en Application Gateway WAF_v2. WAF-beleidskoppelingen worden alleen ondersteund voor de Application Gateway WAF_v2 sku.

Application Gateway WAF diagram

Application Gateway fungeert als een ADC-controller (Application Delivery controller). Application Gateway biedt TLS (Transport Layer Security), eerder bekend als SSL (Secure Sockets Layer), beëindiging, sessieaffiniteit op basis van cookies, round robin-taakverdeling, routering op basis van inhoud, de mogelijkheid om meerdere websites te hosten en beveiligingsverbeteringen.

Beveiligingsverbeteringen die door Application Gateway worden geboden, zijn onder andere TLS-beleidsbeheer en ondersteuning voor end-to-end TLS. De beveiliging van toepassingen wordt versterkt door integratie van WAF in Application Gateway. Met deze combinatie worden uw webtoepassingen beschermd tegen veelvoorkomende beveiligingsproblemen. En het biedt een eenvoudig te configureren centrale beheerlocatie.

Voordelen

In deze sectie worden de belangrijkste voordelen beschreven die WAF in Application Gateway biedt.

Beveiliging

  • Beveilig uw webtoepassing tegen kwetsbaarheden en aanvallen op het web zonder dat u de code voor de back-end hoeft aan te passen.

  • Beveilig meerdere webtoepassingen tegelijk. Een instantie van Application Gateway kan maximaal 40 websites hosten die worden beveiligd door een Web Application Firewall.

  • Stel aangepaste WAF-beleidsregels op voor verschillende sites achter dezelfde WAF.

  • Uw webtoepassingen beschermen tegen schadelijke bots met de regelset IP-reputatie

Bewaking

  • Controleer op aanvallen tegen webtoepassingen door een real-time logboek van WAF te gebruiken. Het logboek is geïntegreerd met Azure Monitor om waarschuwingen van WAF bij te houden en gemakkelijk trends te ontdekken.

  • Application Gateway WAF is geïntegreerd met Microsoft Defender for Cloud. Defender for Cloud biedt een centraal overzicht van de beveiligingsstatus van al uw Azure-, hybride en multicloudresources.

Aanpassing

  • Pas regels en regelgroepen van WAF aan om deze te laten voldoen aan de toepassingsvereisten en om fout-positieven te elimineren.

  • Koppel een WAF-beleid voor elke site achter uw WAF om sitespecifieke configuratie te bieden.

  • Stel aangepaste regels op om te voldoen aan de behoeften van uw toepassing.

Functies

  • SQL-injectiebeveiliging.
  • Beveiliging tegen cross-site scripting
  • Beveiliging tegen andere veelvoorkomende aanvallen via het web, zoals opdrachtinjectie, het smokkelen van HTTP-aanvragen, het uitsplitsen van HTTP-antwoorden en het insluiten van externe bestanden.
  • Beveiliging tegen schendingen van het HTTP-protocol.
  • Beveiliging tegen afwijkingen van het HTTP-protocol, zoals het ontbreken van een gebruikersagent voor de host en Accept-headers.
  • Beveiliging tegen crawlers en scanners.
  • Detectie van veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS).
  • Configureerbare limieten voor grootte van aanvraag met boven- en ondergrenzen.
  • Met uitsluitingslijsten kunt u bepaalde kenmerken van aanvragen weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie- of wachtwoordvelden.
  • Stel aangepaste regels op om te voldoen aan de specifieke behoeften van uw toepassingen.
  • Pas geografische filters toe op verkeer om bepaalde landen/regio's al dan niet toegang te geven tot uw toepassingen.
  • Beveilig uw toepassingen tegen bots met de regelset voor beperking voor bots.
  • Controleer de JSON- en XML-code in de hoofdtekst van de aanvraag

WAF-beleid en -regels

Als u een Web Application Firewall wilt inschakelen op Application Gateway, moet u een WAF-beleid maken. In dit beleid zijn alle beheerde regels, aangepaste regels, uitsluitingen en andere aanpassingen verzameld, zoals de uploadlimiet voor bestanden.

U kunt een WAF-beleid configureren en dit beleid aan een of meer toepassingsgateways koppelen voor beveiliging. Een WAF-beleid bestaat uit twee typen beveiligingsregels:

  • Aangepaste regels die u kunt maken

  • Beheerde regelsets; een verzameling door Azure beheerde, vooraf geconfigureerde set regels

Als beide typen regels aanwezig zijn, worden aangepaste regels eerst verwerkt en daarna de regels in een beheerde regelset. Een regel bestaat uit een voorwaarde voor overeenkomst, een prioriteit en een actie. Dit zijn de ondersteunde actietypen: ALLOW, BLOCK en LOG. U kunt een volledig aangepast beleid maken dat voldoet aan uw specifieke vereisten voor toepassingsbeveiliging door beheerde en aangepaste regels te combineren.

Regels in een beleid worden verwerkt in een prioriteitsvolgorde. Prioriteit is een uniek geheel getal dat de volgorde bepaalt van de te verwerken regels. Een lager geheel getal geeft een hogere prioriteit aan, en deze regels worden eerder geëvalueerd dan regels met een hoger geheel getal. Zodra een overeenkomst met een regel is gevonden, wordt op de aanvraag de actie toegepast die is gedefinieerd in de regel. Zodra een dergelijke overeenkomst is verwerkt, worden regels met lagere prioriteiten niet meer verwerkt.

Aan een door Application Gateway geleverde webtoepassing kan een WAF-beleid op globaal niveau gekoppeld zijn, maar dat kan ook per site of per URI.

Core Rule Sets

Application Gateway ondersteunt meerdere regelsets, waaronder CRS 3.2, CRS 3.1 en CRS 3.0. Met deze regels worden uw webtoepassingen beveiligd tegen schadelijke activiteiten.

Zie voor meer informatie Web Application Firewall CRS rule groups and rules (CRS-regelgroepen en -regels voor Web Application Firewall).

Aangepaste regels

Application Gateway biedt ook ondersteuning voor aangepaste regels. Met aangepaste regels kunt u uw eigen regels maken, die worden geëvalueerd voor elke aanvraag die via WAF wordt doorgegeven. Deze regels hebben een hogere prioriteit dan de rest van de regels in de beheerde regelsets. Als aan een set voorwaarden wordt voldaan, wordt er een actie uitgevoerd om een bewerking toe te staan of te blokkeren.

De geomatch-operator is nu beschikbaar voor aangepaste regels. Zie aangepaste regels voor geomatch voor meer informatie.

Zie Custom Rules for Application Gateway (Aangepaste regels voor Application Gateway) voor meer informatie over aangepaste regels.

Botbeperking

Naast de beheerde regelset, kan er een beheerde set met regels voor bescherming tegen bots worden ingeschakeld voor uw WAF om aanvragen van bekende schadelijke IP-adressen te blok keren of te registreren. De IP-adressen zijn afkomstig uit de feed Bedreigingsinformatie van Microsoft. Intelligent Security Graph biedt microsoft bedreigingsinformatie en wordt gebruikt door meerdere services, waaronder Microsoft Defender for Cloud.

Als bot-beveiliging is ingeschakeld, worden inkomende aanvragen die overeenkomen met client-IP's van schadelijke bots vastgelegd in het firewalllogboek. Zie hieronder voor meer informatie. U kunt toegang krijgen tot WAF-logboeken vanuit het opslagaccount, Event Hub of Log Analytics.

WAF-modi

In Application Gateway WAF kunnen de volgende twee modi worden geconfigureerd:

  • Detectiemodus: Hiermee worden alle waarschuwingen voor bedreigingen gecontroleerd en vastgelegd. U kunt het vastleggen van diagnostische gegevens inschakelen voor Application Gateway via de sectie Diagnostische gegevens. U moet er ook voor zorgen dat het WAF-logboek is geselecteerd en ingeschakeld. In de detectiemodus worden binnenkomende verzoeken niet geblokkeerd door Web Application Firewall.
  • Preventiemodus: Blokkeert indringers en aanvallen die door de regels zijn gedetecteerd. De aanvaller krijgt een uitzondering '403 onbevoegde toegang' en de verbinding wordt verbroken. In de preventiemodus worden dergelijke aanvallen vastgelegd in de WAF-logboeken.

Notitie

Het is raadzaam om een nieuw geïmplementeerde WAF gedurende korte tijd in de detectiemodus uit te voeren in een productieomgeving. U hebt dan de mogelijkheid om firewall-logboeken te verzamelen, aan de hand waarvan u eventuele uitzonderingen of aangepaste regels kunt aanpassen voordat u verdergaat in de preventiemodus. Hierdoor kan het volume onverwacht geblokkeerd verkeer worden verminderd.

WAF-motoren

De WAF-engine (Azure Web Application Firewall) is het onderdeel dat verkeer inspecteert en bepaalt of een aanvraag een handtekening bevat die een mogelijke aanval vertegenwoordigt. Wanneer u CRS 3.2 of hoger gebruikt, voert uw WAF de nieuwe WAF-engine uit, waardoor u betere prestaties en een verbeterde set functies krijgt. Wanneer u eerdere versies van de CRS gebruikt, wordt uw WAF uitgevoerd op een oudere engine. Nieuwe functies zijn alleen beschikbaar in de nieuwe Azure WAF-engine.

Modus Anomaliescore

OWASP heeft twee modi om te bepalen of verkeer moet worden geblokkeerd: traditionele modus en Anomaliescore.

In de traditionele modus wordt verkeer dat voldoet aan een regel, als onafhankelijk beschouwd van andere regels waaraan wordt voldaan. Deze modus is eenvoudig te begrijpen. Maar het ontbreken van informatie over het aantal regels dat voldoet aan een specifieke aanvraag is een beperking. Daarom is de modus Anomaliescore geïntroduceerd. Dit is de standaard waarde voor OWASP 3.x.

In de modus Anomaliescore wordt verkeer dat voldoet aan een regel niet onmiddellijk geblokkeerd wanneer de firewall in de preventiemodus staat. Regels hebben een bepaalde ernst: Kritiek, Fout, Waarschuwing of Kennisgeving. Deze ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomalie- of afwijkingsscore wordt genoemd. Een regel met de ernst Waarschuwing draagt bijvoorbeeld 3 bij aan de score. Eén overeenkomst met een kritieke regel betekent dat de score wordt verhoogd met 5.

Severity Waarde
Kritiek 5
Fout 4
Waarschuwing 3
Kennisgeving 2

Als de anomaliescore een drempel van 5 heeft bereikt, wordt het verkeer geblokkeerd. Dus één overeenkomst met een regel van de ernst Kritiek is voldoende voor de Application Gateway WAF om een aanvraag te blokkeren, zelfs in de preventiemodus. Maar bij één overeenkomst met een regel met het ernstniveau Waarschuwing, wordt de score alleen met 3 verhoogd, wat niet voldoende is om het verkeer te blokkeren.

Notitie

Het bericht dat wordt geregistreerd wanneer een WAF-regel overeenkomt met verkeer, bevat de actiewaarde 'Geblokkeerd'. Maar het verkeer wordt eigenlijk alleen geblokkeerd voor een anomaliescore van 5 of hoger. Raadpleeg Problemen met Web Application Firewall (WAF) voor Azure Application Gateway oplossen voor meer informatie.

Configuratie

U kunt alle WAF-beleidsregels configureren en implementeren met behulp van Azure Portal, REST API's, Azure Resource Manager-sjablonen en Azure PowerShell. U kunt azure WAF-beleid ook op schaal configureren en beheren met behulp van Firewall Manager-integratie (preview). Zie Azure Firewall Manager gebruiken om Web Application Firewall-beleid (preview) te beheren voor meer informatie.

Bewaking van WAF

Het bewaken van de status van uw toepassingsgateway is belangrijk. Het bewaken van de status van uw WAF en de toepassingen die worden beveiligd, worden ondersteund door integratie met Microsoft Defender for Cloud-, Azure Monitor- en Azure Monitor-logboeken.

Diagram of Application Gateway WAF diagnostics

Azure Monitor

Logboeken van Application Gateway zijn geïntegreerd met Azure Monitor. Dit maak het mogelijk om diagnostische gegevens bij te houden, met inbegrip van WAF-meldingen en logboeken. Ga hiervoor naar het tabblad Diagnostische gegevens van de resource Application Gateway in de portal, of rechtstreeks vanuit de service Azure Monitor. Zie Diagnostische gegevens van Application Gateway voor meer informatie over het inschakelen van logboeken.

Microsoft Defender for Cloud

Defender for Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren. De service biedt meer inzicht in en controle over de veiligheid van uw Azure-resources. Application Gateway is geïntegreerd met Defender for Cloud. Defender for Cloud scant uw omgeving om niet-beveiligde webtoepassingen te detecteren. Indien nodig worden er aanbevelingen naar Application Gateway WAF gestuurd om deze kwetsbare resources te beschermen. U maakt de firewalls rechtstreeks vanuit Defender for Cloud. Deze WAF-exemplaren zijn geïntegreerd met Defender for Cloud. Ze verzenden waarschuwingen en statusgegevens naar Defender for Cloud voor rapportage.

Defender for Cloud overview window

Microsoft Sentinel

Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming, met één oplossing voor detectie van waarschuwingen, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Met de ingebouwde werkmap voor firewallgebeurtenissen van Azure WAF kunt u een overzicht krijgen van de beveiligingsgebeurtenissen op uw WAF. Dit omvat gebeurtenissen, overeenkomende en geblokkeerde regels, en verder alles wat kan worden vastgelegd in de logboeken van de firewall. Hieronder vindt u meer informatie over logboekregistratie.

Azure WAF firewall events workbook

Azure Monitor-werkmap voor WAF

Met deze werkmap kunt u aangepaste visualisaties van WAF-gebeurtenissen met betrekking tot beveiliging voor verschillende filterbare deelvensters inschakelen. De werkmap werkt met alle WAF-typen, waaronder Application Gateway, Front Door en CDN, en kan worden gefilterd op basis van het WAF-type of een specifiek WAF-exemplaar. Importeren via ARM-sjabloon of galeriesjabloon. Zie WAF-werkmap als u deze werkmap wilt implementeren.

Logboekregistratie

Application Gateway WAF biedt gedetailleerde rapporten voor elke bedreiging die wordt gedetecteerd. Logboekregistratie is geïntegreerd met Azure Diagnostics-logboeken. Waarschuwingen worden vastgelegd in de JSON-indeling. Deze logboeken kunnen worden geïntegreerd met Azure Monitor-logboeken.

Application Gateway diagnostics logs windows

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Prijzen voor de Application Gateway WAF-voorraadeenheid

De prijsmodellen verschillen voor de SKU's WAF_v1 en WAF_v2. Ga naar de pagina Prijzen voor Application Gateway voor meer informatie.

Nieuwe functies

Zie Azure-updates om te ontdekken wat er nieuw is in Azure Web Application Firewall.

Volgende stappen