Perguntas frequentes para Azure Firewall de Aplicações Web no Serviço de Porta Frontal Azure

Este artigo responde a perguntas comuns sobre a Azure Firewall de Aplicações Web (WAF) sobre as funcionalidades e funcionalidades do Azure Front Door Service.

O que é Azure WAF?

Azure WAF é uma firewall de aplicação web que ajuda a proteger as suas aplicações web de ameaças comuns, tais como injeção de SQL, scripts de sites cruzados e outras explorações web. Pode definir uma política de WAF que consiste numa combinação de regras personalizadas e geridas para controlar o acesso às suas aplicações web.

Uma política Azure WAF pode ser aplicada a aplicações web hospedadas em Gateway de Aplicação ou Portas Frontais Azure.

O que é WAF na Porta da Frente Azure?

A Azure Front Door é uma rede de aplicações e entrega de conteúdos altamente escalável e distribuída globalmente. O Azure WAF, quando integrado com a Porta Frontal, para os ataques de aplicação de negação de serviço e direcionados para a rede Azure, perto de fontes de ataque antes de entrarem na sua rede virtual, oferece proteção sem sacrificar o desempenho.

O Azure WAF suporta HTTPS?

A Porta da Frente oferece descarregamento TLS. A WAF está integrada na porta da frente e pode inspecionar um pedido após a sua desencriptação.

A Azure WAF suporta o IPv6?

Sim. Pode configurar a restrição IP para IPv4 e IPv6.

Até que ponto estão atualizados os conjuntos de regras geridos?

Fazemos o nosso melhor para acompanhar a mudança na paisagem das ameaças. Uma vez que uma nova regra é atualizada, é adicionada ao Conjunto de Regras Padrão com um novo número de versão.

Qual é o tempo de propagação se eu mudar a minha política da WAF?

A maioria das implementações da política da WAF completam em menos de 20 minutos. Pode esperar que a política produza efeitos assim que a atualização estiver concluída em todos os locais de ponta a nível global.

As políticas da WAF podem ser diferentes para diferentes regiões?

Quando integrado com porta frontal, o WAF é um recurso global. A mesma configuração aplica-se em todos os locais da Porta frontal.

Como devo proceder para limitar o acesso à minha parte de trás para ser apenas da Porta da Frente?

Pode configurar a Lista de Controlo de Acesso IP no seu back-end para permitir apenas intervalos de endereço IP de saída da Porta Frontal e negar qualquer acesso direto a partir da Internet. As etiquetas de serviço são suportadas para que possa utilizar na sua rede virtual. Além disso, pode verificar se o campo de cabeçalho HTTP X-Forwarded é válido para a sua aplicação web.

Que opções aZure WAF devo escolher?

Existem duas opções na aplicação das políticas waf em Azure. WAF com Azure Front Door é uma solução de segurança de borda distribuída globalmente. A WAF com Gateway de Aplicação é uma solução regional e dedicada. Recomendamos que escolha uma solução com base nos seus requisitos globais de desempenho e segurança. Para mais informações, consulte o load-balance com a suite de entrega de aplicações da Azure.

Qual é a abordagem recomendada para permitir a WAF na Porta da Frente?

Quando ativa o WAF numa aplicação existente, é comum ter falsas deteções positivas onde as regras da WAF detetam o tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para os seus utilizadores, recomendamos o seguinte processo:

  • Ativar o modo WAF no modo deteção para garantir que o WAF não bloqueia os pedidos enquanto estiver a trabalhar neste processo.

    Importante

    Este processo descreve como ativar o WAF numa solução nova ou existente quando a sua prioridade é minimizar a perturbação para os utilizadores da sua aplicação. Se estiver sob ataque ou ameaça iminente, poderá querer, em vez disso, implantar imediatamente o modo WAF no modo de Prevenção e utilizar o processo de afinação para monitorizar e sintonizar o WAF ao longo do tempo. Isto provavelmente fará com que algum do seu tráfego legítimo seja bloqueado, e é por isso que só recomendamos fazê-lo quando estiver sob ameaça.

  • Siga as nossas orientações para afinação da WAF. Este processo requer que permita a verificação de registos de diagnóstico, reveja regularmente os registos e adicione exclusões de regras e outras mitigações.
  • Repita todo este processo, verificando os registos regularmente, até que esteja convencido de que nenhum tráfego legítimo está a ser bloqueado. Todo o processo pode demorar várias semanas. Idealmente, deve ver menos deteções falsas positivas após cada alteração de sintonização que faz.
  • Finalmente, ativar o MODO WAF no modo de Prevenção.
  • Mesmo depois de estar a executar o WAF em produção, deve continuar a monitorizar os registos para identificar quaisquer outras deteções falsas positivas. A revisão regular dos registos também o ajudará a identificar quaisquer tentativas de ataque reais que tenham sido bloqueadas.

Suporta as mesmas funcionalidades da WAF em todas as plataformas integradas?

Atualmente, as regras ModSec CRS 2.2.9, CRS 3.0 e CRS 3.1 só são suportadas com a WAF em Gateway de Aplicação. As regras de definição de regras geridas por defeito de limitação de taxas são suportadas apenas com WAF na Porta frontal Azure.

A proteção DDoS está integrada com a Porta da Frente?

Distribuído globalmente nas bordas da rede Azure, a Porta Frontal Azure pode absorver e isolar geograficamente grandes ataques de grande volume. Pode criar uma política WAF personalizada para bloquear e taxar automaticamente os ataques http(s) que tenham assinaturas conhecidas. Além disso, pode ativar a Norma de Proteção DDoS no VNet onde as suas extremidades traseiras estão implantadas. Os clientes Azure DDoS Protection Standard recebem benefícios adicionais, incluindo proteção de custos, garantia SLA e acesso a especialistas da DDoS Rapid Response Team para ajuda imediata durante um ataque. Para mais informações, consulte a proteção DDoS na Porta da Frente.

Porque é que os pedidos adicionais acima do limiar configurado para a minha regra de limite de taxa são passados para o meu servidor de backend?

Uma regra de limite de taxa pode limitar o tráfego anormalmente elevado a partir de qualquer endereço IP do cliente. Pode configurar um limiar no número de pedidos web permitidos a partir de um endereço IP do cliente durante um período de um minuto ou cinco minutos. Para o controlo da taxa granular, a limitação da taxa pode ser combinada com condições adicionais de correspondência, tais como correspondência de parâmetros HTTP(S).

Um limiar de limite de taxa é geralmente definido alto para se defender contra a negação de ataques de serviço de qualquer endereço IP do cliente. Os pedidos do mesmo cliente chegam frequentemente ao mesmo servidor da Porta frontal. Nesse caso, verá que pedidos adicionais acima do limiar ficam bloqueados imediatamente. No entanto, é possível que os pedidos do mesmo cliente possam chegar a um servidor front door diferente que ainda não tenha atualizado o contador de limites de taxa. Por exemplo, o cliente pode abrir uma nova ligação para cada pedido e se o limiar for suficientemente baixo, o primeiro pedido para o novo servidor da Porta Frontal passaria a taxa de verificação limite. Assim, para um limiar muito baixo (digamos menos de ~50 RPM), você pode ver pedidos adicionais acima do limiar passar.

Que tipos de conteúdo suportam o WAF?

A Porta frontal WAF suporta os seguintes tipos de conteúdo:

  • DRS 2.0

    Regras geridas

    • application/json
    • aplicação/xml
    • aplicação/x-www-form-urlencoded
    • multiparte/dados de formulários

    Regras personalizadas

    • aplicação/x-www-form-urlencoded
  • DRS 1.x

    Regras geridas

    • aplicação/x-www-form-urlencoded
    • texto/planície

    Regras personalizadas

    • aplicação/x-www-form-urlencoded

Passos seguintes