Co je Azure Web Application Firewall v nabídce Azure Application Gateway?

Nasazení služby Azure Web Application Firewall ve službě Azure Application Gateway aktivně chrání vaše webové aplikace před běžným zneužitím a ohrožením zabezpečení. S tím, jak se webové aplikace stávají častějšími cíli pro škodlivé útoky, tyto útoky často využívají dobře známé chyby zabezpečení, jako je injektáž SQL a skriptování mezi weby.

Brána firewall webových aplikací Azure ve službě Application Gateway je založená na základní sadě pravidel (CRS) z projektu OWASP (Open Web Application Security Project).

Všechny následující funkce firewallu webových aplikací Azure existují v zásadách firewallu webových aplikací (WAF). Můžete vytvořit více zásad a přidružit je ke službě Application Gateway, jednotlivým naslouchacím procesům nebo pravidlům směrování na základě cesty ve službě Application Gateway. Toto přidružení umožňuje v případě potřeby definovat samostatné zásady pro každou lokalitu za službou Application Gateway. Další informace o zásadách WAF najdete v tématu Vytvoření zásad WAF pro Službu Application Gateway.

Poznámka:

Application Gateway má dvě verze firewallu webových aplikací: WAF_v1 a WAF_v2. Přidružení zásad WAF se podporují jenom pro WAF_v2.

Application Gateway funguje jako kontroler doručování aplikací. Nabízí ukončení protokolu TLS (Transport Layer Security) (dříve označované jako Secure Sockets Layer nebo SSL), spřažení relace založené na souborech cookie, distribuci zatížení s kruhovým dotazováním, směrování na základě obsahu, možnost hostování více webů a vylepšení zabezpečení.

Application Gateway vylepšuje zabezpečení prostřednictvím správy zásad TLS a kompletní podpory protokolu TLS. Integrace brány firewall webových aplikací Azure do služby Application Gateway z důvodu omezení zabezpečení aplikací Tato kombinace aktivně chrání vaše webové aplikace před běžnými ohroženími zabezpečení a nabízí centrálně spravovatelné umístění.

Zaměstnanecké výhody

Tato část popisuje základní výhody, které poskytuje Azure Web Application Firewall ve službě Application Gateway.

Ochrana

• Pomozte chránit webové aplikace před webovými ohroženími zabezpečení a útoky beze změny back-endového kódu.

• Pomozte chránit více webových aplikací najednou. Instance služby Application Gateway může hostovat až 40 webů, které používají bránu firewall webových aplikací.

• Vytvořte vlastní zásady WAF pro různé webové stránky prostřednictvím stejného WAF.

• Pomozte chránit webové aplikace před škodlivými roboty pomocí sady pravidel reputace IP adres.

• Pomozte chránit aplikaci před útoky DDoS. Další informace najdete v tématu Ochrana před útoky DDoS (vrstva 7) aplikace.

Sledování

• Monitorujte útoky na webové aplikace pomocí protokolu WAF v reálném čase. Protokol je integrovaný se službou Azure Monitor pro sledování výstrah WAF a monitorování trendů.

• WAF služby Application Gateway je integrovaný s Microsoft Defender for Cloud. Defender for Cloud poskytuje centrální přehled o stavu zabezpečení všech vašich prostředků Azure, hybridních a multicloudových prostředků.

Přizpůsobení

• Upravte pravidla WAF a skupiny pravidel tak, aby vyhovovaly požadavkům vaší aplikace a eliminovaly falešně pozitivní výsledky.

• Přidružte zásadu WAF pro každou lokalitu za WAF, aby se povolila konfigurace specifická pro lokalitu.

• Vytvořte vlastní pravidla tak, aby vyhovovala potřebám vaší aplikace.

Funkce

• Ochrana proti injektáži SQL
• Ochrana proti skriptování mezi weby
• Ochrana před jinými běžnými webovými útoky, jako jsou injektáž příkazů, pašování požadavků HTTP, rozdělení odpovědí HTTP a vzdálené zahrnutí souborů.
• Ochrana proti porušením protokolu HTTP.
• Ochrana před anomáliemi protokolu HTTP, User-Agentjako jsou chybějící Host, a Accept hlavičky.
• Ochrana před roboty a skenery.
• Detekce běžných chyb konfigurace aplikací (například Apache a IIS)
• Konfigurovatelné limity velikosti požadavků s dolními a horními hranicemi
• Seznamy vyloučení, které umožňují vynechat určité atributy požadavků z vyhodnocení WAF. Běžným příkladem jsou tokeny vložené službou Active Directory, které se používají pro pole ověřování nebo hesla.
• Schopnost vytvářet vlastní pravidla tak, aby vyhovovala konkrétním potřebám vašich aplikací.
• Možnost geografického filtrování provozu, povolení nebo blokování přístupu k vašim aplikacím určitým zemím nebo oblastem
• Sada pravidel Správce robotů, která pomáhá chránit vaše aplikace před roboty.
• Možnost zkontrolovat JSON a XML v textu požadavku

Zásady a pravidla WAF

Pokud chcete použít firewall webových aplikací ve službě Application Gateway, musíte vytvořit zásadu WAF. Tato zásada je místo, kde existují všechna spravovaná pravidla, vlastní pravidla, vyloučení a další přizpůsobení (například limit nahrávání souborů).

Můžete nakonfigurovat zásadu WAF a tuto zásadu přidružit k jedné nebo více aplikačním branám pro ochranu. Zásady WAF se skládají ze dvou typů pravidel zabezpečení:

• Vlastní pravidla, která vytvoříte
• Sady spravovaných pravidel, které jsou kolekcemi předkonfigurovaných pravidel spravovaných Azure

Pokud jsou k dispozici obě, WAF zpracuje vlastní pravidla před zpracováním pravidel ve spravované sadě pravidel.

Pravidlo se skládá z podmínky shody, priority a akce. Podporované typy akcí jsou ALLOW, BLOCKa LOG. Můžete vytvořit plně přizpůsobené zásady, které splňují vaše konkrétní požadavky na ochranu aplikací kombinováním spravovaných a vlastních pravidel.

WAF zpracovává pravidla v rámci zásad v pořadí priority. Priorita je jedinečné celé číslo, které definuje pořadí pravidel, která se mají zpracovat. Menší celočíselná hodnota označuje vyšší prioritu a WAF tato pravidla vyhodnotí před pravidly, která mají vyšší celočíselnou hodnotu. Jakmile WAF odpovídá pravidlu s požadavkem, použije odpovídající akci, kterou pravidlo definuje na požadavek. Po zpracování takové shody se pravidla s nižšími prioritami nezpracují dál.

Webová aplikace, kterou služba Application Gateway poskytuje, může mít přidruženou zásadu WAF na globální úrovni, na úrovni jednotlivých webů nebo na úrovni identifikátoru URI.

Vlastní pravidla

Application Gateway podporuje vytváření vlastních pravidel. Application Gateway vyhodnocuje vlastní pravidla pro každý požadavek, který prochází waF. Tato pravidla mají vyšší prioritu než ostatní pravidla ve spravovaných sadách pravidel. Pokud požadavek splňuje sadu podmínek, WAF provede akci, která povolí nebo zablokuje. Další informace o vlastních pravidlech najdete v tématu Vlastní pravidla pro službu Application Gateway.

Operátor Geomatch je nyní k dispozici pro vlastní pravidla. Další informace najdete v tématu Vlastní pravidla Geomatch.

Sady pravidel

Application Gateway podporuje více sad pravidel, včetně CRS 3.2, CRS 3.1 a CRS 3.0. Tato pravidla pomáhají chránit webové aplikace před škodlivými aktivitami. Další informace najdete v tématu Skupiny a pravidla pravidel CRS brány firewall webových aplikací.

Sada pravidel Správce robota

Můžete povolit spravovanou sadu pravidel Správce robotů, abyste mohli provádět vlastní akce na žádostech ze všech kategorií robotů.

Application Gateway podporuje tři kategorie robotů:

• Chybní roboti: Roboti, kteří mají škodlivé IP adresy nebo falšují své identity. Škodlivé IP adresy můžou být zdrojové z informačního kanálu Microsoft Threat Intelligence s vysokou spolehlivostí indikátorů IP ohrožení zabezpečení a z informačních kanálů reputace IP adres. Mezi chybné roboty patří také roboti, kteří se identifikují jako dobří roboti, ale mají IP adresy, které nepatří legitimním vydavatelům robotů.

• Dobré roboty: Důvěryhodní agenti uživatelů. Pravidla pro vhodné roboty jsou seřazená do několika kategorií, aby poskytovala podrobnou kontrolu nad konfigurací zásad WAF. Mezi tyto kategorie patří:

  • Ověřené roboty vyhledávacího webu (například Googlebot a Bingbot).
  • Ověření roboti kontroly odkazů
  • Ověření roboti sociálních médií (například FacebookBot a LinkedInBot).
  • Ověření reklamních robotů
  • Ověření roboti kontroly obsahu
  • Ověřili jsme různé roboty.

• Neznámé roboty: Uživatelskí agenti bez dalšího ověření. Neznámí roboti můžou mít také škodlivé IP adresy, které pocházejí z informačního kanálu Microsoft Threat Intelligence se středně důvěryhodnými indikátory IP ohrožení zabezpečení.

Azure Web Application Firewall aktivně spravuje a dynamicky aktualizuje podpisy robota.

Když zapnete ochranu robota, zablokuje, povolí nebo zaprokoluje příchozí požadavky, které odpovídají pravidlu robota na základě nakonfigurované akce. Blokuje škodlivé roboty, umožňuje ve výchozím nastavení ověřené prohledávací moduly vyhledávacího webu, blokuje neznámé prohledávací moduly a protokoluje neznámé roboty. Vlastní akce můžete nastavit tak, aby blokovaly, povolovaly nebo protokolovaly různé typy robotů.

Přístup k protokolům WAF můžete získat z účtu úložiště, centra událostí nebo Log Analytics. Protokoly můžete odesílat také do partnerského řešení.

Další informace o ochraně robotů služby Application Gateway najdete v tématu Přehled služby Application Gateway v bráně Firewall webových aplikací v ochraně robotů služby Application Gateway.

Režimy WAF

WaF služby Application Gateway můžete nakonfigurovat tak, aby běžel v následujících režimech:

• Režim detekce: Monitoruje a protokoluje všechna upozornění na hrozby. Diagnostiku protokolování pro Application Gateway zapnete v části Diagnostika. Musíte se také ujistit, že je vybraný a zapnutý protokol WAF. Firewall webových aplikací neblokuje příchozí požadavky, když pracuje v režimu detekce.
• Režim prevence: Blokuje narušení a útoky, které pravidla detekují. Útočník obdrží výjimku "403 zakázáno" a připojení je ukončeno. Režim prevence zaznamenává takové útoky v protokolech WAF.

Poznámka:

Doporučujeme spustit nově nasazený WAF v režimu detekce po krátkou dobu v produkčním prostředí. Tím získáte možnost získat protokoly brány firewall a před přechodem do režimu prevence aktualizovat všechny výjimky nebo vlastní pravidla . Pomáhá také snížit výskyt neočekávaného blokovaného provozu.

Motor WAF

Modul WAF je komponenta, která kontroluje provoz a zjišťuje, jestli požadavek obsahuje podpis, který označuje potenciální útok. Když používáte CRS 3.2 nebo novější, spustí firewall webových aplikací nový modul WAF, který poskytuje vyšší výkon a vylepšenou sadu funkcí. Pokud používáte starší verze CRS, vaše WAF běží na starším modulu. Nové funkce jsou k dispozici pouze na novém modulu WAF.

Akce WAF

Můžete zvolit akci, kterou WAF spustí, když požadavek odpovídá podmínce pravidla. Application Gateway podporuje následující akce:

• Povolit: Požadavek projde přes WAF a přesměruje se na back-end. Tato žádost nemůže blokovat žádná další pravidla s nižší prioritou. Tyto akce se vztahují pouze na sadu pravidel Správce robota. Nevztahují se na CRS.
• Blok: Požadavek je zablokovaný. WaF odešle klientovi odpověď bez předání požadavku na back-end.
• Protokol: Požadavek se protokoluje v protokolech WAF. WAF nadále vyhodnocuje pravidla s nižší prioritou.
• Skóre anomálií: Tato akce je výchozí pro CRS. Celkové skóre anomálií se zvýší, když požadavek odpovídá pravidlu s touto akcí. Bodování anomálií se nevztahuje na sadu pravidel Bot Manageru.

Režim bodování anomálií

OWASP má dva režimy pro rozhodování, jestli se má blokovat provoz: tradiční bodování anomálií.

V tradičním režimu se provoz, který odpovídá jakémukoli pravidlu, považuje za nezávisle na všech ostatních shodách pravidel. Tento režim je snadno pochopitelný, ale nedostatek informací o tom, kolik pravidel odpovídá určitému požadavku, je omezení. Takže režim bodování anomálií byl zaveden jako výchozí pro OWASP 3. x.

V režimu vyhodnocování anomálií se provoz odpovídající jakémukoli pravidlu okamžitě nezablokuje, když je brána firewall v režimu prevence. Pravidla mají určitou závažnost: kritické, chybové, upozornění nebo upozornění. Tato závažnost ovlivňuje číselnou hodnotu požadavku, což je skóre anomálií. Například jedno pravidlo upozornění přispívá ke skóre 3. Jedna shoda kritických pravidel přispívá 5 body.

Závažnost	Hodnota
Kritické	5
Chyba	4
Varování	3
Upozornění:	2

Pro skóre anomálií je prahová hodnota 5, která blokuje provoz. Jedna shoda kritických pravidel tedy stačí, aby WAF služby Application Gateway zablokovala požadavek v režimu prevence. Jedno pravidlo upozornění ale pouze zvyšuje skóre anomálií o 3, což samo o sobě nestačí k blokování provozu.

Poznámka:

Zpráva, která se protokoluje, když pravidlo WAF odpovídá provozu, zahrnuje odpovídající hodnotu akce. Pokud je celkové skóre anomálií všech odpovídajících pravidel 5 nebo vyšší a zásada WAF běží v režimu prevence, požadavek aktivuje povinné pravidlo anomálií s hodnotou akce Blokováno a požadavek se zastaví. Pokud zásady WAF běží v režimu detekce, požadavek aktivuje hodnotu akce Zjištěna a požadavek se zaprotokoluje a předá back-endu. Další informace najdete v tématu Vysvětlení protokolů WAF.

Konfigurace

Všechny zásady WAF můžete nakonfigurovat a nasadit pomocí webu Azure Portal, rozhraní REST API, šablon Azure Resource Manageru a Azure PowerShellu. Zásady WAF můžete také nakonfigurovat a spravovat ve velkém měřítku pomocí integrace Azure Firewall Manageru. Další informace najdete v tématu Konfigurace zásad WAF pomocí Azure Firewall Manageru.

Monitorování WAF

Monitorování stavu služby Application Gateway je důležité. Toho můžete dosáhnout integrací WAF (a aplikací, které pomáhá chránit) s protokoly Microsoft Defenderu pro cloud, Azure Monitor a Azure Monitor.

Azure Monitor

Protokoly služby Application Gateway jsou integrované se službou Azure Monitor , abyste mohli sledovat diagnostické informace, včetně upozornění a protokolů WAF. K této funkci se dostanete na webu Azure Portal na kartě Diagnostika prostředku služby Application Gateway. Nebo k němu můžete přistupovat přímo ve službě Azure Monitor.

Další informace o používání protokolů najdete v tématu Diagnostické protokoly pro službu Application Gateway.

Microsoft Defender for Cloud

Defender for Cloud pomáhá předcházet hrozbám, zjišťovat je a reagovat na ně. Poskytuje lepší přehled o zabezpečení prostředků Azure a kontrolu nad nimi. Application Gateway je integrovaná s defenderem pro cloud.

Defender for Cloud kontroluje vaše prostředí a zjišťuje nechráněné webové aplikace. Může doporučit WAF služby Application Gateway, která pomáhá chránit tyto ohrožené prostředky.

Brány firewall vytvoříte přímo z Defenderu pro cloud. Tyto instance WAF jsou integrované s defenderem pro cloud. Odesílají výstrahy a informace o zdraví do Defender for Cloud pro reportování.

Microsoft Sentinel

Microsoft Sentinel je škálovatelné cloudové nativní řešení, které zahrnuje správu událostí zabezpečení (SIEM) a automatizovanou reakci na orchestraci zabezpečení (SOAR). Microsoft Sentinel poskytuje inteligentní analýzy zabezpečení a analýzu hrozeb v celém podniku. Poskytuje jedno řešení pro detekci výstrah, viditelnost hrozeb, proaktivní proaktivní proaktivní vyhledávání a reakci na hrozby.

S sešitem událostí brány firewall integrovaným do služby Azure Web Application Firewall můžete získat přehled událostí zabezpečení ve vašem WAF. Přehled zahrnuje odpovídající pravidla, blokovaná pravidla a všechny ostatní protokolované aktivity brány firewall.

Sešit Azure Monitoru pro WAF

Sešit Azure Monitoru pro WAF umožňuje vlastní vizualizaci událostí WAF relevantních pro zabezpečení napříč několika filtrovatelnými panely. Funguje se všemi typy WAF, včetně Application Gateway, Azure Front Dooru a Azure Content Delivery Network.

Tento sešit můžete filtrovat na základě typu WAF nebo konkrétní instance WAF. Importujete ho prostřednictvím šablony Azure Resource Manageru nebo šablony galerie.

Pokud chcete tento sešit nasadit, podívejte se do úložiště GitHub pro Azure Web Application Firewall.

Logování

WaF služby Application Gateway poskytuje podrobné hlášení o každé hrozbě, kterou detekuje. Protokolování je integrované s protokoly diagnostiky Azure. Výstrahy se zaznamenávají ve formátu JSON. Tyto protokoly můžete integrovat s protokoly služby Azure Monitor.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Ceny WAF služby Application Gateway

Cenové modely se liší pro WAF_v1 a WAF_v2 verze. Další informace najdete v tématu Ceny služby Application Gateway.

Co je nového

Informace o novinkách ve službě Azure Web Application Firewall najdete v aktualizacích Azure.

Související obsah

• Skupiny a pravidla služby Azure Web Application Firewall pro zotavení po havárii a pravidla CRS
• Vlastní pravidla pro Firewall webových aplikací Azure v2 ve službě Azure Application Gateway
• Azure Web Application Firewall ve službě Azure Front Door
• Dokumentace k zabezpečení sítě Azure