Bewährte Methoden für Azure Web Application Firewall in Azure Front Door

Dieser Artikel fasst die bewährten Methoden für die Verwendung von Azure Web Application Firewall in Azure Front Door zusammen.

Allgemeine bewährte Methoden

Dieser Abschnitt erläutert allgemeine bewährte Methoden.

Aktivieren der WAF

Für Internet-orientierte Anwendungen empfehlen wir, dass Sie eine Web Application Firewall (WAF) aktivieren und für die Verwendung verwalteter Regeln konfigurieren. Wenn Sie eine WAF und von Microsoft verwaltete Regeln verwenden, ist Ihre Anwendung vor einer Reihe von Angriffen geschützt.

Optimieren Ihrer WAF

Die Regeln in Ihrer WAF sollten auf Ihre Workload abgestimmt sein. Wenn Sie Ihre WAF nicht optimieren, blockiert sie möglicherweise versehentlich Anfragen, die zugelassen werden sollten. Die Optimierung kann das Erstellen von Regelausschlüssen beinhalten, um falsch positive Erkennungen zu reduzieren.

Während Sie Ihre WAF optimieren, sollten Sie die Verwendung des Erkennungsmodus erwägen. Dieser Modus protokolliert Anforderungen und die Aktionen, welche die WAF normalerweise ausführen würde, aber er blockiert keinen Datenverkehr.

Weitere Informationen finden Sie unter Optimieren der Azure Web Application Firewall für Azure Front Door.

Verwenden Sie den Präventionsmodus

Nachdem Sie Ihre WAF optimiert haben, konfigurieren Sie diese so, dass sie im Präventionsmodus ausgeführt wird. Durch die Ausführung im Präventionsmodus stellen Sie sicher, dass die WAF Anfragen blockiert, die sie als bösartig erkennt. Die Ausführung im Erkennungsmodus ist nützlich, während Sie Ihre WAF optimieren und konfigurieren, bietet jedoch keinen Schutz.

Definieren der WAF-Konfiguration als Code

Wenn Sie Ihre WAF für Ihre Anwendungsworkload optimieren, erstellen Sie in der Regel eine Reihe von Regelausschlüssen, um falsch positive Ergebnisse zu reduzieren. Wenn Sie diese Ausschlüsse manuell über das Azure-Portal konfigurieren, müssen Sie beim Upgrade Ihrer WAF auf eine neuere Regelsatzversion dieselben Ausschlüsse für die neue Regelsatzversion neu konfigurieren. Dieser Vorgang kann zeitaufwändig und fehleranfällig sein.

Ziehen Sie stattdessen in Betracht, Ihre WAF-Regelausschlüsse und andere Konfigurationen als Code zu definieren, z. B. mithilfe der Azure CLI, Azure PowerShell, Bicep oder Terraform. Wenn Sie die Version Ihres WAF-Regelsatzes aktualisieren müssen, können Sie dieselben Ausschlüsse problemlos wiederverwenden.

Bewährte Methoden für den verwalteter Regelsatz

Dieser Abschnitt erläutert bewährte Methoden für Regelsätze.

Standardregelsätze aktivieren

Die Standardregelsätze von Microsoft sind darauf ausgelegt, Ihre Anwendung zu schützen, indem häufige Angriffe erkannt und blockiert werden. Die Regeln basieren auf verschiedenen Quellen, einschließlich der Top-10-Angriffstypen von OWASP und Informationen von Microsoft Threat Intelligence.

Weitere Informationen finden Sie unter Von Azure verwaltete Regelsätze.

Bot-Verwaltungsregeln aktivieren

Bots sind für einen erheblichen Teil des Datenverkehrs zu Webanwendungen verantwortlich. Der Bot-Schutzregelsatz der WAF kategorisiert Bots danach, ob sie gut, schlecht oder unbekannt sind. Schlechte Bots können dann blockiert werden, während gute Bots wie Suchmaschinen-Crawler zu Ihrer Anwendung durchgelassen werden.

Weitere Informationen finden Sie unter Bot-Schutzregelsatz.

Verwenden der neuesten Regelsatzversionen

Microsoft aktualisiert regelmäßig die verwalteten Regeln, um die aktuelle Bedrohungslandschaft zu berücksichtigen. Stellen Sie sicher, dass Sie regelmäßig nach Updates für von Azure verwaltete Regelsätze suchen.

Weitere Informationen finden Sie unter DRS-Regelgruppen und -Regeln für Azure Web Application Firewall.

Empfohlene Vorgehensweise zur Ratenbegrenzung

In diesem Abschnitt werden bewährte Methoden für die Quotenbegrenzung erläutert.

Ratenbegrenzung hinzufügen

Mit der Azure Front Door-WAF können Sie die Anzahl der zulässigen Anforderungen von der IP-Adresse jedes Clients über einen bestimmten Zeitraum steuern. Es empfiehlt sich, eine Quotenbegrenzung hinzuzufügen, um die Auswirkung von Clients zu verringern, die versehentlich oder absichtlich große Mengen an Datenverkehr an Ihren Dienst senden, z. B. während eines Wiederholungsturms.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• Was ist die Quotenbegrenzung für Azure Front Door?.
• Konfigurieren einer Web Application Firewall-Regel zur Quotengrenzregel mithilfe von Azure PowerShell.
• Warum werden zusätzliche Anforderungen oberhalb des Schwellenwerts, der für meine Quotengrenzregel konfiguriert ist, an meinen Back-End-Server übergeben?

Verwenden eines hohen Schwellenwerts für Quotenbegrenzungen

In der Regel empfiehlt es sich, den Schwellenwert für Ihre Quotenbegrenzung auf einen hohen Wert festzulegen. Wenn Sie beispielsweise wissen, dass eine einzelne Client-IP-Adresse jede Minute rund 10 Anforderungen an Ihren Server sendet, ziehen Sie einen Schwellenwert von 20 Anforderungen pro Minute in Betracht.

Hohe Schwellenwerte für die Quotenbegrenzung verhindern, dass legitimer Datenverkehr blockiert wird. Diese Schwellenwerte bieten dennoch Schutz vor einer sehr hohen Anzahl von Anforderungen, die Ihre Infrastruktur überfordern könnten.

Bewährte Methoden für die Geofilterung

Dieser Abschnitt erläutert bewährte Methoden für die Geofilterung.

Geo-Filter-Datenverkehr

Viele Webanwendungen sind für Benutzer in einer bestimmten geografischen Region konzipiert. Wenn diese Situation auf Ihre Anwendung zutrifft, sollten Sie die Implementierung einer Geofilterung in Betracht ziehen, um Anfragen zu blockieren, die von außerhalb der Länder oder Regionen stammen, aus denen Sie Datenverkehr erwarten.

Weitere Informationen finden Sie unter Was ist Geofilterung auf einer Domäne für Azure Front Door?.

Geben Sie den unbekannten Standort (ZZ) an

Einige IP-Adressen sind keinen Standorten in unserem Datensatz zugeordnet. Wenn eine IP-Adresse keinem Standort zugeordnet werden kann, weist die WAF den Datenverkehr dem unbekannten (Code ZZ) Land oder der Region zu. Um zu vermeiden, dass gültige Anfragen von diesen IP-Adressen blockiert werden, ziehen Sie in Betracht, das unbekannte (Code ZZ) Land oder die Region über Ihren Geofilter zuzulassen.

Weitere Informationen finden Sie unter Was ist Geofilterung auf einer Domäne für Azure Front Door?.

Protokollierung

Dieser Abschnitt erläutert die Protokollierung.

Fügen Sie Diagnoseeinstellungen hinzu, um die Protokolle Ihrer WAF zu speichern

Die Azure Front Door-WAF ist in Azure Monitor integriert. Es ist wichtig, die WAF-Protokolle an einem Ziel wie Log Analytics zu speichern. Sie sollten die WAF-Protokolle regelmäßig überprüfen. Das Überprüfen von Protokollen hilft Ihnen, Ihre WAF-Richtlinien zu optimieren, um falsch-positive Erkennungen zu reduzieren und zu verstehen, ob Ihre Anwendung Gegenstand von Angriffen war.

Weitere Informationen finden Sie unter Azure Web Application Firewall-Überwachung und -Protokollierung.

Protokolle an Microsoft Sentinel senden

Microsoft Sentinel ist ein Security Information and Event Management (SIEM)-System, das Protokolle und Daten aus mehreren Quellen importiert, um die Bedrohungslandschaft für Ihre Webanwendung und die gesamte Azure-Umgebung zu verstehen. Die WAF-Protokolle von Azure Front Door sollten in Microsoft Sentinel oder in ein anderes SIEM-System importiert werden, damit Ihre Internet-orientierten Eigenschaften in die Analyse einbezogen werden. Verwenden Sie für Microsoft Sentinel den Azure WAF-Connector, um Ihre WAF-Protokolle einfach zu importieren.

Weitere Informationen finden Sie unter Verwenden von Microsoft Sentinel mit Azure Web Application Firewall.

Nächste Schritte

Erfahren Sie, wie Sie eine Azure Front Door-WAF-Richtlinie erstellen.