如何在 Azure Web 應用程式防火牆 上遮罩敏感數據
Web 應用程式防火牆 的 (WAF) 記錄清除工具可協助您從 WAF 記錄中移除敏感數據。 其運作方式是使用規則引擎,可讓您建置自定義規則,以識別包含敏感數據之要求的特定部分。 識別之後,此工具會從您的記錄中清除該資訊,並將它取代為 *******。
注意
當您啟用記錄清除功能時,Microsoft 仍會保留內部記錄中的IP位址,以支援重要的安全性功能。
下表顯示可用來保護敏感數據的記錄清除規則範例:
比對變數 | 運算子 | 選取器 | 清除的內容 |
---|---|---|---|
要求標頭名稱 | 等於 | X-Forwarded-For | REQUEST_HEADERS:x-forwarded-for.“,”data“:”******” |
要求 Cookie 名稱 | 等於 | cookie1 | 「相符的數據:在 REQUEST_COOKIES:cookie1: ****** 中找到******」 |
要求 Arg 名稱 | 等於 | arg1 | “requestUri”:“/?arg1=******” |
要求 Post Arg 名稱 | 等於 | Post1 | “data”:“相符的數據: ******在 ARGS:post1: ******中找到” |
要求 JSON Arg 名稱 | 等於 | Jsonarg | “data”:“相符的數據: ****** ARGS:jsonarg: ******” |
要求IP位址* | 等於 Any | NULL | “clientIp”:“******” |
* 要求 IP 位址規則只支援 等於任何 運算符,並清除出現在 WAF 記錄中之要求者 IP 位址的所有實例。
如需詳細資訊,請參閱什麼是 Azure Web 應用程式防火牆 敏感數據保護?
啟用敏感數據保護
使用下列資訊來啟用及設定敏感數據保護。
若要啟用敏感資料保護:
- 開啟現有的 應用程式閘道 WAF 原則。
- 在 [設定] 下,選取 [敏感數據]。
- 在 [ 敏感數據] 頁面上,選取 [ 啟用記錄清除]。
若要設定敏感資料保護的記錄清除規則:
- 在 [記錄清除規則] 底下,選取 [比對] 變數。
- 選取運算子(如果適用的話)。
- 輸入選取器(如果適用)。
- 選取 [儲存]。
重複以新增更多規則。
驗證敏感數據保護
若要驗證敏感數據保護規則,請開啟 應用程式閘道 防火牆記錄檔,並搜尋******以取代敏感性字段。