Bu Azure Web Uygulaması Güvenlik Duvarı nedir Azure Application Gateway?

Makale
11/12/2021
Okumak için 8 dakika

Azure Web Uygulaması Güvenlik Duvarı (WAF) Azure Application Gateway web uygulamalarınızı yaygın açıklardan yararlanma ve güvenlik açıklarına karşı merkezi koruma sağlar. Web uygulamaları, yaygın olarak bilinen güvenlik açıklarından yararlanan kötü amaçlı saldırılar tarafından giderek daha fazla hedef haline geldi. SQL ekleme ve siteler arası betikler en yaygın saldırılar arasında yer almaktadır.

Application Gateway WAF, Open Web Application Security Project (OWASP) uygulamasından Çekirdek Kural Kümesi (CRS) 3.1, 3.0 veya 2.2.9'a dayalıdır.

Aşağıda listelenen tüm WAF özellikleri bir WAF İlkesi içinde mevcuttur. Birden çok ilke oluşturabilirsiniz ve bunlar bir Application Gateway, tek tek dinleyicilerle veya bir uygulamanın yol tabanlı yönlendirme kurallarıyla Application Gateway. Bu şekilde, gerekirse, kendi sitenizin arkasındaki her site için Application Gateway ilkeleriniz olabilir. WAF İlkeleri hakkında daha fazla bilgi için bkz. WAF İlkesi Oluşturma.

Application Gateway WAF diyagramı

Application Gateway uygulama teslim denetleyicisi (ADC) olarak çalışır. Daha önce Güvenli Yuva Katmanı (SSL), sonlandırma, tanımlama bilgisi tabanlı oturum benzeşim, bir kez deneme yük dağıtımı, içerik tabanlı yönlendirme, birden çok web sitesi barındırma olanağı ve güvenlik geliştirmeleri olarak bilinen Aktarım Katmanı Güvenliği (TLS) sunar.

Application Gateway güvenlik geliştirmeleri TLS ilke yönetimi ve 4 4.000 TLS desteğini içerir. Uygulama güvenliği, waf tümleştirmesi ile Application Gateway. Bu birleşim, web uygulamalarınızı yaygın güvenlik açıklarına karşı korur. Ayrıca yönetimi kolay bir merkezi konum sağlar.

Avantajlar

Bu bölümde, WAF'nin Application Gateway açık bulunmaktadır.

Koruma

Arka uç kodunda değişiklik yapmadan web uygulamalarınızı web güvenlik açıklarına ve saldırılarına karşı koruyun.
Aynı anda birden çok web uygulaması koruyun. Bir web Application Gateway bir web uygulaması güvenlik duvarı tarafından korunan en fazla 40 web sitesi barındırabilir.
Aynı WAF'nin arkasındaki farklı siteler için özel WAF ilkeleri oluşturma
IP Saygınlığı kural kümesiyle web uygulamalarınızı kötü amaçlı botlardan koruma

İzleme

Gerçek zamanlı WAF günlüğünü kullanarak web uygulamalarınıza yönelik saldırıları izleme. Günlük, WAF uyarılarını izlemek Azure İzleyici eğilimleri kolayca izlemek için günlükle tümleşiktir.
WAF Application Gateway, Bulut için Microsoft Defender ile tümleşiktir. Bulut için Defender, tüm Azure, hibrit ve çoklu bulut kaynaklarınızı güvenlik durumunun merkezi bir görünümünü sağlar.

Özelleştirme

WAF kurallarını ve kural gruplarını uygulama gereksinimlerinize uyacak şekilde özelleştirin ve hatalı pozitifleri ortadan kaldırabilirsiniz.
Siteye özgü yapılandırmaya izin vermek için WAF'nizin arkasındaki her site için bir WAF İlkesi ilişkilendirme
Uygulamanın ihtiyaçlarına uygun özel kurallar oluşturma

Özellikler

SQL ekleme koruması.
Siteler arası betik koruma.
Komut ekleme, HTTP isteği aşılama, HTTP yanıt bölme ve uzak dosya ekleme gibi diğer yaygın web saldırılarına karşı koruma.
HTTP protokolü ihlallerine karşı koruma.
Eksik konak kullanıcı aracısı ve üst bilgileri kabul etme gibi HTTP protokolü anomalilerine karşı koruma.
Gezgin ve tarayıcılara karşı koruma.
Yaygın uygulama yanlış yapılandırmalarının (örneğin, Apache ve IIS) algılanması.
Alt ve üst sınırlarla yapılandırılabilir istek boyutu sınırları.
Dışlama listeleri, WAF değerlendirmesinde belirli istek özniteliklerini atlamana izin sağlar. Yaygın bir örnek, kimlik doğrulaması veya parola alanları için kullanılan Active Directory'ye eklenen belirteçlerdir.
Uygulamalarınızı belirli ihtiyaçlarına uygun özel kurallar oluşturun.
Belirli ülkelerin/bölgelerin uygulamalarınıza erişmesine izin vermek veya trafiği engellemek için trafiği coğrafi olarak filtrele.
Bot risk azaltma kural kümesiyle uygulamalarınızı botlardan koruyun.
İstek gövdesinde JSON ve XML'yi inceleme

WAF ilkesi ve kuralları

Web Uygulaması Güvenlik Duvarı'nı Application Gateway için bir WAF ilkesi oluşturmanız gerekir. Bu ilke, tüm yönetilen kuralların, özel kuralların, dışlamaların ve dosya karşıya yükleme sınırı gibi diğer özelleştirmelerin bulunduğu yerdir.

Bir WAF ilkesi yapılandırabilirsiniz ve koruma için bu ilkeyi bir veya daha fazla uygulama ağ geçidiyle ilişkilendirilebilirsiniz. WAF ilkesi iki tür güvenlik kuralı içerir:

Özel kurallar oluştur
Azure tarafından yönetilen önceden yapılandırılmış bir kural kümesi koleksiyonu olan yönetilen kural kümeleri

Her ikisi de mevcut olduğunda, yönetilen kural kümesinde kurallar işlenmeden önce özel kurallar işlenir. Kural bir eşleşme koşulu, öncelik ve eylemden yapılır. Desteklenen eylem türleri: ALLOW, BLOCK ve LOG. Yönetilen ve özel kuralları birleştirerek belirli uygulama koruma gereksinimlerinizi karşılayacak tam olarak özelleştirilmiş bir ilke oluşturabilirsiniz.

İlke içindeki kurallar öncelik sırasına göre işlenir. Öncelik, iş verilecek kuralların sıralamalarını tanımlayan benzersiz bir tamsayıdır. Daha küçük tamsayı değeri daha yüksek bir öncelik olduğunu ifade eder ve bu kurallar daha yüksek tamsayı değerine sahip kurallardan önce değerlendirilir. Bir kural eşleşmesi yapıldıktan sonra, kuralda tanımlanan ilgili eylem iraca uygulanır. Bu tür bir eşleşme işlendikten sonra, daha düşük öncelikleri olan kurallar daha fazla işlenmez.

Web uygulaması tarafından Application Gateway genel düzeyde, site başına veya URI başına bir düzeyde ilişkili bir WAF ilkesi olabilir.

Çekirdek kural kümeleri

Application Gateway üç kural kümesi destekler: CRS 3.1, CRS 3.0 ve CRS 2.2.9. Bu kurallar web uygulamalarınızı kötü amaçlı etkinliklere karşı korur.

Daha fazla bilgi için bkz. Web uygulaması güvenlik duvarı CRS kural grupları ve kuralları.

Özel kurallar

Application Gateway özel kuralları da destekler. Özel kurallarla, WAF'den geçen her istek için değerlendirilen kendi kurallarınızı oluşturabilirsiniz. Bu kurallar, yönetilen kural kümelerinin diğer kurallarından daha yüksek önceliğe sahiptir. Bir koşullar kümesi karşılarsa, izin vermek veya engellemek için bir eylem alınır.

Coğrafi eşleşme işleci artık özel kurallar için kullanılabilir. Daha fazla bilgi için bkz. coğrafi eşleşme özel kuralları.

Özel kurallar hakkında daha fazla bilgi için bkz. Application Gateway.

Bot Azaltma

YÖNETILEN bir Bot koruma kural kümesi, WAF'nizin yönetilen kural kümesiyle birlikte bilinen kötü amaçlı IP adreslerinden gelen istekleri engellemesi veya günlüğe kaydedilir. IP adresleri, Microsoft Tehdit Analizi akışından alınır. Akıllı Güvenlik Graph Microsoft tehdit zekası sağlar ve Bulut için Microsoft Defender dahil olmak üzere birden çok hizmet tarafından kullanılır.

Bot Koruması etkinse, Kötü Amaçlı Botun istemci IP'leri ile eşan gelen istekler Güvenlik Duvarı günlüğüne kaydedilir, aşağıdaki daha fazla bilgi için bkz. WAF günlüklerine depolama hesabından, olay hub'larından veya günlük analizinden erişebilirsiniz.

WAF modları

Aşağıdaki Application Gateway WAF, aşağıdaki iki modda çalıştıracak şekilde yalıtabilirsiniz:

Algılama modu: Tüm tehdit uyarılarını izler ve günlüğe kaydeder. Tanılama bölümünde günlük tanılamasını Application Gateway etkinleştirebilirsiniz. Ayrıca WAF günlüğünün seçili ve açık olduğundan da emin olun. Web uygulaması güvenlik duvarı, Algılama modundayken gelen istekleri engellemez.
Önleme modu: Kuralların algılayan izinsiz giriş ve saldırılarını engeller. Saldırgan bir "403 yetkisiz erişim" özel durumu alır ve bağlantı kapatılır. Önleme modu, bu tür saldırıları WAF günlüklerine kaydeder.

Not

Yeni dağıtılan bir WAF'i üretim ortamında kısa bir süre için Algılama modunda çalıştırması önerilir. Bu, Önleme moduna geçişten önce güvenlik duvarı günlüklerini alma ve özel durumları veya özel kuralları güncelleştirme fırsatı sağlar. Bu, beklenmeyen engellenen trafiğin oluşmasını azaltmaya yardımcı olabilir.

Anomali Puanlama modu

OWASP'nin trafiği engellemeye karar vermek için iki modu vardır: Geleneksel mod ve Anomali Puanlama modu.

Geleneksel modda, herhangi bir kuralla eşleşen trafik diğer kural eşleşmelerinden bağımsız olarak değerlendirilir. Bu modun anlaşılması kolaydır. Ancak belirli bir istekle eşleşen kuralların sayısı ile ilgili bilgi olmaması bir kısıtlamadır. Bu nedenle, anomali Puanlama modu sunuldu. OWASP 3 için varsayılandır. x.

Anomali Puanlama modunda, güvenlik duvarı önleme modundayken, herhangi bir kuralla eşleşen trafik hemen engellenmez. Kurallar belirli bir önem derecesine sahiptir: kritik, hata, Uyarı veya bildirim. Bu önem derecesi, istek için anomali puanı olarak adlandırılan sayısal bir değeri etkiler. Örneğin, bir Uyarı kuralı eşleşmesi 3 ' e katkıda bulunur. Bir kritik kural eşleşmesi 5. katkıda bulunur.

Önem Derecesi	Değer
Kritik	5
Hata	4
Uyarı	3
Değiştirilebileceğini	2

Trafiği engellemek için anomali puanı 5 ' lik bir eşik değeri vardır. Bu nedenle, Application Gateway WAF 'nin önleme modunda bile bir isteği engellemesini engellemek için tek bir kritik kural eşleşmesi yeterlidir. Ancak, bir Uyarı kuralı eşleşmesi yalnızca 3 Ile anomali puanı artırır ve bu, trafiği engellemek için kendisi tarafından yeterli değildir.

Not

Bir WAF kuralı trafik ile eşleştiğinde günlüğe kaydedilen ileti, "engellendi" eylem değerini içerir. Ancak trafik aslında yalnızca 5 veya üzeri bir anomali puanı için engellenmiştir. Daha fazla bilgi için bkz. Azure Application Gateway Için Web uygulaması güvenlik duvarı (WAF) sorunlarını giderme.

WAF izleme

Uygulama ağ geçidinizin durumunu izlemek önemlidir. WAF 'nizin sistem durumunu izleme ve koruduğu uygulamalar, bulut, Azure Izleyici ve Azure Izleyici günlükleri için Microsoft Defender ile tümleştirme tarafından desteklenir.

Application Gateway WAF tanılaması diyagramı

Azure İzleyici

Application Gateway Günlükler Azure izleyiciile tümleşiktir. Bu, WAF uyarıları ve günlükleri dahil olmak üzere tanılama bilgilerini izlemenizi sağlar. Bu özelliğe portalda Application Gateway kaynağındaki Tanılama sekmesinden veya doğrudan Azure izleyici aracılığıyla erişebilirsiniz. Günlükleri etkinleştirme hakkında daha fazla bilgi için bkz. Application Gateway Diagnostics.

Bulut için Microsoft Defender

Için Defender , tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sağlar. Application Gateway, bulut Için Defender ile tümleşiktir. Bulut için Defender, ortamınızı korumasız Web uygulamalarını algılayacak şekilde tarar. Bu güvenlik açığı bulunan kaynakları korumak için WAF Application Gateway önerilir. Güvenlik duvarlarını doğrudan Defender ile bulut için oluşturursunuz. Bu WAF örnekleri, bulut için Defender ile tümleşiktir. Raporlama için, Defender için Defender 'a uyarı ve sistem durumu bilgilerini gönderir.

Buluta genel bakış penceresi için Defender

Microsoft Sentinel

Microsoft Sentinel, ölçeklenebilir, bulutta yerel, güvenlik bilgileri olay yönetimi (SıEM) ve güvenlik Orchestration otomatik yanıtı (SOAR) çözümüdür. Microsoft Sentinel, bir uyarı algılama, tehdit görünürlüğü, proaktif arama ve tehdit yanıtı için tek bir çözüm sunarak kuruluş genelinde akıllı güvenlik Analizi ve tehdit bilgileri sunar.

Yerleşik Azure WAF güvenlik duvarı olayları çalışma kitabı ile WAF 'nizin güvenlik olaylarına genel bir bakış edinebilirsiniz. Bu, olayları, eşleşen ve engellenen kuralları ve güvenlik duvarı günlüklerinde günlüğe kaydedilen diğer her şeyi içerir. Aşağıda günlüğe kaydetme hakkında daha fazla bilgi bulabilirsiniz.

Azure WAF güvenlik duvarı olayları çalışma kitabı

WAF için Azure Izleyici çalışma kitabı

Bu çalışma kitabı, birkaç filtrelenebilir panel üzerinde güvenlikle ilgili WAF olaylarının özel görselleştirilmesini mümkün hale getiriyor. Application Gateway, ön kapı ve CDN dahil olmak üzere tüm waf türleriyle birlikte çalışarak, waf türüne veya belirli bir waf örneğine göre filtrelenebilir. ARM şablonu veya Galeri şablonu aracılığıyla içeri aktarın. Bu çalışma kitabını dağıtmak için bkz. WAF çalışma kitabı.

Günlüğe Kaydetme

WAF Application Gateway algıladığı her tehdit üzerinde ayrıntılı raporlama sağlar. Günlüğe kaydetme, Azure Tanılama günlükleriyle tümleşiktir. Uyarılar. JSON biçiminde kaydedilir. Bu Günlükler, Azure izleyici günlükleriile tümleştirilebilir.

Tanılama günlükleri pencerelerini Application Gateway

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Application Gateway WAF SKU fiyatlandırması

Fiyatlandırma modelleri WAF_v1 ve WAF_v2 SKU 'Ları için farklıdır. Daha fazla bilgi için lütfen Application Gateway fiyatlandırma sayfasına bakın.

Yenilikler

Azure Web uygulaması güvenlik duvarı yenilikleri hakkında bilgi edinmek için bkz. Azure Updates.

Sonraki adımlar

WAF tarafından yönetilen kurallar hakkında daha fazla bilgi edinin
Özel kurallar hakkında daha fazla bilgi edinin
Azure ön kapıda Web uygulaması güvenlik duvarı hakkında bilgi edinin