Perguntas frequentes sobre o Firewall de Aplicativo Web do Azure no Azure Front Door Service

O WAF do Azure é um firewall do aplicativo Web que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política de WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.

Uma política do WAF do Azure pode ser aplicada aos aplicativos Web hospedados no Gateway de Aplicativo ou no Azure Front Doors.

O Azure Front Door consiste em uma rede de distribuição de conteúdo e um aplicativo distribuído globalmente altamente escalonável. O Azure WAF, quando integrado ao Front Door, interrompe os ataques de aplicativos direcionados e negação de serviço na borda da rede do Azure, prestes a atingir fontes antes de entrarem em sua rede virtual, oferece proteção sem sacrificar o desempenho.

O Front Door oferece descarregamento de TLS. O WAF é nativamente integrado ao Front Door e pode inspecionar uma solicitação depois que ela é descriptografada.

Sim. Você pode configurar a restrição de IP para IPv4 e IPv6.

Fazemos o nosso melhor para acompanhar as mudanças no cenário de ameaças. Depois que uma nova regra é atualizada, ela é adicionada ao Conjunto de Regras Padrão com um novo número de versão.

A maioria das implantações de política do WAF é concluída em menos de 20 minutos. Você pode esperar que a política entre em vigor assim que a atualização for concluída em todas as localizações de borda globalmente.

Quando integrado com o Front Door, o WAF é um recurso global. A mesma configuração se aplica a todos os locais do Front Door.

Você pode configurar a Lista de Controle de Acesso de IP em seu back-end para permitir apenas intervalos de endereços IP de saída do Front Door que usam a marca de serviço do Azure Front Door e negar qualquer acesso direto da Internet. As marcas de serviço têm suporte para uso em sua rede virtual. Além disso, você pode verificar se o campo de cabeçalho HTTP X-Forwarded-Host é válido para seu aplicativo Web.

Há duas opções ao aplicar políticas de WAF no Azure. O WAF com o Azure front door é uma solução de segurança de borda distribuída globalmente. O WAF com o Gateway de Aplicativo é uma solução regional e dedicada. Recomendamos que você escolha uma solução com base em seus requisitos gerais de desempenho e segurança. Para saber mais, confira Balanceamento de carga com o pacote de entrega de aplicativos do Azure.

Quando você habilita o WAF em um aplicativo existente, é comum ter detecções de falso positivo em que as regras do WAF detectam o tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para os usuários, recomendamos o seguinte processo:

• Habilite o WAF no modo Detecção para garantir que o WAF não bloqueie as solicitações enquanto você estiver trabalhando no processo. Esta etapa é recomendada para fins de teste no WAF.

  Importante

  Este processo descreve como habilitar o WAF em uma solução nova ou existente quando sua prioridade é minimizar os distúrbios aos usuários do aplicativo. Se você estiver sob ataque ou ameaça iminente, talvez queira implantar o WAF no modo Prevenção imediatamente e usar o processo de ajuste para monitorar e ajustar o WAF ao longo do tempo. Isso provavelmente fará com que parte do tráfego legítimo seja bloqueado, e é por isso que recomendamos fazer isso apenas quando você estiver sob ameaça.

• Siga nossas diretrizes para ajustar o WAF. Esse processo requer que você habilite o log de diagnóstico, revise os logs regularmente e adicione exclusões de regras e outras mitigações.
• Repita todo o processo, verificando os logs regularmente, até ter certeza de que nenhum tráfego legítimo esteja sendo bloqueado. Todo o processo pode levar várias semanas. O ideal é que você veja menos detecções de falsos positivos após cada alteração de ajuste.
• Por fim, habilite o WAF no Modo de prevenção.
• Mesmo depois de executar o WAF em produção, você deve continuar monitorando os logs para identificar qualquer outra detecção de falso positivo. A revisão regular dos logs também ajudará você a identificar as tentativas de ataque reais que foram bloqueadas.

Atualmente, as regras ModSec CRS 3.0, CRS 3.1 e CRS 3.2 têm suporte com WAF apenas no Gateway de Aplicativo. As regras de limitação de taxa, filtragem geográfica e conjunto de regras padrão gerenciadas pelo Azure têm suporte apenas com WAF no Azure Front Door.

Distribuído globalmente nas bordas da rede do Azure, o Azure Front Door pode absorver e isolar geograficamente ataques de grande volume. Você pode criar uma política de WAF personalizada para bloquear e limitar automaticamente a taxa de ataques http(s) que têm assinaturas conhecidas. Além disso, é possível habilitar a Proteção de Rede contra DDoS na VNet em que os back-ends foram implantados. Os clientes da Proteção contra DDoS do Azure recebem benefícios adicionais, como proteção de custos, garantia de SLA e acesso a especialistas da equipe de resposta rápida a DDoS para obter ajuda imediata durante um ataque. Para saber mais, confira Proteção contra DDoS no Front door.

Talvez você não veja solicitações imediatamente bloqueadas pelo limite de taxa quando as solicitações são processadas por diferentes servidores do Front Door. Para obter mais informações, consulte Limitação de taxa e servidores do Front Door.

O WAF do Front Door dá suporte aos seguintes tipos de conteúdo:

• DRS 2.0

  Regras gerenciadas

  • aplicativo/json
  • aplicativo/xml
  • Application/x-www-form-urlencoded
  • multipart/form-data

  Regras personalizadas

  • Application/x-www-form-urlencoded

• DRS 1.x

  Regras gerenciadas

  • Application/x-www-form-urlencoded
  • texto/sem formatação

  Regras personalizadas

  • Application/x-www-form-urlencoded

Não, você não pode. O perfil do AFD e a política de WAF precisam estar na mesma assinatura.

Próximas etapas

• Saiba mais sobre o Firewall do Aplicativo Web do Azure.
• Saiba mais sobre o Azure Front Door.