Práticas recomendadas para o Firewall de Aplicativo Web do Azure na Porta da Frente do Azure

Este artigo resume as práticas recomendadas para usar o Firewall de Aplicativo Web do Azure na Porta da Frente do Azure.

Melhores práticas gerais

Esta seção discute as práticas recomendadas gerais.

Ativar a WAF

Para aplicativos voltados para a Internet, recomendamos que você habilite um firewall de aplicativo Web (WAF) e configure-o para usar regras gerenciadas. Quando você usa um WAF e regras gerenciadas pela Microsoft, seu aplicativo é protegido contra uma série de ataques.

Sintonize o seu WAF

As regras do seu WAF devem ser ajustadas para a sua carga de trabalho. Se você não ajustar seu WAF, ele poderá bloquear acidentalmente as solicitações que deveriam ser permitidas. O ajuste pode envolver a criação de exclusões de regras para reduzir as deteções de falsos positivos .

Enquanto você ajusta seu WAF, considere usar o modo de deteção. Esse modo registra as solicitações e as ações que o WAF normalmente tomaria, mas na verdade não bloqueia nenhum tráfego.

Para obter mais informações, consulte Tune Azure Web Application Firewall for Azure Front Door.

Usar o modo de prevenção

Depois de ajustar o WAF, configure-o para ser executado no modo de prevenção. Ao executar no modo de prevenção, você garante que o WAF bloqueia solicitações que ele deteta mal-intencionadas. A execução no modo de deteção é útil enquanto você ajusta e configura o WAF, mas não fornece proteção.

Defina sua configuração WAF como código

Quando você ajusta o WAF para a carga de trabalho do aplicativo, normalmente cria um conjunto de exclusões de regras para reduzir as deteções de falsos positivos. Se você configurar manualmente essas exclusões usando o portal do Azure, ao atualizar seu WAF para usar uma versão mais recente do conjunto de regras, precisará reconfigurar as mesmas exceções em relação à nova versão do conjunto de regras. Este processo pode ser demorado e propenso a erros.

Em vez disso, considere definir suas exclusões de regra WAF e outras configurações como código, como usando a CLI do Azure, Azure PowerShell, Bíceps ou Terraform. Quando precisar atualizar a versão do conjunto de regras do WAF, você poderá reutilizar facilmente as mesmas exclusões.

Práticas recomendadas de conjunto de regras gerenciadas

Esta seção discute as práticas recomendadas para conjuntos de regras.

Habilitar conjuntos de regras padrão

Os conjuntos de regras padrão da Microsoft são projetados para proteger seu aplicativo detetando e bloqueando ataques comuns. As regras são baseadas em várias fontes, incluindo os 10 principais tipos de ataque do OWASP e informações do Microsoft Threat Intelligence.

Para obter mais informações, consulte Conjuntos de regras gerenciados pelo Azure.

Habilitar regras de gerenciamento de bots

Os bots são responsáveis por uma proporção significativa do tráfego para aplicações web. O conjunto de regras de proteção de bots do WAF categoriza os bots com base em se eles são bons, ruins ou desconhecidos. Bots ruins podem ser bloqueados, enquanto bots bons, como rastreadores de mecanismos de pesquisa, são permitidos em seu aplicativo.

Para obter mais informações, consulte Conjunto de regras de proteção de bot.

Usar as versões mais recentes do conjunto de regras

A Microsoft atualiza regularmente as regras gerenciadas para levar em conta o cenário atual de ameaças. Certifique-se de verificar regularmente se há atualizações para conjuntos de regras gerenciados pelo Azure.

Para obter mais informações, consulte Grupos de regras e regras DRS do Firewall de Aplicativo Web do Azure.

Melhores práticas de limitação de taxa

Esta seção discute as práticas recomendadas para limitação de taxa.

Adicionar limite de taxa

O WAF do Azure Front Door permite controlar o número de solicitações permitidas do endereço IP de cada cliente durante um período de tempo. É uma boa prática adicionar limitação de taxa para reduzir o efeito de clientes acidentalmente ou intencionalmente enviando grandes quantidades de tráfego para o seu serviço, como durante uma tempestade de novas tentativas.

Para obter mais informações, consulte os seguintes recursos:

• O que é o limite de taxa para o Azure Front Door?.
• Configure uma regra de limite de taxa do Firewall do Aplicativo Web do Azure usando o Azure PowerShell.
• Por que solicitações adicionais acima do limite configurado para minha regra de limite de taxa são passadas para meu servidor back-end?

Usar um limite alto para limites de taxa

Normalmente, é uma boa prática definir o limite de taxa para ser alto. Por exemplo, se você souber que um único endereço IP de cliente pode enviar cerca de 10 solicitações para seu servidor a cada minuto, considere especificar um limite de 20 solicitações por minuto.

Limites de taxa elevados evitam bloquear o tráfego legítimo. Esses limites ainda fornecem proteção contra um número muito alto de solicitações que podem sobrecarregar sua infraestrutura.

Práticas recomendadas de filtragem geográfica

Esta seção discute as práticas recomendadas para filtragem geográfica.

Tráfego de filtro geográfico

Muitos aplicativos da Web são projetados para usuários dentro de uma região geográfica específica. Se essa situação se aplicar ao seu aplicativo, considere implementar a filtragem geográfica para bloquear solicitações que vêm de fora dos países ou regiões dos quais você espera receber tráfego.

Para obter mais informações, consulte O que é filtragem geográfica em um domínio para o Azure Front Door?.

Especificar a localização desconhecida (ZZ)

Alguns endereços IP não são mapeados para locais em nosso conjunto de dados. Quando um endereço IP não pode ser mapeado para um local, o WAF atribui o tráfego ao país ou região desconhecido (ZZ). Para evitar bloquear pedidos válidos destes endereços IP, considere permitir o país ou região desconhecidos (ZZ) através do seu filtro geográfico.

Para obter mais informações, consulte O que é filtragem geográfica em um domínio para o Azure Front Door?.

Registo

Esta seção discute o registro em log.

Adicione configurações de diagnóstico para salvar os logs do WAF

O WAF do Azure Front Door integra-se com o Azure Monitor. É importante salvar os logs do WAF em um destino como o Log Analytics. Você deve revisar os logs do WAF regularmente. A revisão de logs ajuda você a ajustar suas políticas WAF para reduzir deteções de falsos positivos e entender se seu aplicativo foi alvo de ataques .

Para obter mais informações, consulte Monitoramento e registro em log do Firewall do Aplicativo Web do Azure.

Enviar logs para o Microsoft Sentinel

O Microsoft Sentinel é um sistema de gerenciamento de eventos e informações de segurança (SIEM), que importa logs e dados de várias fontes para entender o cenário de ameaças para seu aplicativo Web e o ambiente geral do Azure. Os logs WAF do Azure Front Door devem ser importados para o Microsoft Sentinel ou outro SIEM para que suas propriedades voltadas para a Internet sejam incluídas em sua análise. Para o Microsoft Sentinel, use o conector WAF do Azure para importar facilmente seus logs WAF.

Para obter mais informações, consulte Usar o Microsoft Sentinel com o Azure Web Application Firewall.

Próximos passos

Saiba como criar uma política WAF do Azure Front Door.