Použití vlastních pravidel geografické shody Azure WAF ke zvýšení zabezpečení sítě

Firewall webových aplikací (WAF) je důležitý nástroj, který pomáhá chránit webové aplikace před škodlivými útoky. Může filtrovat, monitorovat a zastavit webový provoz pomocí přednastavených i vlastních pravidel. Můžete si vytvořit vlastní pravidlo, které WAF zkontroluje každý požadavek, který obdrží. Vlastní pravidla mají vyšší prioritu než spravovaná pravidla a jsou kontrolována jako první.

Jednou z nejúčinnějších funkcí Azure Web Application Firewallu jsou vlastní pravidla geomatch. Tato pravidla umožňují přiřadit webové požadavky k zeměpisné poloze zeměpisné oblasti, odkud pocházejí. Možná budete chtít zastavit žádosti z určitých míst, o kterých je známo, že jsou škodlivé, nebo můžete chtít povolit žádosti z míst důležitých pro vaši firmu. Vlastní pravidla Geomatch vám také mohou pomoci dodržovat zákony o suverenitě dat a ochraně osobních údajů tím, že omezí přístup k vašim webovým aplikacím na základě polohy lidí, kteří je používají.

Při používání vlastních pravidel geomatch používejte parametr priority moudře, abyste se vyhnuli zbytečnému zpracování nebo konfliktům. Azure WAF vyhodnocuje pravidla v pořadí určeném parametrem priority, což je číselná hodnota v rozsahu od 1 do 100, přičemž nižší hodnoty označují vyšší prioritu. Priorita musí být jedinečná napříč všemi vlastními pravidly. Přiřaďte vyšší prioritu kritickým nebo specifickým pravidlům pro zabezpečení vaší webové aplikace a nižší prioritu méně podstatným nebo obecným pravidlům. Tím zajistíte, že WAF použije na veškerý webový provoz nejvhodnější akce. Například scénář, ve kterém identifikujete explicitní cestu identifikátoru URI, je nejkonkrétnější a měl by mít pravidlo s vyšší prioritou než jiné typy vzorů. Nejvyšší priorita chrání kritickou cestu v aplikaci a zároveň umožňuje vyhodnotit obecnější provoz napříč jinými vlastními pravidly nebo spravovanými sadami pravidel.

Před použitím pravidel je vždy otestujte v produkčním prostředí a pravidelně monitorujte jejich výkon a dopad. Dodržováním těchto osvědčených postupů můžete vylepšit zabezpečení webových aplikací díky síle vlastních pravidel geomatch.

Tento článek představuje vlastní pravidla geomatchu Azure WAF a ukazuje, jak je vytvořit a spravovat pomocí webu Azure Portal, Bicep a Azure PowerShellu.

Geomatch vlastní vzory pravidel

Vlastní pravidla Geomatch umožňují splnit různé bezpečnostní cíle, jako je blokování požadavků z vysoce rizikových oblastí a povolení požadavků z důvěryhodných umístění. Jsou efektivní při zmírnění distribuovaných útoků DDoS (Denial of Service), které se snaží naplnit webovou aplikaci mnoha požadavky z různých zdrojů. Pomocí vlastních pravidel geomatch můžete rychle určit a zablokovat oblasti, které generují největší provoz DDoS, a přitom stále udělit přístup legitimním uživatelům. V tomto článku se dozvíte o různých vzorech vlastních pravidel, které můžete použít k optimalizaci Azure WAF pomocí vlastních pravidel geografické shody.

Scénář 1 – Blokování provozu ze všech zemí nebo oblastí kromě "x"

Vlastní pravidla Geomatch se osvědčují, když se snažíte blokovat provoz ze všech zemí nebo regionů, s výjimkou jedné. Pokud se například vaše webová aplikace stará výhradně o uživatele ve Spojených státech, můžete formulovat vlastní pravidlo geomatch, které blokuje všechny požadavky, které nepocházejí z USA. Tato strategie účinně minimalizuje prostor pro útoky na vaši webovou aplikaci a odrazuje od neoprávněného přístupu z jiných oblastí. Tato specifická technika využívá negační podmínku k usnadnění tohoto vzorce provozu. Pokud chcete vytvořit vlastní pravidlo geomatchu, které brání provozu ze všech zemí nebo oblastí s výjimkou USA, projděte si následující příklady portálu, PowerShellu nebo Bicep:

Portál

Poznámka:

Ve službě Azure Front Door WAF použijete SocketAddr jako proměnnou shody, nikoli RemoteAddr. Proměnná RemoteAddr je původní IP adresa klienta, která se obvykle odesílá prostřednictvím hlavičky X-Forwarded-For požadavku. Proměnná SocketAddr je zdrojová IP adresa, kterou WAF uvidí.

PowerShell

$RGname = "rg-waf "
$policyName = "waf-pol"
$variable = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable -Operator GeoMatch -MatchValue "US" -NegationCondition $true
$rule = New-AzApplicationGatewayFirewallCustomRule -Name GeoRule1 -Priority 10 -RuleType MatchRule -MatchCondition $condition -Action Block
$policy = Get-AzApplicationGatewayFirewallPolicy -Name $policyName -ResourceGroupName $RGname
$policy.CustomRules.Add($rule)
Set-AzApplicationGatewayFirewallPolicy -InputObject $policy

$RGname = "rg-waf"
$policyName = "wafafdpol"
$matchCondition = New-AzFrontDoorWafMatchConditionObject -MatchVariable SocketAddr -OperatorProperty GeoMatch -MatchValue "US" -NegateCondition $true
$customRuleObject = New-AzFrontDoorWafCustomRuleObject -Name "GeoRule1" -RuleType MatchRule -MatchCondition $matchCondition -Action Block -Priority 10
$afdWAFPolicy= Get-AzFrontDoorWafPolicy -Name $policyName -ResourceGroupName $RGname
Update-AzFrontDoorWafPolicy -InputObject $afdWAFPolicy -Customrule $customRuleObject

Biceps

properties: {
    customRules: [
      {
        name: 'GeoRule1'
        priority: 10
        ruleType: 'MatchRule'
        action: 'Block'
        matchConditions: [
          {
            matchVariables: [
              {
                variableName: 'RemoteAddr'
              }
            ]
            operator: 'GeoMatch'
            negationCondition: true
            matchValues: [
              'US'
            ]
            transforms: []
          }
        ]
        state: 'Enabled'
      }

properties: {
    customRules: {
      rules: [
        {
          name: 'GeoRule1'
          enabledState: 'Enabled'
          priority: 10
          ruleType: 'MatchRule'
          matchConditions: [
            {
              matchVariable: 'SocketAddr'
              operator: 'GeoMatch'
              negateCondition: true
              matchValue: [
                'US'
              ]
              transforms: []
            }
          ]
          action: 'Block'
        }

Scénář 2 – Blokování provozu ze všech zemí nebo oblastí kromě "x" a "y", které cílí na identifikátor URI "foo" nebo "bar"

Představte si scénář, kdy potřebujete použít vlastní pravidla geomatch k blokování provozu ze všech zemí nebo oblastí, s výjimkou dvou nebo více konkrétních, které cílí na konkrétní identifikátor URI. Předpokládejme, že vaše webová aplikace má specifické cesty identifikátorů URI určené pouze pro uživatele v USA a Kanadě. V takovém případě vytvoříte vlastní pravidlo geomatch, které blokuje všechny požadavky, které nepocházejí z těchto zemí nebo oblastí.

Tento model zpracovává datové části požadavků z USA a Kanady prostřednictvím spravovaných sad pravidel, zachycuje všechny škodlivé útoky a blokuje požadavky ze všech ostatních zemí nebo oblastí. Tento přístup zajišťuje, že k vaší webové aplikaci bude mít přístup pouze vaše cílová skupina, čímž se zabrání nežádoucímu provozu z jiných oblastí.

Pokud chcete minimalizovat potenciální falešně pozitivní výsledky, zahrňte do seznamu kód země ZZ , který zachytí IP adresy, které ještě nejsou namapované na zemi nebo oblast v datové sadě Azure. Tato technika používá podmínku negace pro typ Geolocation a podmínku negace pro shodu identifikátoru URI.

Pokud chcete vytvořit vlastní pravidlo geomatchu, které blokuje provoz ze všech zemí nebo oblastí s výjimkou USA a Kanady na zadaný identifikátor URI, projděte si příklady portálu, PowerShellu a Bicep.

Portál

PowerShell

$RGname = "rg-waf "
$policyName = "waf-pol"
$variable1a = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition1a = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable1a -Operator GeoMatch -MatchValue @(“US”, “CA”) -NegationCondition $true
$variable1b = New-AzApplicationGatewayFirewallMatchVariable -VariableName RequestUri
$condition1b = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable1b -Operator Contains -MatchValue @(“/foo”, “/bar”) -NegationCondition $false
$rule1 = New-AzApplicationGatewayFirewallCustomRule -Name GeoRule2 -Priority 11 -RuleType MatchRule -MatchCondition $condition1a, $condition1b -Action Block
$policy = Get-AzApplicationGatewayFirewallPolicy -Name $policyName -ResourceGroupName $RGname
$policy.CustomRules.Add($rule1)
Set-AzApplicationGatewayFirewallPolicy -InputObject $policy

$RGname = "rg-waf"
$policyName = "wafafdpol"
$matchCondition1a = New-AzFrontDoorWafMatchConditionObject -MatchVariable SocketAddr -OperatorProperty GeoMatch -MatchValue @(“US”, "CA") -NegateCondition $true
$matchCondition1b = New-AzFrontDoorWafMatchConditionObject -MatchVariable RequestUri -OperatorProperty Contains -MatchValue @(“/foo”, “/bar”) -NegateCondition $false
$customRuleObject1 = New-AzFrontDoorWafCustomRuleObject -Name "GeoRule2" -RuleType MatchRule -MatchCondition $matchCondition1a, $matchCondition1b -Action Block -Priority 11
$afdWAFPolicy= Get-AzFrontDoorWafPolicy -Name $policyName -ResourceGroupName $RGname
Update-AzFrontDoorWafPolicy -InputObject $afdWAFPolicy -Customrule $customRuleObject1

Biceps

properties: {
    customRules: [
      {
        name: 'GeoRule2'
        priority: 11
        ruleType: 'MatchRule'
        action: 'Block'
        matchConditions: [
          {
            matchVariables: [
              {
                variableName: 'RemoteAddr'
              }
            ]
            operator: 'GeoMatch'
            negationCondition: true
            matchValues: [
              'US'
              'CA'
            ]
            transforms: []
          }
          {
            matchVariables: [
              {
                variableName: 'RequestUri'
              }
            ]
            operator: 'Contains'
            negationCondition: false
            matchValues: [
              '/foo'
              '/bar'
            ]
            transforms: []
          }
        ]
        state: 'Enabled'
      }

properties: {
    customRules: {
      rules: [
        {
          name: 'GeoRule2'
          enabledState: 'Enabled'
          priority: 11
          ruleType: 'MatchRule'
          matchConditions: [
            {
              matchVariable: 'SocketAddr'
              operator: 'GeoMatch'
              negateCondition: true
              matchValue: [
                'US'
                'CA'
              ]
              transforms: []
            }
            {
              matchVariable: 'RequestUri'
              operator: 'Contains'
              negateCondition: false
              matchValue: [
                '/foo'
                '/bar'
              ]
              transforms: []
            }
          ]
          action: 'Block'
        }

Scénář 3 – Blokování provozu konkrétně ze země nebo oblasti "x"

Pomocí vlastních pravidel geomatch můžete blokovat provoz z konkrétních zemí nebo oblastí. Pokud například vaše webová aplikace obdrží mnoho škodlivých požadavků ze země nebo oblasti "x", vytvořte vlastní pravidlo geomatch, které zablokuje všechny požadavky z této země nebo oblasti. To chrání vaši webovou aplikaci před potenciálními útoky a snižuje zatížení zdrojů. Tento model použijte k blokování více škodlivých nebo nepřátelských zemí nebo oblastí. Tato technika vyžaduje podmínku shody pro vzor provozu. Pokud chcete blokovat provoz ze země nebo oblasti x, podívejte se na následující příklady portálu, PowerShellu a Bicep.

Portál

PowerShell

$RGname = "rg-waf "
$policyName = "waf-pol"
$variable2 = New-AzApplicationGatewayFirewallMatchVariable -VariableName RemoteAddr
$condition2 = New-AzApplicationGatewayFirewallCondition -MatchVariable $variable2 -Operator GeoMatch -MatchValue "US" -NegationCondition $false
$rule2 = New-AzApplicationGatewayFirewallCustomRule -Name GeoRule3 -Priority 12 -RuleType MatchRule -MatchCondition $condition2 -Action Block
$policy = Get-AzApplicationGatewayFirewallPolicy -Name $policyName -ResourceGroupName $RGname
$policy.CustomRules.Add($rule2)
Set-AzApplicationGatewayFirewallPolicy -InputObject $policy

$RGname = "rg-waf"
$policyName = "wafafdpol"
$matchCondition2 = New-AzFrontDoorWafMatchConditionObject -MatchVariable SocketAddr -OperatorProperty GeoMatch -MatchValue "US" -NegateCondition $false
$customRuleObject2 = New-AzFrontDoorWafCustomRuleObject -Name "GeoRule3" -RuleType MatchRule -MatchCondition $matchCondition2 -Action Block -Priority 12
$afdWAFPolicy= Get-AzFrontDoorWafPolicy -Name $policyName -ResourceGroupName $RGname
Update-AzFrontDoorWafPolicy -InputObject $afdWAFPolicy -Customrule $customRuleObject2

Biceps

properties: {
    customRules: [
      {
        name: 'GeoRule3'
        priority: 12
        ruleType: 'MatchRule'
        action: 'Block'
        matchConditions: [
          {
            matchVariables: [
              {
                variableName: 'RemoteAddr'
              }
            ]
            operator: 'GeoMatch'
            negationCondition: false
            matchValues: [
              'US'
            ]
            transforms: []
          }
        ]
        state: 'Enabled'
      }

properties: {
    customRules: {
      rules: [
        {
          name: 'GeoRule3'
          enabledState: 'Enabled'
          priority: 12
          ruleType: 'MatchRule'
          matchConditions: [
            {
              matchVariable: 'SocketAddr'
              operator: 'GeoMatch'
              negateCondition: false
              matchValue: [
                'US'
              ]
              transforms: []
            }
          ]
          action: 'Block'
        }

Anti-vzory vlastních pravidel Geomatch

Vyhněte se anti-patternům při používání vlastních pravidel geomatch, jako je nastavení akce vlastního pravidla na allow místo block. To může mít nezamýšlené důsledky, jako je umožnění provozu obejít WAF a potenciálně vystavit vaši webovou aplikaci dalším hrozbám.

Místo použití allow akce použijte block akci s podmínkou negace, jak je znázorněno v předchozích vzorech. Tím se zajistí, že bude povolen pouze provoz z požadovaných zemí nebo oblastí a WAF blokuje veškerý ostatní provoz.

Scénář 4 – povolení provozu ze země nebo oblasti "x"

Vyhněte se nastavení vlastního pravidla geomatch tak, aby povolovalo provoz z konkrétní země nebo oblasti. Pokud například chcete povolit provoz ze Spojených států z důvodu velké zákaznické základny, může se jako řešení zdát vytvoření vlastního pravidla s akcí allow a hodnotou United States . Toto pravidlo ale povoluje veškerý provoz ze Spojených států bez ohledu na to, jestli obsahuje škodlivou datovou část nebo ne, protože allow akce obchází další zpracování pravidel spravovaných sad pravidel. WAF navíc stále zpracovává provoz ze všech ostatních zemí nebo oblastí a spotřebovává prostředky. Tím se vaše webová aplikace vystavuje škodlivým požadavkům ze Spojených států, které by WAF jinak zablokoval.

Scénář 5 – Povolení provozu ze všech okresů kromě "x"

Při použití vlastních pravidel geomatch nenastavujte akci pravidla na allow a nespecifikujte seznam zemí nebo oblastí, které se mají vyloučit. Pokud například chcete povolit provoz ze všech zemí nebo oblastí kromě USA, kde máte podezření na škodlivou aktivitu, může mít tento přístup nezamýšlené důsledky. Může povolit provoz z neověřených nebo nebezpečných zemí/oblastí nebo zemí/oblastí s nízkými nebo žádnými standardy zabezpečení, což vystavuje vaši webovou aplikaci potenciálním ohrožením zabezpečení nebo útokům. allow Použití akce pro všechny země nebo oblasti s výjimkou USA znamená, že WAF přestane zpracovávat datové části požadavků podle spravovaných sad pravidel. Po zpracování vlastního pravidla se veškeré vyhodnocování pravidel zastaví allow , což vystavuje aplikaci nežádoucím škodlivým útokům.

Místo toho použijte více omezující a specifičtější akci pravidla, například blokování, a určete seznam zemí nebo oblastí, které chcete povolit s podmínkou negace. Tím je zajištěno, že k vaší webové aplikaci bude mít přístup pouze provoz z důvěryhodných a ověřených zdrojů a zároveň bude blokován veškerý podezřelý nebo nežádoucí provoz.

Související obsah

• Vlastní pravidla geografické shody
• Vytváření a používání vlastních pravidel Firewallu webových aplikací v2 ve službě Application Gateway