Compartir a través de

¿Qué es el firewall de aplicaciones web de Azure en Azure Application Gateway?

Azure Web Application Firewall (WAF) en Azure Application Gateway protege activamente las aplicaciones web frente a vulnerabilidades de seguridad comunes. A medida que las aplicaciones web se vuelven objetivos más frecuentes para ataques malintencionados, estos ataques suelen aprovechar vulnerabilidades de seguridad conocidas, como la inyección de código SQL y el scripting entre sitios.

El firewall de aplicaciones web de Application Gateway se basa en el conjunto de reglas básicas (CRS) de OWASP (Open Web Application Security Project).

Todas las características siguientes de WAF existen dentro de una directiva de WAF. Puede crear varias directivas y asociarlas a una instancia de Application Gateway, a agentes de escucha individuales o a reglas de enrutamiento basadas en rutas de acceso en una instancia de Application Gateway, lo que le permite definir directivas independientes para cada sitio detrás de Application Gateway si es necesario. Para obtener más información sobre las directivas de WAF, consulte Creación de directivas de firewall de aplicaciones web para Application Gateway.

Nota

Application Gateway tiene dos versiones de la SKU de WAF: Application Gateway WAF_v1 y Application Gateway WAF_v2. Las asociaciones de directivas de WAF solo se admiten para la SKU Application Gateway WAF_v2.

Diagrama de WAF de Application Gateway.

Application Gateway funciona como un controlador de entrega de aplicaciones (ADC). Ofrece terminación de Seguridad de la capa de transporte (TLS), anteriormente conocido como Capa de sockets seguros (SSL), afinidad de sesión basada en cookies, distribución de la carga en operaciones por turnos, enrutamiento basado en contenido, posibilidad de hospedar varios sitios y mejoras de seguridad.

Application Gateway mejora la seguridad mediante la administración de directivas TLS y la compatibilidad con TLS de un extremo a otro. Al integrar WAF en Application Gateway, se activa la seguridad de las aplicaciones. Esta combinación defiende activamente las aplicaciones web frente a vulnerabilidades comunes y ofrece una ubicación fácil de configurar de forma centralizada.

Ventajas

En esta sección se describen las ventajas principales que el firewall de aplicaciones web en Application Gateway proporcionan.

Protección

  • Proteja las aplicaciones web contra las vulnerabilidades y los ataques web si modificación del código de back-end.

  • Proteja varias aplicaciones web al mismo tiempo. Una instancia de Application Gateway puede hospedar hasta 40 sitios web protegidos por un firewall de aplicaciones web.

  • Cree directivas de WAF personalizadas para distintos sitios detrás del mismo WAF.

  • Proteja las aplicaciones web de bots malintencionados con el conjunto de reglas de reputación de IP.

  • Proteja la aplicación frente a ataques DDoS. Para más información, consulte Protección contra DDoS para aplicaciones.

Supervisión

  • Supervise los ataques contra sus aplicaciones web con un registro de WAF en tiempo real. El registro se integra con Azure Monitor para hacer un seguimiento de las alertas de WAF y permite supervisar con facilidad las tendencias.

  • Application Gateway con WAF se integra con Microsoft Defender for Cloud. Defender for Cloud proporciona una vista central del estado de seguridad de todos los recursos de Azure, híbridos y multinube.

Personalización

  • Personalice las reglas y grupos de reglas de WAF para satisfacer los requisitos de su aplicación y eliminar los falsos positivos.

  • Asocie una directiva de WAF a cada sitio detrás de la WAF para permitir la configuración específica del sitio.

  • Cree reglas personalizadas para satisfacer las necesidades de su aplicación.

Características

  • Protección contra la inyección de código SQL.
  • Protección contra scripts entre sitios.
  • Protección contra otros ataques web comunes, como la inyección de comandos, el contrabando de solicitudes HTTP, la división de respuestas HTTP y la inclusión de archivos remotos.
  • Protección contra infracciones del protocolo HTTP.
  • Protección contra anomalías del protocolo HTTP, como la falta de agentes de usuario de host y encabezados de aceptación.
  • Protección contra rastreadores y escáneres.
  • Detección de errores de configuración comunes de las aplicaciones (por ejemplo, Apache e IIS).
  • Límites de tamaño de solicitud configurables con límites inferior y superior.
  • Las listas de exclusión le permiten omitir determinados atributos de una solicitud de una evaluación del WAF. Un ejemplo común son los tokens insertados de Active Directory que se usan para campos de contraseña o autenticación.
  • Cree reglas personalizadas para satisfacer las necesidades específicas de las aplicaciones.
  • Filtre geográficamente el tráfico para permitir o impedir que determinados países o regiones obtengan acceso a las aplicaciones.
  • Proteja sus aplicaciones de bots con el conjunto de reglas de mitigación de bots.
  • Inspección de JSON y XML en el cuerpo de la solicitud

Reglas y directiva de WAF

Para habilitar una instancia de Web Application Firewall en Application Gateway, debe crear una directiva WAF. Esta directiva es donde se encuentran todas las reglas administradas, reglas personalizadas, exclusiones y otras personalizaciones, como el límite de carga de archivos.

Puede configurar una directiva WAF y asociarla a una o varias instancias de Application Gateway con fines de protección. Una directiva de WAF consta de dos tipos de reglas de seguridad:

  • Reglas personalizadas que crea el usuario

  • Conjuntos de reglas administrados que son una colección del conjunto de reglas preconfigurado y administrado por Azure

Cuando ambos están presentes, las reglas personalizadas se procesan antes de procesar las reglas de un conjunto de reglas administrado. Una regla está formada por una condición de coincidencia, una prioridad y una acción. Los tipos de acción que se admiten son los siguientes: PERMITIR, BLOQUEAR y REGISTRAR. Puede crear una directiva totalmente personalizada que cumpla sus requisitos específicos de protección de aplicaciones al combinar reglas personalizadas y administradas.

Las reglas de una directiva se procesan en un orden de prioridad. La prioridad es un entero único que describe el orden de las reglas que se van a procesar. El valor entero más pequeño indica una prioridad más alta y estas reglas se evalúan antes que las reglas con un valor entero más alto. Una vez que una regla coincide, la acción correspondiente que se ha definido en la regla se aplica a la solicitud. Cuando se procesa esa coincidencia, ya no se procesan más reglas con prioridades inferiores.

Una aplicación web ofrecida por Application Gateway puede tener una directiva WAF asociada en el nivel global, por sitio o por URI.

Conjuntos de reglas principales

Application Gateway admite varios conjuntos de reglas, entre los que se incluyen CRS 3.2, CRS 3.1 y CRS 3.0. Estas reglas protegen las aplicaciones web frente a actividades malintencionadas. Para obtener más información, consulte Grupos de reglas de DRS y CRS de Web Application Firewall y las respectivas reglas.

Reglas personalizadas

Application Gateway también admite reglas personalizadas. Con las reglas personalizadas, puede crear reglas propias que se evalúan en cada solicitud que pasa por el WAF. Estas reglas tienen una prioridad mayor que el resto de las reglas de los conjuntos de reglas administrados. Si se cumple un conjunto de condiciones, se realiza una acción para permitir o bloquear. Para obtener más información sobre las reglas personalizadas, consulte Reglas personalizadas para Application Gateway.

El operador geomatch está ahora disponible en versión preliminar pública para reglas personalizadas. Consulte Reglas personalizadas de coincidencia geográfica para obtener más información.

Conjunto de reglas de protección contra bots

Puede habilitar un conjunto administrado de reglas de protección contra bots para realizar acciones personalizadas ante solicitudes de todas las categorías de bots.

Se admiten tres categorías de bot:

  • Incorrecto

    Los bots incorrectos son bots con direcciones IP malintencionadas y bots que han falsificado sus identidades. Los bots defectuosos incluyen direcciones IP malintencionadas que se obtienen de la fuente de inteligencia sobre amenazas de Microsoft los indicadores de IP de confianza alta de las fuentes de riesgo y reputación de IP. Los bots defectuosos también incluyen bots que se identifican a sí mismos como bots buenos pero sus direcciones IP no pertenecen a editores de bots legítimos.

  • Bien

    Los buenos bots son agentes de usuario de confianza. Las reglas de bot correctos se clasifican en varias categorías para proporcionar un control pormenorizado sobre la configuración de directivas de WAF. Estas categorías incluyen:

    • bots comprobados del motor de búsqueda (como Googlebot y Bingbot)
    • bots del comprobador de vínculos validados
    • bots de redes sociales comprobados (como Facebookbot y LinkedInBot)
    • bots de publicidad comprobados
    • bots comprobados del comprobador de contenido
    • bots varios validados

  • Desconocido

    Los bots desconocidos son agentes de usuario sin validación adicional. Los bots desconocidos también incluyen direcciones IP malintencionadas que proceden de los indicadores de IP de confianza media de la fuente de inteligencia sobre amenazas de Microsoft.

La plataforma WAF administra y actualiza dinámicamente las firmas del bot.

Cuando la protección contra bots está habilitada, bloquea, permite o registra las solicitudes entrantes que coinciden con las reglas de bots en función de la acción configurada. Bloquea bots malintencionados, permite rastreadores comprobados del motor de búsqueda, bloquea los rastreadores desconocidos del motor de búsqueda y registra bots desconocidos de forma predeterminada. Puede establecer acciones personalizadas para bloquear, permitir o registrar diferentes tipos de bots.

Puede acceder a los registros de WAF desde una cuenta de almacenamiento, un centro de eventos o Log Analytics, o bien enviar los registros a una solución de un asociado.

Para obtener más información sobre la protección contra bots de Application Gateway, consulte Web Application Firewall en la protección contra bots de Application Gateway.

Modos de WAF

El WAF de Application Gateway se puede configurar para ejecutarse en dos modos:

  • Modo de detección: supervisa y registra todas las alertas de amenazas. Puede activar el registro de diagnósticos de Application Gateway en la sección Diagnósticos. También debe asegurarse de que el registro del WAF está seleccionado y activado. El firewall de aplicaciones web no bloquea solicitudes entrantes cuando se ejecuta en modo de detección.
  • Modo de prevención: bloquea las intrusiones y los ataques que detectan las reglas. El atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

Nota

Se recomienda ejecutar un WAF recién implementado en modo de detección durante un breve período de tiempo en un entorno de producción. Al hacerlo, se brinda la oportunidad de obtener registros de firewall y actualizar las excepciones o reglas personalizadas antes de pasar al modo de prevención. También ayuda a reducir la ocurrencia de tráfico bloqueado inesperado.

Motor de WAF

El motor Web Application Firewall (WAF) es el componente que inspecciona el tráfico y detecta si una solicitud contiene una firma que indique un posible ataque. Cuando utiliza CRS 3.2 o posterior, el firewall de aplicaciones web ejecuta el nuevo motor WAF, lo que le proporciona un mayor rendimiento y un conjunto mejorado de funciones. Cuando se usan versiones anteriores de CRS, WAF se ejecuta en un motor anterior. Las nuevas características solo están disponibles en el nuevo motor de WAF de Azure.

Acciones de WAF

Es posible elegir qué acción se ejecutará cuando una solicitud coincida con alguna condición de regla. Se admiten las siguientes acciones:

  • Permitir: la solicitud pasa a través del WAF y se reenvía al back-end. Ninguna otra regla de prioridad más baja puede bloquear esta solicitud. Las acciones permitidas solo se puede aplicar al conjunto de reglas de Bot Manager y no se pueden aplicar al conjunto de reglas básico.
  • Bloquear: la solicitud está bloqueada y WAF envía una respuesta al cliente sin reenviar la solicitud al servidor back-end.
  • Registrar: la solicitud se registra en los registros de WAF, y WAF sigue evaluando las reglas de prioridad más baja.
  • Puntuación de anomalías: la acción predeterminada para el conjunto de reglas de CRS en la que la puntuación total de anomalías se incrementa cuando se coincide con una regla con esta acción. La puntuación de anomalías no se puede aplicar al conjunto de reglas de Bot Manager.

Modo de puntuación de anomalías

OWASP tiene dos modos para decidir si bloquear el tráfico: el modo tradicional y el modo de puntuación de anomalías.

En el modo tradicional, se considera el tráfico que coincide con alguna regla, independientemente de si otra regla coincide. Este modo es fácil de entender, pero la falta de información sobre cuántas reglas coinciden con una solicitud específica representa una limitación. Es por eso que se introdujo el modo de puntuación de anomalías. Es el valor predeterminado en OWASP 3.x.

En el modo de puntuación de anomalías, el tráfico que coincide con alguna regla no se bloquea de inmediato cuando el firewall está en modo de prevención. Las reglas tienen una gravedad determinada: Crítica, Error, Advertencia o Aviso. Dicha gravedad afecta a un valor numérico para la solicitud, denominado como la puntuación de anomalía. Por ejemplo, una coincidencia con la regla Advertencia contribuye con un valor de 3 a la puntuación. Una coincidencia con la regla Crítica, con 5.

severity Importancia
Crítico 5
Error 4
Advertencia 3
Aviso 2

Hay un umbral de 5 para que la puntuación de anomalías bloquee el tráfico. Por lo tanto, una sola coincidencia de regla crítica es suficiente para que el WAF de Application Gateway bloquee una solicitud en modo de prevención. Pero una coincidencia con la regla Advertencia solo aumenta la puntuación de anomalías en 3, lo que no es suficiente para bloquear por sí misma el tráfico.

Nota

El mensaje que se registra cuando una regla de WAF coincide con el tráfico incluye el valor de acción "Coincidente". Si la puntuación total de anomalías de todas las reglas coincidentes es 5 o superior y la política de WAF se está ejecutando en modo de prevención, la solicitud desencadena una regla de anomalía obligatoria con el valor de acción Bloqueado y la solicitud se detiene. Sin embargo, si la política de WAF se ejecuta en modo de detección, la solicitud desencadena el valor de acción Detectado y la solicitud se registra y se pasa al back-end. Para más información, consulte Solución de problemas del firewall de aplicaciones web (WAF) de Azure Application Gateway.

Configuración

Puede configurar e implementar todas las directivas de WAF mediante Azure Portal, API de REST, plantillas de Azure Resource Manager y Azure PowerShell. También puede configurar y administrar directivas de Azure WAF a gran escala mediante la integración de Firewall Manager. Para más información, consulte Configuración de directivas de WAF mediante Azure Firewall Manager.

Supervisión de WAF

La supervisión del estado de la puerta de enlace de aplicación es importante y se puede lograr mediante la integración de su WAF y las aplicaciones que protege con Microsoft Defender for Cloud, Azure Monitor y los registros de Azure Monitor.

Diagrama de diagnósticos de Application Gateway WAF.

Azure Monitor

Los registros de Application Gateway se integran con Azure Monitor, lo que le permite realizar un seguimiento de la información de diagnóstico, incluidas las alertas y los registros de WAF. Puede acceder a esta funcionalidad en la pestaña Diagnósticos del recurso de Application Gateway en Azure Portal o directamente a través de Azure Monitor. Para obtener más información sobre cómo habilitar registros, consulte Registros de diagnóstico para Application Gateway.

Microsoft Defender for Cloud

Defender for Cloud ayuda a evitar y detectar las amenazas, además de a responder a ellas. Brinda una visibilidad mejorada y más control sobre la seguridad de los recursos de Azure. Application Gateway se integra con Defender for Cloud. Defender for Cloud examina su entorno para detectar aplicaciones web no protegidas. Puede recomendar el firewall de aplicaciones web (WAF) de Application Gateway para proteger estos recursos vulnerables. Los firewalls se crean directamente desde Defender for Cloud. Estas instancias de WAF se integran con Defender for Cloud. Envían alertas e información de estado a Defender for Cloud para generar informes.

Microsoft Sentinel

Microsoft Sentinel es una solución escalable, nativa de la nube, de administración de eventos de información de seguridad (SIEM) y de respuesta automatizada de orquestación de seguridad (SOAR). Microsoft Sentinel ofrece análisis de seguridad inteligente e inteligencia frente a amenazas en toda la empresa, de forma que proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.

Con el libro integrado de eventos de firewall de Azure WAF, puede obtener información general sobre los eventos de seguridad de su WAF, incluidos los eventos, las reglas coincidentes y bloqueadas, y todas las demás actividades de firewall registradas.

Libro de Azure Monitor para WAF

El libro de trabajo de Azure Monitor para WAF permite la visualización personalizada de eventos de WAF relevantes para la seguridad en varios paneles filtrables. Funciona con todos los tipos de WAF, como Application Gateway, Front Door y CDN, y se puede filtrar en función del tipo waf o de una instancia específica de WAF. Impórtelo a través de la plantilla de ARM o la plantilla de la galería. Para implementar este libro, consulte libro de WAF.

Registro

WAF de Application Gateway ofrece informes detallados sobre cada amenaza que detecta. El registro se integra con los registros de Azure Diagnostics. Las alertas se registran en formato JSON. Estos registros pueden integrarse con los registros de Azure Monitor.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Precios de las SKU de WAF de Application Gateway

Los modelos de precios son diferentes de las SKU de WAF_v1 y WAF_v2. Para obtener más información, consulte los precios de Application Gateway.

Novedades

Para obtener información sobre las novedades del firewall de aplicaciones web de Azure, consulte Actualizaciones de Azure.

Contenido relacionado