Was ist Azure Web Application Firewall in Azure Application Gateway?
Die Azure Web Application Firewall (WAF) auf Azure Application Gateway schützt Ihre Webanwendungen aktiv vor gängigen Exploits und Schwachstellen. Da Webanwendungen immer häufiger Ziel bösartiger Angriffe werden, nutzen diese Angriffe häufig bekannte Sicherheitsrisiken aus, wie SQL-Injection und Cross-Site Scripting.
Die WAF für Application Gateway basiert auf dem Kernregelsatz (Core Rule Set, CRS) aus dem Open Web Application Security Project (OWASP).
Alle folgenden WAF-Features sind Bestandteil einer WAF-Richtlinie. Sie können mehrere Richtlinien erstellen, und diese können einer Application Gateway-Instanz, einzelnen Listenern oder pfadbasierten Routingregeln für eine Application Gateway-Instanz zugeordnet werden. Dadurch können Sie bei Bedarf separate Richtlinien für jede Website hinter Ihrer Application Gateway-Instanz verwenden. Weitere Informationen zu WAF-Richtlinien finden Sie unter Erstellen von Web Application Firewall-Richtlinien für Application Gateway.
Hinweis
Application Gateway umfasst zwei Versionen der WAF-SKU: „Application Gateway WAF_v1“ und „Application Gateway WAF_v2“. WAF-Richtlinienzuordnungen werden nur für die SKU „Application Gateway WAF_v2“ unterstützt.
Application Gateway wird als Application Delivery Controller (ADC, Controller zur Anwendungsbereitstellung) betrieben. Die Anwendung bietet TLS-Terminierung (Transport Layer Security, zuvor als Secure Sockets Layer (SSL) bekannt), cookiebasierte Sitzungsaffinität, Lastverteilung per Roundrobin, inhaltsbasiertes Routing, die Möglichkeit zum Hosten mehrerer Websites sowie Sicherheitsverbesserungen.
Application Gateway erhöht die Sicherheit durch die TLS-Richtlinienverwaltung sowie End-to-End TLS-Support. Durch die Integration von WAF in Application Gateway wird die Anwendungssicherheit erhöht. Diese Kombination schützt Ihre Webanwendungen aktiv vor häufigen Sicherheitsrisiken und bietet einen zentral verwaltbaren, einfach zu konfigurierenden Speicherort.
Vorteile
In diesem Abschnitt werden die wichtigsten Vorteile der WAF für Application Gateway beschrieben.
Schutz
Schützen Sie Ihre Webanwendungen vor Sicherheitsrisiken und Angriffen im Web, ohne den Back-End-Code zu verändern.
Schützen Sie mehrere Webanwendungen gleichzeitig. Eine Instanz von Application Gateway kann bis zu 40 Websites hosten, die durch eine Web Application Firewall geschützt sind.
Erstellen Sie benutzerdefinierte WAF-Richtlinien für verschiedene Websites hinter derselben WAF.
Schützen Sie Ihre Webanwendungen mithilfe des Regelsatzes für die IP-Reputation vor schädlichen Bots.
Schützen Sie Ihre Anwendung vor DDoS-Angriffen. Weitere Informationen finden Sie unter DDoS-Schutz für Anwendungen.
Überwachung
Überwachen Sie Angriffe auf Ihre Webanwendungen mithilfe eines WAF-Echtzeitprotokolls. Dieses Protokoll ist in Azure Monitor integriert und dient zum Nachverfolgen von WAF-Warnungen sowie zum mühelosen Überwachen von Trends.
Die Application Gateway WAF ist in Microsoft Defender für Cloud integriert. Defender für Cloud ermöglicht eine zentrale Ansicht des Sicherheitsstatus ihrer gesamten Azure-, Hybrid- und Multi-Cloud-Ressourcen.
Anpassung
Passen Sie WAF-Regeln und -Regelgruppen an Ihre individuellen Anwendungsanforderungen an, um falsch positive Ergebnisse zu vermeiden.
Ordnen Sie eine WAF-Richtlinie für jede Website hinter Ihrer WAF zu, um eine websitespezifische Konfiguration zu erhalten.
Erstellen Sie benutzerdefinierte Regeln, um die Anforderungen Ihrer Anwendung zu erfüllen.
Features
- Schutz vor Einschleusung von SQL-Befehlen
- Schutz vor websiteübergreifendem Skripting.
- Schutz vor anderen allgemeinen Webangriffen wie Befehlseinschleusung, HTTP Request Smuggling, HTTP Response Splitting und Remote File Inclusion.
- Schutz vor Verletzungen des HTTP-Protokolls
- Schutz vor HTTP-Protokollanomalien, z.B. fehlende user-agent- und accept-Header des Hosts
- Schutz vor Crawlern und Scannern.
- Erkennung häufiger Fehler bei der Anwendungskonfiguration (z.B. Apache und IIS).
- Konfigurierbare Einschränkungen der Anforderungsgröße mit Unter- und Obergrenzen.
- Mit Ausschlusslisten können Sie bestimmte Anforderungsattribute in einer WAF-Auswertung weglassen. Ein gängiges Beispiel sind von Active Directory eingefügte Token, die für Authentifizierungs- oder Kennwortfelder verwendet werden.
- Erstellen Sie benutzerdefinierte Regeln, um die spezifischen Anforderungen Ihrer Anwendungen zu erfüllen.
- Führen Sie für Ihren Datenverkehr eine Geofilterung durch, um für bestimmte Länder/Regionen den Zugriff auf Ihre Anwendungen zuzulassen bzw. zu blockieren.
- Schützen Sie Ihre Anwendungen vor Bots, indem Sie den Regelsatz für die Risikominderung für Bots verwenden.
- Untersuchen von JSON und XML im Textteil der Anforderung
WAF-Richtlinien und -Regeln
Wenn Sie eine Web Application Firewall für Application Gateway aktivieren möchten, müssen Sie eine WAF-Richtlinie erstellen. Diese Richtlinie enthält sämtliche verwalteten Regeln, benutzerdefinierten Regeln, Ausschlüsse und anderen Anpassungen (etwa das Dateiuploadlimit).
Sie können eine WAF-Richtlinie konfigurieren und diese Richtlinie zu Schutzzwecken einem oder mehreren Anwendungsgateways zuordnen. Eine WAF-Richtlinie besteht aus zwei verschiedenen Arten von Sicherheitsregeln:
Benutzerdefinierte, von Ihnen erstellte Regeln
verwaltete Regelsätze (d. h. eine Sammlung von vorkonfigurierten Regelsätzen, die von Azure verwaltet werden)
Wenn beides vorhanden ist, werden die benutzerdefinierten Regeln vor den Regeln eines verwalteten Regelsatzes verarbeitet. Eine Regel besteht aus einer Übereinstimmungsbedingung, einer Priorität und einer Aktion. Folgende Aktionstypen werden unterstützt: „ALLOW“, „BLOCK“ und „LOG“. Sie können eine vollständig angepasste Richtlinie erstellen, die Ihre speziellen Anforderungen an die Anwendungssicherheit erfüllt, indem Sie verwaltete und benutzerdefinierte Regeln kombinieren.
Die Regeln innerhalb einer Richtlinie werden nach Priorität verarbeitet. Bei der Priorität handelt es sich um eine eindeutige ganze Zahl, die die Reihenfolge der Regelverarbeitung definiert. Kleinere ganzzahlige Wert stehen für eine höhere Priorität und werden vor Regeln mit einem höheren ganzzahligen Wert ausgewertet. Sobald eine Übereinstimmung mit einer Regel erkannt wird, wird die entsprechende Aktion, die in der Regel definiert wurde, auf die Anforderung angewendet. Nach der Verarbeitung einer derartigen Übereinstimmung werden Regeln mit niedrigerer Priorität nicht weiter verarbeitet.
Einer von Application Gateway bereitgestellten Webanwendung kann eine WAF-Richtlinie auf globaler Ebene, auf Websiteebene oder auf URI-Ebene zugeordnet sein.
Kernregelsätze
Application Gateway unterstützt mehrere Regelsätze, einschließlich CRS 3.2, CRS 3.1 und CRS 3.0. Diese Regeln schützen Ihre Webanwendungen vor schädlichen Aktivitäten.
Weitere Informationen finden Sie unter CRS-Regelgruppen und -Regeln der Web Application Firewall.
Benutzerdefinierte Regeln
Application Gateway unterstützt auch benutzerdefinierte Regeln. Benutzerdefinierte Regeln ermöglichen die Erstellung eigener Regeln. Diese werden für jede Anforderung ausgewertet, die die WAF durchlaufen. Diese Regeln haben eine höhere Priorität als die restlichen Regeln in den verwalteten Regelsätzen. Wenn eine Reihe von Bedingungen erfüllt ist, erfolgt eine Zulassen- oder Blockieren-Aktion.
Der geomatch-Operator ist nun für benutzerdefinierte Regeln verfügbar. Weitere Informationen finden Sie unter Benutzerdefinierte geomatch-Regeln.
Weitere Informationen zu benutzerdefinierten Regeln finden Sie unter Benutzerdefinierte Regeln für Application Gateway.
Bot-Schutzregelsatz
Sie können einen verwalteten Bot-Schutzregelsatz aktivieren, damit bei Anforderungen aus allen Bot-Kategorien benutzerdefinierte Aktionen ausgeführt werden.
Es werden drei Bot-Kategorien unterstützt:
Schlecht
Zu bösartigen Bots zählen Bots mit schädlichen IP-Adressen sowie Bots mit gefälschten Identitäten. Bösartige Bots mit schädlichen IP-Adressen werden anhand der IP-Indikatoren des Microsoft Threat Intelligence-Feeds mit hoher Konfidenz bezogen, die eine Kompromittierung anzeigen.
Gut
Zu den guten Bots gehören validierte Suchmaschinen wie Googlebot, Bingbot und andere vertrauenswürdige Benutzer-Agents.
Unbekannt
Unbekannte Bots werden über veröffentlichte Benutzer-Agents ohne zusätzliche Überprüfung klassifiziert. Beispiele wären etwa Agents für die Marktanalyse, für das Abrufen von Feeds oder für die Datensammlung. Zu den unbekannten Bots gehören auch schädliche IP-Adressen, die anhand der IP-Indikatoren des Microsoft Threat Intelligence-Feeds mit mittlerer Konfidenz, die eine Kompromittierung anzeigen, bezogen werden.
Die WAF-Plattform verwaltet aktiv Botsignaturen und aktualisiert diese dynamisch.
Sie können Microsoft_BotManagerRuleSet_1.0 mit der Option Zuweisen unter Verwaltete Regelsätze zuweisen:
Wenn der Bot-Schutz aktiviert ist, werden eingehende Anforderungen, die Bot-Regeln entsprechen, basierend auf der von Ihnen konfigurierten Aktion blockiert, zugelassen oder protokolliert. Er blockiert bösartige Bots, verwendet überprüfte Suchmaschinencrawler, blockiert unbekannte Suchmaschinencrawler und protokolliert standardmäßig unbekannte Bots. Sie können benutzerdefinierte Aktionen festlegen, um Bots der unterschiedlichen Kategorien zu blockieren, zuzulassen oder zu protokollieren.
Sie können von einem Speicherkonto, Event Hub oder Log Analytics aus auf WAF-Protokolle zugreifen oder Protokolle an eine Partnerlösung senden.
WAF-Modi
Die Application Gateway-WAF kann für die Ausführung in den folgenden beiden Modi konfiguriert werden:
- Erkennungsmodus: Überwacht und protokolliert alle Bedrohungswarnungen. Sie aktivieren die Protokollierung von Diagnosedaten für Application Gateway im Abschnitt Diagnose. Zudem müssen Sie sicherstellen, dass das WAF-Protokoll ausgewählt und aktiviert ist. Im Erkennungsmodus werden eingehende Anforderungen von der Web Application Firewall nicht blockiert.
- Schutzmodus: Blockiert Eindringversuche und Angriffe, die die Regeln erkennen. Der Angreifer erhält eine Ausnahme vom Typ 403 (nicht autorisierter Zugriff), und die Verbindung wird getrennt. Der Schutzmodus hält solche Angriffe weiterhin in den WAF-Protokollen fest.
Hinweis
Es empfiehlt sich, eine neu bereitgestellte WAF kurzzeitig im Erkennungsmodus in einer Produktionsumgebung auszuführen. Dadurch können Sie vor dem Wechsel zum Schutzmodus Firewallprotokolle generieren und ggf. Ausnahmen oder benutzerdefinierte Regeln aktualisieren. Dies kann zur Vermeidung unerwarteter Datenverkehrsblockierungen beitragen.
WAF-Module
Das Azure Web Application Firewall (WAF)-Modul ist die Komponente, die Datenverkehr überprüft und bestimmt, ob eine Anforderung eine Signatur enthält, die einen potenziellen Angriff darstellt. Wenn Sie CRS 3.2 oder höher verwenden, führt Ihre WAF das neue WAF-Modul aus, das Ihnen eine höhere Leistung und einen verbesserten Featuresatz bietet. Wenn Sie frühere Versionen von CRS verwenden, wird Ihre WAF auf einem älteren Modul ausgeführt. Neue Features sind nur im neuen Azure WAF-Modul verfügbar.
WAF-Aktionen
Sie können auswählen, welche Aktion ausgeführt wird, wenn eine Anforderung einer Regelbedingung entspricht. Die folgenden Aktionen werden unterstützt:
- Allow (Zulassen): Die Anforderung passiert die WAF und wird an das Back-End weitergeleitet. Diese Anforderung kann mit Regeln niedrigerer Priorität nicht mehr gesperrt werden. Zulassungsaktionen gelten nur für den Bot Manager-Regelsatz und nicht für den Kernregelsatz.
- Blockieren: Die Anforderung wird gesperrt. WAF sendet eine Antwort an den Client, ohne die Anforderung an das Back-End weiterzuleiten.
- Log (Protokollieren): Die Anforderung wird in den WAF-Protokollen protokolliert, und WAF setzt den Vorgang mit dem Auswerten von Regeln mit niedrigerer Priorität fort.
- Anomaliebewertung: Dies ist die Standardaktion für den CRS-Regelsatz, bei dem die Anomaliegesamtbewertung erhöht wird, wenn eine Übereinstimmung mit einer Regel mit dieser Aktion gefunden wird. Die Anomaliebewertung gilt nicht für den Bot Manager-Regelsatz.
Anomaliebewertungsmodus
OWASP kann in zwei Modi entscheiden, ob Datenverkehr blockiert wird: herkömmlicher Modus und Anomaliebewertungsmodus.
Im herkömmlichen Modus wird Datenverkehr, der einer Regel entspricht, unabhängig davon berücksichtigt, ob er mit einer anderen Regel übereinstimmt. Dieser Modus ist leicht verständlich. Doch der Mangel an Informationen darüber, wie viele Regeln mit einer bestimmten Anforderung übereinstimmen, ist eine Einschränkung. Darum wurde der Anomaliebewertungsmodus eingeführt. Er ist die Standardeinstellung für OWASP 3.x.
Im Anomaliebewertungsmodus wird Datenverkehr, der einer beliebigen Regel entspricht, nicht sofort blockiert, wenn die Firewall sich im Schutzmodus befindet. Regeln haben einen bestimmten Schweregrad: Kritisch, Fehler, Warnung oder Hinweis. Dieser Schweregrad wirkt sich auf einen numerischen Wert für die Anforderung aus, der als „Anomaliebewertung“ bezeichnet wird. So trägt eine Übereinstimmung mit einer Warnungsregel mit 3 zum Ergebnis bei. Eine Übereinstimmung mit einer kritischen Regel trägt mit 5 zum Ergebnis bei.
| severity | Wert |
|---|---|
| Kritisch | 5 |
| Fehler | 4 |
| Warnung | 3 |
| Hinweis | 2 |
Ab einem Schwellenwert von 5 blockiert die Anomaliebewertung den Datenverkehr. Eine Übereinstimmung mit einer einzelnen kritischen Regel reicht also aus, damit die Application Gateway-WAF auch im Schutzmodus eine Anforderung blockiert. Aber eine Übereinstimmung mit einer Warnungsregel setzt die Anomaliebewertung nur um 3 herauf, was allein nicht ausreicht, um den Datenverkehr zu blockieren.
Hinweis
Die Meldung, die protokolliert wird, wenn eine WAF-Regel Datenverkehr abgleicht, enthält den Aktionswert „Übereinstimmung“. Wenn die Gesamtbewertung aller übereinstimmenden Regeln 5 oder höher ist und die WAF-Richtlinie im Präventionsmodus ausgeführt wird, löst die Anforderung eine obligatorische Anomalieregel mit dem Aktionswert „Blockiert“ aus, und die Anforderung wird beendet. Wenn die WAF-Richtlinie jedoch im Erkennungsmodus ausgeführt wird, löst die Anforderung den Aktionswert „Erkannt“ aus, und die Anforderung wird protokolliert und an das Back-End übergeben. Weitere Informationen finden Sie unter Problembehandlung für die Web Application Firewall (WAF) für Azure Application Gateway.
Konfiguration
Alle WAF-Richtlinien können über das Azure-Portal, mithilfe von REST-APIs, unter Verwendung von Azure Resource Manager-Vorlagen und per Azure PowerShell konfiguriert und bereitgestellt werden. Sie können Azure WAF-Richtlinien auch in großem Maßstab über die Azure Firewall Manager-Integration (Vorschau) konfigurieren und verwalten. Weitere Informationen finden Sie unter Verwenden von Azure Firewall Manager zum Verwalten von Web Application Firewall-Richtlinien (Vorschau).
WAF-Überwachung
Es ist wichtig, die Integrität Ihres Anwendungsgateways zu überwachen. Dies ist möglich, indem Sie Ihre WAF und die durch sie geschützten Anwendungen in Microsoft Defender for Cloud, Azure Monitor und Azure Monitor-Protokolle integrieren.
Azure Monitor
Application Gateway-Protokolle sind in Azure Monitor integriert. Dadurch können Sie Diagnoseinformationen einschließlich WAF-Warnungen und -Protokolle nachverfolgen. Sie können innerhalb der Application Gateway-Ressource im Portal auf der Registerkarte Diagnose oder direkt über den Azure Monitor-Dienst auf diese Funktion zugreifen. Weitere Informationen zum Aktivieren von Protokollen finden Sie unter Back-End-Integrität, Diagnoseprotokolle und Metriken für Application Gateway.
Microsoft Defender für Cloud
Defender für Cloud hilft Ihnen dabei, Bedrohungen zu verhindern, zu erkennen und darauf zu reagieren. Security Center sorgt für eine größere Transparenz und bessere Kontrolle der Sicherheit Ihrer Azure-Ressourcen. Die Application Gateway ist in Defender für Cloud integriert. Defender für Cloud scannt die Umgebung, um ungeschützte Webanwendungen zu ermitteln. Security Center kann der Application Gateway-WAF die Empfehlung geben, diese ungeschützten Ressourcen zu schützen. Sie erstellen die Firewalls direkt aus Defender für Cloud. Diese WAF-Instanzen sind in Defender für Cloud integriert. Sie senden Warnungen und Integritätsinformationen für die Berichterstellung an Defender für Cloud.
Microsoft Sentinel
Microsoft Sentinel ist eine skalierbare, cloudnative Lösung für Security Information & Event Management (SIEM) und die Sicherheitsorchestrierung mit automatisierter Reaktion (Security Orchestration Automated Response, SOAR). Microsoft Sentinel bietet intelligente Sicherheits- und Bedrohungsanalysen für das ganze Unternehmen und stellt eine zentrale Lösung für die Warnungs- und Bedrohungserkennung, die proaktive Suche sowie die Reaktion auf Bedrohungen dar.
Mit der integrierten Arbeitsmappe für Firewallereignisse der Azure WAF erhalten Sie einen Überblick über die Sicherheitsereignisse Ihrer WAF. Hierzu gehören Ereignisse, Übereinstimmungs- und Blockierungsregeln und alle anderen Daten, die in den Firewallprotokollen aufgezeichnet werden. Weitere Informationen zur Protokollierung folgen.
Azure Monitor-Arbeitsmappe für WAF
Diese Arbeitsmappe ermöglicht die benutzerdefinierte Visualisierung sicherheitsrelevanter WAF-Ereignisse über mehrere filterbare Panels hinweg. Sie kann mit allen WAF-Typen (etwa mit Application Gateway, Front Door und CDN) verwendet und nach WAF-Typ oder einer bestimmten WAF-Instanz gefiltert werden. Zum Importieren kann eine Sie ARM- oder eine Katalogvorlage verwendet werden. Informationen zum Bereitstellen dieser Arbeitsmappe finden Sie unter Azure Monitor-Arbeitsmappe für WAF.
Protokollierung
Die Application Gateway-WAF bietet detaillierte Berichte zu jeder erkannten Bedrohung. Die Protokollierung ist in Azure-Diagnoseprotokolle integriert. Warnungen werden im JSON-Format aufgezeichnet. Diese Protokolle können in Azure Monitor-Protokolle integriert werden.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "52.161.109.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
SKU-Preise für die Application Gateway-WAF
Für die SKUs „WAF_v1“ und „WAF_v2“ gelten unterschiedliche Preismodelle. Weitere Informationen finden Sie auf der Seite Application Gateway – Preise.
Neuerungen
Informationen zu den Neuerungen in Azure Web Application Firewall finden Sie unter Azure-Updates.
Nächste Schritte
- Erfahren Sie mehr zu Regeln der Web Application Firewall.
- Erfahren Sie mehr zu benutzerdefinierten Regeln.
- Informieren Sie sich über Web Application Firewall für Azure Front Door.
- Weitere Informationen zur Azure-Netzwerksicherheit