Microsoft'tan Azure Content Delivery Network üzerinde Azure Web Uygulaması Güvenlik Duvarı
Microsoft'tan Azure Content Delivery Network (CDN) üzerinde Azure Web Uygulaması Güvenlik Duvarı (WAF), web içeriğiniz için merkezi koruma sağlar. WAF, web hizmetlerinizi yaygın açıklara ve güvenlik açıklarına karşı korur. Hizmetinizi kullanıcılarınız için yüksek oranda kullanılabilir tutar ve uyumluluk gereksinimlerini karşılamanıza yardımcı olur.
Önemli
Microsoft önizlemesinden Azure CDN üzerinde Azure WAF artık yeni müşterileri kabul etmemektedir. Müşterilerin bunun yerine Azure Front Door üzerinde Azure WAF'yi kullanmaları tavsiye edilir. Mevcut CDN WAF müşterilerine bir önizleme hizmet düzeyi sözleşmesi sağlanır. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Ayrıntılar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.
Azure CDN üzerinde WAF, küresel ve merkezi bir çözümdür. Dünyanın dört bir yanındaki Azure ağ uç konumlarına dağıtılır. WAF, kötü amaçlı saldırıları kaynağınıza ulaşmadan önce saldırı kaynaklarına yakın bir konumda durdurur. Performansdan ödün vermeden büyük ölçekte küresel koruma elde edersiniz.
WAF ilkesi, aboneliğinizdeki herhangi bir CDN uç noktasına kolayca bağlanır. Yeni kurallar birkaç dakika içinde dağıtılabilir, böylece değişen tehdit desenlerine hızlı bir şekilde yanıt verilmektedir.
WAF ilkesi ve kuralları
Bir WAF ilkesi yapılandırabilir ve bu ilkeyi koruma için bir veya daha fazla CDN uç noktasıyla ilişkilendirebilirsiniz. WAF ilkesi iki tür güvenlik kuralından oluşur:
oluşturabileceğiniz özel kurallar.
Azure tarafından yönetilen önceden yapılandırılmış kurallar koleksiyonu olan yönetilen kural kümeleri.
Her ikisi de mevcut olduğunda, özel kurallar yönetilen bir kural kümesindeki kurallar işlenmeden önce işlenir. Kural eşleşme koşulundan, öncelikten ve eylemden oluşur. Desteklenen eylem türleri şunlardır: ALLOW, BLOCK, LOG ve REDIRECT. Yönetilen ve özel kuralları birleştirerek belirli uygulama koruma gereksinimlerinizi karşılayan tam olarak özelleştirilmiş bir ilke oluşturabilirsiniz.
İlke içindeki kurallar öncelik sırasına göre işlenir. Öncelik, işlenmek üzere kuralların sırasını tanımlayan benzersiz bir sayıdır. Daha küçük sayılar daha yüksek önceliklidir ve bu kurallar daha büyük bir değere sahip kurallardan önce değerlendirilir. Bir kural eşleştirildikten sonra, kuralda tanımlanan ilgili eylem isteğe uygulanır. Böyle bir eşleşme işlendikten sonra, düşük önceliğe sahip kurallar daha fazla işlenmez.
Azure CDN'de barındırılan bir web uygulamasının aynı anda kendisiyle ilişkilendirilmiş tek bir WAF ilkesi olabilir. Ancak, kendisiyle ilişkilendirilmiş WAF ilkeleri olmayan bir CDN uç noktanız olabilir. Bir WAF ilkesi varsa, dünya genelinde tutarlı güvenlik ilkeleri sağlamak için bu ilke tüm uç konumlarımıza çoğaltılır.
WAF modları
WAF ilkesi aşağıdaki iki modda çalışacak şekilde yapılandırılabilir:
Algılama modu: Algılama modunda çalıştırıldığında WAF, isteği ve eşleşen WAF kuralını WAF günlüklerine izleyip günlüğe kaydetmek dışında başka bir eylem gerçekleştirmez. CDN için günlüğe kaydetme tanılamasını açabilirsiniz. Portalı kullandığınızda Tanılama bölümüne gidin.
Önleme modu: Önleme modunda, bir istek bir kuralla eşleşiyorsa WAF belirtilen eylemi uygular. Eşleşme bulunursa, daha düşük önceliğe sahip başka kural değerlendirilmez. Eşleşen istekler waf günlüklerine de kaydedilir.
WAF eylemleri
bir istek bir kuralın koşullarıyla eşleştiğinde aşağıdaki eylemlerden birini seçebilirsiniz:
- İzin ver: İstek WAF'dan geçer ve arka uca iletilir. Daha düşük öncelikli kurallar bu isteği engelleyebilir.
- Engelle: İstek engellenir ve WAF, isteği arka uca iletmeden istemciye bir yanıt gönderir.
- Günlük: İstek WAF günlüklerine kaydedilir ve WAF daha düşük öncelikli kuralları değerlendirmeye devam eder.
- Yeniden yönlendirme: WAF, isteği belirtilen URI'ye yönlendirir. Belirtilen URI bir ilke düzeyi ayarıdır. Yapılandırıldıktan sonra, Yeniden Yönlendirme eylemiyle eşleşen tüm istekler bu URI'ye gönderilir.
WAF kuralları
WAF ilkesi iki tür güvenlik kuralından oluşabilir:
- özel kurallar: kendiniz oluşturabileceğiniz kurallar.
- yönetilen kural kümeleri: Azure tarafından önceden yapılandırılmış ve etkinleştirebileceğiniz kurallar kümesi.
Özel kurallar
Özel kuralların eşleşme kuralları ve hız denetimi kuralları olabilir.
Aşağıdaki özel eşleştirme kurallarını yapılandırabilirsiniz:
IP izin verilenler listesi ve blok listesi: web uygulamalarınıza erişimi istemci IP adresleri veya IP adresi aralıkları listesine göre denetleyebilirsiniz. Hem IPv4 hem de IPv6 adres türleri desteklenir. IP listesi kuralları, WAF'nin gördüğü SocketAddress değerini değil, X-Forwarded-For istek üst bilgisinde bulunan RemoteAddress IP'sini kullanır. IP listeleri, RemoteAddress IP'sinin listedeki bir IP ile eşleştiği istekleri engelleyecek veya izin verecek şekilde yapılandırılabilir. WAF'nin gördüğü kaynak IP adresinde isteği engelleme gereksiniminiz varsa (örneğin, kullanıcı bir ara sunucunun arkasındaysa ara sunucu adresi), Azure Front Door standart veya premium katmanlarını kullanmanız gerekir. Daha fazla bilgi için bkz. Azure Front Door için Web Uygulaması Güvenlik Duvarı ile IP kısıtlama kuralı yapılandırma.
Coğrafi tabanlı erişim denetimi: Bir istemcinin IP adresiyle ilişkili ülke koduna göre web uygulamalarınıza erişimi denetleyebilirsiniz.
HTTP parametreleri tabanlı erişim denetimi: HTTP/HTTPS istek parametrelerindeki dize eşleşmelerine göre kuralları temel alabilirsiniz. Örneğin, sorgu dizeleri, POST birleştirmeleri, İstek URI'si, İstek Üst Bilgisi ve İstek Gövdesi.
İstek yöntemi tabanlı erişim denetimi: Kuralları isteğin HTTP isteği yöntemine göre temel alırsınız. Örneğin, GET, PUT veya HEAD.
Boyut kısıtlaması: Kuralları sorgu dizesi, Uri veya istek gövdesi gibi bir isteğin belirli bölümlerinin uzunluklarına dayandırabilirsiniz.
Hız denetimi kuralı, herhangi bir istemci IP adresinden gelen anormal yüksek trafiği sınırlar.
- Hız sınırlama kuralları: Bir dakikalık süre boyunca istemci IP adresinden izin verilen web isteği sayısı üzerinde bir eşik yapılandırabilirsiniz. Bu kural, bir istemci IP adresinden gelen tüm isteklere izin veren veya engelleyen IP listesi tabanlı bir izin verme/engelleme özel kuralından farklıdır. Hız sınırları, ayrıntılı hız denetimi için HTTP(S) parametre eşleşmeleri gibi daha fazla eşleşme koşuluyla birleştirilebilir.
Azure tarafından yönetilen kural kümeleri
Azure tarafından yönetilen kural kümeleri, yaygın güvenlik tehditlerine karşı koruma dağıtmak için kolay bir yol sağlar. Azure bu kural kümelerini yönettiğinden, kurallar yeni saldırı imzalarına karşı korunmak için gerektiği şekilde güncelleştirilir. Azure tarafından yönetilen Varsayılan Kural Kümesi, aşağıdaki tehdit kategorilerine karşı kurallar içerir:
- Siteler arası betik çalıştırma
- Java saldırıları
- Yerel dosya ekleme
- PHP ekleme saldırıları
- Uzaktan komut yürütme
- Uzak dosya ekleme
- Oturum sabitleme
- SQL ekleme koruması
- Protokol saldırıları
Varsayılan Kural Kümesi sürüm numarası, kural kümesine yeni saldırı imzaları eklendiğinde artar. Varsayılan Kural Kümesi, WAF ilkelerinizde Algılama modunda varsayılan olarak etkindir. Uygulama gereksinimlerinizi karşılamak için Varsayılan Kural Kümesi içinde tek tek kuralları devre dışı bırakabilir veya etkinleştirebilirsiniz. Ayrıca kural başına belirli eylemleri (İzİn VER/ENGELLE/YENIDEN YÖNLENDIRME/GÜNLÜK) de ayarlayabilirsiniz. Yönetilen Varsayılan Kural Kümesi için varsayılan eylem Engelle'dir.
Varsayılan Kural Kümesindeki kurallar değerlendirilmeden önce her zaman özel kurallar uygulanır. bir istek özel bir kuralla eşleşiyorsa, ilgili kural eylemi uygulanır. İstek engellenir veya arka uca geçirilir. Başka hiçbir özel kural veya Varsayılan Kural Kümesindeki kurallar işlenmez. Varsayılan Kural Kümesi'ni WAF ilkelerinizden de kaldırabilirsiniz.
Yapılandırma
Azure portalını, REST API'lerini, Azure Resource Manager şablonlarını ve Azure PowerShell'i kullanarak tüm WAF kural türlerini yapılandırabilir ve dağıtabilirsiniz.
İzleme
CDN ile WAF izleme, uyarıları izlemek ve trafik eğilimlerini kolayca izlemek için Azure İzleyici ile tümleşiktir.