Azure Web Uygulaması Güvenlik Duvarı üzerinde Azure Front Door

  • Makale
  • Okumak için 5 dakika

Azure Web Uygulaması Güvenlik Duvarı (WAF) Azure Front Door web uygulamalarınız için merkezi koruma sağlar. WAF, web hizmetlerinizi yaygın açıklardan yararlanma ve güvenlik açıklarına karşı koruma sağlar. Hizmetinizi kullanıcılarınız için yüksek oranda kullanılabilir tutar ve uyumluluk gereksinimlerini karşılamanıza yardımcı olur.

WaF on Front Door küresel ve merkezi bir çözümdür. Dünyanın her yerindeki Azure ağ uç konumlarında dağıtılır. WAF özellikli web uygulamaları, ağ uç Front Door gelen her isteği inceler.

WAF, sanal ağınıza girmeden önce saldırı kaynaklarına yakın kötü amaçlı saldırıları önler. Performanslardan ödün vermeden küresel korumayı büyük ölçekte elde etmek. WAF ilkesi, aboneliğinizin tüm Front Door kolayca bağlantı sağlar. Yeni kurallar dakikalar içinde dağıtılabilir, bu nedenle değişen tehdit düzenlerine hızla yanıt verilmektedir.

Azure web uygulaması güvenlik duvarı

Azure Front Door önizlemede iki yeni SKU tanıtıyor:Front Door Standard ve Front Door Premium SKU. WAF, tam özelliklere sahip Front Door Premium SKU ile yerel olarak tümleştirilmiştir. Standart Front Door SKU için yalnızca özel kurallar de destekler.

WAF ilkesi ve kuralları

Bir WAF ilkesi yapılandırabilirsiniz ve koruma için bu ilkeyi bir veya daha fazla Front Door ön uçla ilişkilendiril. WAF ilkesi iki tür güvenlik kuralı içerir:

  • müşteri tarafından yazan özel kurallar.

  • Azure tarafından yönetilen önceden yapılandırılmış bir kural kümesi koleksiyonu olan yönetilen kural kümeleri.

Her ikisi de mevcut olduğunda, yönetilen kural kümesinde kurallar işlenmeden önce özel kurallar işlenir. Kural bir eşleşme koşulu, öncelik ve eylemden yapılır. Desteklenen eylem türleri: ALLOW, BLOCK, LOG ve REDIRECT. Yönetilen ve özel kuralları birleştirerek belirli uygulama koruma gereksinimlerinizi karşılayacak tam olarak özelleştirilmiş bir ilke oluşturabilirsiniz.

İlke içindeki kurallar öncelik sırasına göre işlenir. Öncelik, iş verilecek kuralların sıralamalarını tanımlayan benzersiz bir tamsayıdır. Daha küçük tamsayı değeri daha yüksek bir öncelik olduğunu ifade eder ve bu kurallar daha yüksek tamsayı değerine sahip kurallardan önce değerlendirilir. Bir kural eşleşmesi yapıldıktan sonra, kuralda tanımlanan ilgili eylem iraca uygulanır. Bu tür bir eşleşme işlendikten sonra, daha düşük öncelikleri olan kurallar daha fazla işlenmez.

Uygulama tarafından teslim edilen Front Door aynı anda yalnızca bir WAF ilkesi olabilir. Ancak, herhangi bir WAF Front Door olmadan bir yapılandırmanız olabilir. WaF ilkesi varsa, tüm uç konumlarımıza çoğaltılır ve dünya genelinde tutarlı güvenlik ilkeleri elde etmek için bu ilkeler çoğaltılır.

WAF modları

WAF ilkesi aşağıdaki iki modda çalıştıracak şekilde yalıtabilirsiniz:

  • Algılama modu: Algılama modunda çalıştırıldıklarında WAF, isteği izleyen ve günlüğe kaydeden ve waf kuralıyla waf günlüklerine eşlenden başka bir eylem gerçekleştirin. Günlük tanılamayı günlük kaydı için Front Door. Portalı kullanırken Tanılama bölümüne gidin.

  • Önleme modu: Önleme modunda, bir istek bir kuralla eşiliyorsa WAF belirtilen eylemi alır. Eşleşme bulunursa, düşük önceliğe sahip başka bir kural değerlendirilmez. Tüm eşleşme istekleri WAF günlüklerine de kaydedilir.

WAF eylemleri

WAF müşterileri, bir istek kuralın koşullarıyla eş olduğunda eylemlerden birini çalıştırmayı seçebilir:

  • İzin Ver: İstek WAF'den geçer ve arka ileriye iletildi. Daha düşük öncelikli kurallar bu isteği engelleyebilir.
  • Engelle: İstek engellenir ve WAF, isteği arka ileriye iletmeden istemciye bir yanıt gönderir.
  • Günlük: İstek WAF günlüklerine kaydedilir ve WAF düşük öncelikli kuralları değerlendirmeye devam eder.
  • Yeniden yönlendirme: WAF, isteği belirtilen URI'ye yeniden yönlendirer. Belirtilen URI bir ilke düzeyi ayarıdır. Yapılandırıldığında, Yeniden Yönlendirme eylemiyle eşan tüm istekler bu URI'ye gönderilir.

WAF kuralları

WAF ilkesi iki tür güvenlik kuralı içerir: müşteri ve yönetilen kural kümeleri tarafından yazan özel kurallar, Azure tarafından yönetilen önceden yapılandırılmış kurallar kümesi.

Özel olarak yazma kuralları

WAF özel kurallarını aşağıdaki gibi yapılandırabilirsiniz:

  • IP izin verme listesi ve engellenenler listesi: İstemci IP adresleri veya IP adresi aralıkları listesine göre web uygulamalarınıza erişimi kontrol edin. Hem IPv4 hem de IPv6 adres türleri de kullanılabilir. Bu liste, kaynak IP'nin listede bir IP ile eş olduğu istekleri engellemek veya bu isteklere izin vermek üzere yalıtabilirsiniz.

  • Coğrafi tabanlı erişim denetimi: Web uygulamalarınıza erişimi, bir istemcinin IP adresiyle ilişkili ülke koduna göre kontrol edin.

  • HTTP parametreleri tabanlı erişim denetimi: HTTP/HTTPS istek parametrelerinde dize eşleşmelerini temel alan kurallara sahipsiniz. Örneğin, sorgu dizeleri, POST args, İstek URI'si, İstek Üst Bilgisi ve İstek Gövdesi.

  • İstek yöntemi tabanlı erişim denetimi: Kuralları isteğin HTTP isteği yöntemine göre temel alırsiniz. Örneğin, GET, PUT veya HEAD.

  • Boyut kısıtlaması: Bir isteğin sorgu dizesi, Uri veya istek gövdesi gibi belirli bölümlerinin uzunluklarını temel alan kurallar oluşturabilirsiniz.

  • Hız sınırlama kuralları: Hız denetimi kuralı, herhangi bir istemci IP adresine gelen olağan dışı yüksek trafiği sınırlar. Bir dakikalık süre boyunca istemci IP'lerinden izin verilen web isteklerinin sayısına bir eşik yapılandırebilirsiniz. Bu kural, istemci IP'lerinden gelen tüm isteklere izin veren veya engelleyen IP listesi tabanlı izin verme/engelleme özel kuralından farklıdır. Hız sınırları, ayrıntılı hız denetimi için HTTP(S) parametre eşleşmeleri gibi ek eşleşme koşullarıyla bir araya olabilir.

Azure tarafından yönetilen kural kümeleri

Azure tarafından yönetilen kural kümeleri, yaygın güvenlik tehditlerine karşı koruma dağıtmanın kolay bir yolunu sağlar. Bu tür kural kümeleri Azure tarafından yönetiliyorsa, kurallar yeni saldırı imzalarına karşı koruma için gerektiğinde güncelleştirilir. Azure tarafından yönetilen Varsayılan Kural Kümesi, aşağıdaki tehdit kategorilerine göre kurallar içerir:

  • Siteler arası betik
  • Java saldırıları
  • Yerel dosya ekleme
  • PHP ekleme saldırıları
  • Uzaktan komut yürütme
  • Uzak dosya ekleme
  • Oturum düzeltmesi
  • SQL ekleme koruması
  • Protokol saldırganları

Varsayılan Kural Kümesi'nin kuralları değerlendirilmeden önce her zaman özel kurallar uygulanır. Bir istek özel bir kuralla eşleştirilebilirse ilgili kural eylemi uygulanır. İstek engellendi veya arka sona geçirildi. Varsayılan Kural Kümesinde başka bir özel kural veya kural işlenmez. Varsayılan Kural Kümesi'ne WAF ilkelerinizi de kaldırabilirsiniz.

Daha fazla bilgi için bkz. Web Uygulaması Güvenlik Duvarı DRS kural grupları ve kuralları.

Bot koruma kural kümesi (önizleme)

Yönetilen bot koruma kural kümesi, bilinen bot kategorilerinden gelen istekler üzerinde özel eylemler gerçekleştirecek şekilde etkinleştirilsin.

Desteklenen üç bot kategorisi vardır: Bad, Good ve Unknown. Bot imzaları WAF platformu tarafından yönetilir ve dinamik olarak güncelleştirilir.

Hatalı botlar, kötü amaçlı IP adreslerinden gelen botları ve kimliklerini çarpıtan botları içerir. Kötü amaçlı IP adresleri Microsoft Tehdit Bilgileri akışından gelir ve saatte bir güncelleştirilir. Akıllı Güvenlik Graph Microsoft Tehdit Zekası'nın gücünü sağlar ve Bulut için Microsoft Defender dahil olmak üzere birden çok hizmet tarafından kullanılır.

İyi Botlar, doğrulanmış arama altyapılarını içerir. Bilinmeyen kategoriler, kendilerini bot olarak tanımlandıran ek bot gruplarını içerir. Örneğin, pazar çözümleyicisi, akış getiricileri ve veri toplama aracıları.

Bilinmeyen botlar, ek doğrulama olmadan yayımlanan kullanıcı aracıları aracılığıyla sınıflandırılır. Farklı bot türleri için engelleme, izin verme, günlüğe yönlendirme veya yeniden yönlendirme için özel eylemler oluşturabilirsiniz.

Bot Koruması Kural Kümesi

Önemli

Bot koruma kuralı kümesi şu anda genel önizleme aşamasındadır ve bir önizleme hizmet düzeyi sözleşmesi ile sunulmaktadır. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Ayrıntılar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Bot koruması etkinleştirilirse, bot kurallarıyla eşleşen gelen istekler FrontdoorWebApplicationFirewallLog günlüğüne kaydedilir. WAF günlüklerine bir depolama hesabından, Olay Hub 'ından veya Log Analytics 'e erişebilirsiniz.

Yapılandırma

Azure portal, REST API 'Leri, Azure Resource Manager şablonları ve Azure PowerShell kullanarak tüm WAF kural türlerini yapılandırabilir ve dağıtabilirsiniz.

İzleme

Ön kapıda WAF için izleme, uyarıları izlemek ve trafik eğilimlerini kolayca izlemek için Azure Izleyici ile tümleşiktir.

Sonraki adımlar