Jak działa zapora aplikacji internetowej platformy Azure

  • 12 min

Znasz podstawowe funkcje i zalety usługi Azure Web Application Firewall. Teraz sprawdźmy, jak działa zapora aplikacji internetowej platformy Azure. W szczególności rozważmy, w jaki sposób funkcje, takie jak zestawy reguł i grupy reguł, umożliwiają usłudze Azure Web Application Firewall ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach. Te informacje ułatwiają ocenę, czy usługa Azure Web Application Firewall jest właściwym rozwiązaniem dla Twojej firmy.

Opcje wdrażania

Zaporę aplikacji internetowej platformy Azure można wdrożyć w ramach rozwiązania frontonu platformy Azure dla aplikacji internetowych. Zaczniesz od utworzenia zasad usługi Azure Web Application Firewall, które obejmują następujące ustawienia:

  • Która integracja produktu, której chcesz użyć
  • Którego zestawu reguł zarządzanych chcesz użyć
  • Wszelkie reguły niestandardowe, które chcesz dodać
  • Którego trybu chcesz użyć

Zarządzane przez firmę Microsoft zestawy reguł, grupy reguł i reguły

Zapora aplikacji internetowej platformy Azure udaremnia znane luki w zabezpieczeniach, stosując reguły do przychodzących żądań HTTP/HTTPS aplikacji. Reguła to kod zapory przeznaczony do rozpoznawania i zapobiegania konkretnemu zagrożeniu.

Reguły, których używa usługa Azure Web Application Firewall do wykrywania i blokowania typowych luk w zabezpieczeniach, są głównie regułami zarządzanymi należącymi do różnych grup reguł. Każda grupa reguł jest kolekcją reguł, a zarządzany zestaw reguł to kolekcja grup reguł. Zarządzane zestawy reguł obejmują grupy reguł oparte na usłudze Microsoft Threat Intelligence, cve (typowe luki w zabezpieczeniach i ekspozycje) oraz podstawowe grupy reguł (CRS).

Reguły CRS są definiowane przez projekt Open Web Application Security (OWASP). Zespół ekspertów ds. zabezpieczeń firmy Microsoft koduje, utrzymuje i aktualizuje reguły zarządzane. Reguły są modyfikowane lub dodawane zgodnie z potrzebami. Gdy reguła zarządzana ulegnie zmianie, firma Microsoft automatycznie aktualizuje zaporę aplikacji internetowej platformy Azure i bez przestoju aplikacji.

Poniższy zrzut ekranu przedstawia niektóre reguły i grupy reguł w domyślnym zestawie reguł firmy Microsoft 2.1 (DRS2.1). Powinno to zapewnić poczucie głębi ochrony oferowanej przez usługę Azure Web Application Firewall.

Screen shot show WAF managed rules.

Reguły bota

Reguły botów identyfikują złe boty, dobre boty i nieznane boty na podstawie analizy zagrożeń firmy Microsoft i zastrzeżonych reguł zapory aplikacji internetowych.

Screenshot showing WAF bot rules.

Reguły niestandardowe

Reguły zarządzane usługi Azure Web Application Firewall mogą nie obejmować określonego zagrożenia, które występują w aplikacjach internetowych. Jeśli tak, możesz utworzyć regułę niestandardową. Reguły niestandardowe można tworzyć, tworząc warunki, które obejmują następujące składniki:

  • Dopasuj typ, taki jak lokalizacja geograficzna, adres IP, rozmiar, ciąg
  • Dopasuj zmienne, takie jak RequestHeader, QueryString, RequestUri, RequestBody, Cookies lub PostArgs
  • Metody żądań HTTP/HTTPS, takie jak POST lub PUT
  • Operatory, takie jak EqualContains, Regex, Zaczyna się od, Any, Kończy się na
  • Akcja, taka jak Zezwalaj, Blokuj, Dziennik lub Przekierowywanie

Filtrowanie geograficzne

Domyślnie zapora aplikacji internetowej odpowiada na wszystkie żądania użytkowników niezależnie od lokalizacji, z której pochodzi żądanie. W niektórych scenariuszach możesz ograniczyć dostęp do aplikacji internetowej według krajów/regionów. Reguła niestandardowa filtrowania geograficznego umożliwia zdefiniowanie określonej ścieżki w punkcie końcowym w celu zezwolenia lub zablokowania dostępu z określonych krajów/regionów. Reguła filtrowania geograficznego używa dwuliterowego kodu kraju/regionu.

W przypadku reguły filtrowania geograficznego zmienna dopasowania to RemoteAddr lub SocketAddr. RemoteAddr to oryginalny adres IP klienta, który jest zwykle wysyłany za pośrednictwem nagłówka X-Forwarded-For żądania. SocketAddr to źródłowy adres IP widoczny przez zaporę aplikacji internetowej. Jeśli użytkownik znajduje się za serwerem proxy, socketAddr jest często adresem serwera proxy.

Warunek GeoMatch i warunek dopasowania ciągu REQUEST_URI można połączyć, aby utworzyć regułę filtrowania geograficznego opartą na ścieżkach.

Ograniczenie adresów IP

Niestandardowe reguły zapory aplikacji internetowej platformy Azure kontrolują dostęp do aplikacji internetowych, określając listę adresów IP lub zakresów adresów IP.

Reguła niestandardowa ograniczeń adresów IP umożliwia kontrolowanie dostępu do aplikacji internetowych. W tym celu należy określić adres IP lub zakres adresów IP w formacie CiDR (Classless Inter-Domain Routing( CIDR).

Domyślnie aplikacja internetowa jest dostępna z Internetu. Czasami jednak chcesz ograniczyć dostęp do klientów z listy znanych adresów IP lub zakresów adresów IP. Można to osiągnąć, tworząc regułę dopasowywania adresów IP, która blokuje dostęp do aplikacji internetowej z adresów IP, które nie są wymienione w regule niestandardowej.

Rate limiting (Ograniczanie szybkości)

Niestandardowe reguły zapory aplikacji internetowej platformy Azure obsługują ograniczanie szybkości w celu kontrolowania dostępu na podstawie pasujących warunków i szybkości żądań przychodzących.

Ta reguła niestandardowa umożliwia wykrywanie nietypowo wysokiego poziomu ruchu i blokowanie ataków typu "odmowa usługi" warstwy aplikacji. Ograniczanie szybkości chroni również klientów, którzy przypadkowo zostali nieprawidłowo skonfigurowani w celu wysyłania dużych ilości żądań w krótkim czasie. Reguła niestandardowa jest definiowana przez czas trwania zliczania limitu szybkości (interwały minutowe lub pięciominutowe) oraz próg limitu szybkości (maksymalna liczba żądań dozwolonych w czasie trwania limitu szybkości).

Tryb wykrywania a tryb zapobiegania

Usługa Azure Web Application Firewall może działać w jednym z dwóch trybów. Wybrany tryb zależy od tego, jak zapora ma obsługiwać przychodzące żądania HTTP/HTTPS zgodne z jedną z jego reguł:

  • Tryb wykrywania: rejestruje żądanie, ale umożliwia przejście żądania.
  • Tryb zapobiegania: rejestruje żądanie, ale nie zezwala na wykonywanie żądania.

Typowym scenariuszem jest uruchomienie zapory aplikacji internetowej platformy Azure w trybie wykrywania podczas testowania aplikacji. W trybie wykrywania można sprawdzić, czy występują dwa typy problemów:

  • Wyniki fałszywie dodatnie: uzasadnione żądania flagi zapory jako złośliwe.
  • Fałszywie ujemne: złośliwe żądania zezwalające na zaporę.

Gdy aplikacja będzie gotowa do wdrożenia, przełącz się do trybu zapobiegania.

Korzystanie z usługi Microsoft Sentinel z zaporą aplikacji internetowej platformy Azure

Zapora aplikacji internetowej platformy Azure w połączeniu z usługą Microsoft Sentinel może zapewnić zarządzanie zdarzeniami zabezpieczeń dla zasobów zapory aplikacji internetowej. Za pomocą usługi Microsoft Sentinel możesz uzyskać dostęp do łącznika danych zapory aplikacji internetowej do usługi Sentinel przy użyciu usługi Log Analytics. Skoroszyty zapory aplikacji internetowej pokazują analizę zapory aplikacji internetowej w usłudze Azure Front Door i zaporze aplikacji internetowej w usłudze Application Gateway. Reguły analityczne zapory aplikacji internetowej wykrywają ataki SQLi i XSS z dzienników usług AFD i Application Gateway. Notes zapory aplikacji internetowej umożliwia badanie zdarzeń iniekcji SQL w usłudze Azure Front Door.

Screenshot showing Sentinel WAF settings.

Screenshot showing WAF events.