Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Web Application Firewall (WAF) proporciona protección centralizada para las aplicaciones web frente a vulnerabilidades de seguridad comunes, como inyección de código SQL, scripting entre sitios y otros ataques de OWASP Top 10. Como componente de seguridad crítico que se encuentra entre las aplicaciones y las posibles amenazas, es esencial proteger correctamente la implementación de WAF para maximizar su eficacia y mantener su posición de seguridad general.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure Web Application Firewall.
Seguridad de red
La seguridad de red para Azure Web Application Firewall se centra en proteger las aplicaciones a través de la administración adecuada del tráfico, el bloqueo de direcciones IP malintencionadas y la configuración adecuada de los modos waf. Estos controles ayudan a garantizar que solo el tráfico legítimo llegue a las aplicaciones a la vez que mantiene una protección completa contra ataques basados en web.
Configurar WAF en modo de prevención después del período de línea base: comience con el modo de detección para comprender los patrones de tráfico e identificar falsos positivos y, a continuación, cambie al modo prevención para bloquear activamente los ataques. El modo de prevención bloquea las intrusiones y los ataques detectados por las reglas, enviando a los atacantes una excepción de "acceso no autorizado 403". Consulte Modos de WAF en Application Gateway y Modos de WAF en Front Door.
Usar reglas personalizadas para bloquear direcciones IP malintencionadas: cree reglas personalizadas para permitir y bloquear el tráfico en función de direcciones IP, intervalos o ubicaciones geográficas. Esto proporciona un control pormenorizado sobre quién puede acceder a las aplicaciones y ayuda a evitar ataques de actores incorrectos conocidos. Consulte Web Application Firewall CRS rule groups and rules (Grupos de reglas y reglas de CRS del firewall de aplicaciones web).
Personalice las reglas de WAF para reducir los falsos positivos: Aplique las directivas de WAF específicas del sitio y personalice las reglas y grupos de reglas para satisfacer los requisitos de su aplicación web. Esto ayuda a eliminar falsos positivos al tiempo que mantiene la protección contra amenazas auténticas. Asocie una directiva única de Azure WAF para cada sitio para permitir la configuración específica del sitio.
Habilitar el registro y la supervisión completos: active diagnósticos y registros de WAF cuando funcione en modo de detección para supervisar y registrar todas las alertas de amenazas. Esto proporciona visibilidad sobre lo que su WAF está evaluando, comparando y bloqueando. Consulte Descripción general del registro de eventos.
Uso de etiquetas para la administración de seguridad de red organizada: aplique etiquetas a grupos de seguridad de red asociados con el WAF en la subred de Azure Application Gateway y los recursos de seguridad de red relacionados. Utilice el campo "Descripción" para las reglas individuales del Grupo de Seguridad de Red (NSG) para especificar las necesidades empresariales y la duración. Consulte Creación y uso de etiquetas.
Supervisión de las configuraciones de recursos de red: use el registro de actividad de Azure para supervisar las configuraciones de recursos de red y detectar cambios en la configuración de red y los recursos relacionados con las implementaciones de WAF. Cree alertas en Azure Monitor que se desencadenen cuando se produzcan cambios en la configuración de red crítica. Consulte Visualización y recuperación de eventos del registro de actividad de Azure.
Implementar la limitación de velocidad para evitar ataques DDoS: configure reglas de limitación de velocidad para controlar el número de solicitudes permitidas desde cada dirección IP de cliente durante un período de tiempo especificado. Establezca umbrales de límite de velocidad lo suficientemente altos como para evitar el bloqueo del tráfico legítimo mientras protege contra tormentas de reintentos y ataques DDoS. Consulte ¿Qué es la limitación de velocidad para Azure Front Door?
Habilitación de la protección de bots para bloquear bots malintencionados: use el conjunto de reglas administradas de protección de bots para identificar y bloquear bots incorrectos, al tiempo que permite bots legítimos, como rastreadores de motor de búsqueda. Las reglas de protección de bots clasifican a los bots como buenos, incorrectos o desconocidos y pueden bloquear automáticamente el tráfico malintencionado de bots. Consulte Configuración de la protección de bots para el firewall de aplicaciones web.
Implementación del filtrado geográfico para aplicaciones regionales: si la aplicación atiende a los usuarios de regiones geográficas específicas, configure el filtrado geográfico para bloquear las solicitudes desde países o regiones esperados. Incluya la ubicación desconocida (ZZ) para evitar bloquear las solicitudes válidas de direcciones IP no asignadas. Consulte ¿Qué es el filtrado geográfico en un dominio para Azure Front Door?
Use las versiones más recientes del conjunto de reglas administradas: actualice periódicamente a las versiones más recientes del conjunto de reglas administrados de Azure para protegerse frente a las amenazas actuales. Microsoft actualiza periódicamente las reglas administradas en función del panorama de amenazas y los 10 tipos de ataque principales de OWASP. Consulte Reglas y grupos de reglas de DRS de Azure Web Application Firewall.
Administración de identidades
La administración de identidades para Azure Web Application Firewall garantiza que el acceso administrativo a los recursos de WAF se controle y supervise correctamente. Esto incluye mantener inventarios de cuentas administrativas, usar sistemas de identidad centralizados e implementar mecanismos de autenticación seguros para cualquier persona que administre la implementación de WAF.
Uso de Azure Active Directory para la autenticación centralizada: use Azure AD como sistema central de autenticación y autorización para administrar recursos de WAF. Azure AD protege los datos con cifrado seguro y proporciona una administración de identidades coherente en todo el entorno de Azure. Consulte Creación y configuración de una instancia de Azure AD.
Mantenimiento del inventario de cuentas administrativas: Utilice roles integrados de Azure AD que pueden ser consultados y que deben asignarse explícitamente. Use el módulo de PowerShell de Azure AD para realizar consultas y detectar cuentas que son miembros de grupos administrativos con acceso a recursos de WAF. Consulte Obtención de un rol de directorio en Azure AD con PowerShell.
Habilitar la autenticación multifactor para el acceso administrativo: requerir MFA para todos los usuarios con acceso administrativo a los recursos de WAF. Esto agrega un nivel de seguridad adicional crucial incluso si las contraseñas están en peligro. Siga las recomendaciones de administración de identidades y acceso de Microsoft Defender for Cloud. Consulte Habilitación de la autenticación multifactor en Azure.
Use cuentas administrativas dedicadas con procedimientos estándar: cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas que tengan acceso a instancias de Azure WAF. Use las características de administración de identidades y acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas. Consulte Descripción de Microsoft Defender for Cloud Identity and Access.
Administrar el acceso solo desde ubicaciones aprobadas: Configure las directivas de acceso condicional con ubicaciones designadas para restringir el acceso a los recursos de WAF. Cree grupos lógicos de rangos de direcciones IP o países y regiones, y restrinja el acceso a recursos confidenciales a las ubicaciones nombradas configuradas. Consulte ¿Cuál es la condición de ubicación en el acceso condicional de Azure Active Directory?
Supervisión y alerta de actividades de cuenta sospechosas: use informes de seguridad de Azure AD y Microsoft Defender for Cloud para supervisar la actividad de identidad y acceso. Configure alertas para actividades sospechosas o no seguras e integre con Microsoft Sentinel para la detección avanzada de amenazas. Consulte Identificación de usuarios de Azure AD marcados para actividades de riesgo.
Acceso con privilegios
Los controles de acceso con privilegios para Azure Web Application Firewall se centran en limitar y supervisar el acceso administrativo a los recursos de WAF. Estas medidas ayudan a evitar cambios no autorizados en las configuraciones de seguridad y a garantizar que las operaciones con privilegios se realicen correctamente un seguimiento y se auditan.
Use Azure RBAC para controlar el acceso a los recursos: controle el acceso a los recursos de Azure WAF mediante el control de acceso basado en rol de Azure. Aplique el principio de privilegios mínimos asignando solo los permisos mínimos necesarios a los usuarios y servicios. Consulte Configuración de RBAC de Azure en Azure.
Uso de estaciones de trabajo de acceso con privilegios para tareas administrativas: use estaciones de trabajo dedicadas y protegidas con autenticación multifactor configurada para iniciar sesión y configurar Azure WAF y recursos relacionados. Esto reduce el riesgo de compromiso administrativo a través de estaciones de trabajo de usuario estándar. Consulte Más información sobre las estaciones de trabajo de acceso con privilegios.
Revisión y conciliación periódicas del acceso de los usuarios: use Revisiones de acceso de identidad de Azure para administrar eficazmente las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles para los recursos de WAF. Revise periódicamente el acceso de los usuarios para asegurarse de que solo los usuarios activos tienen acceso continuo. Consulte Uso de las revisiones de acceso de identidad de Azure.
Supervisar el acceso a credenciales desactivadas: integre fuentes de los registros de actividad de inicio de sesión, auditoría y eventos de riesgo de Azure AD con Microsoft Sentinel u otras herramientas SIEM. Cree la configuración de diagnóstico para las cuentas de usuario de Azure AD y envíe registros de auditoría e inicio de sesión a un área de trabajo de Log Analytics para la supervisión. Consulte Integración de registros de actividad de Azure en Azure Monitor.
Configuración de respuestas automatizadas a actividades sospechosas: use las características de Risk and Identity Protection de Azure AD para configurar respuestas automatizadas a acciones sospechosas detectadas relacionadas con las identidades de usuario. Ingerir datos en Microsoft Sentinel para una investigación y respuesta más detalladas. Consulte cómo configurar y habilitar las políticas de riesgo de Protección de Identidad.
Registro y detección de amenazas
El registro completo y la detección de amenazas son esenciales para mantener la visibilidad de la posición de seguridad del firewall de aplicaciones web. Estas funcionalidades le ayudan a detectar amenazas, investigar incidentes y mantener el cumplimiento mediante la recopilación y el análisis de eventos de seguridad en la implementación de WAF.
Habilitación de la administración centralizada de registros con Microsoft Sentinel: configure los registros de WAF de Azure que se enviarán a Microsoft Sentinel o a un SIEM de terceros. Esto incluye los registros de WAF en tiempo real, diagnóstico y actividad de Azure que proporcionan información sobre los datos que el WAF está evaluando, comparando y bloqueando. Consulte Conexión de datos del firewall de aplicaciones web de Microsoft a Microsoft Sentinel.
Habilitar el registro de auditoría completo: active el registro de los recursos de Azure WAF para capturar registros de auditoría, seguridad y diagnóstico. Azure WAF proporciona informes detallados sobre cada amenaza detectada a través de registros de diagnóstico configurados, incluidos el origen de eventos, la fecha, el usuario, la marca de tiempo y las direcciones. Consulte Descripción general del registro de eventos.
Configuración de directivas de retención de almacenamiento de registros: envíe registros de Azure WAF a una cuenta de almacenamiento personalizada y defina directivas de retención en función de los requisitos de cumplimiento de su organización. Use Azure Monitor para establecer el período de retención del área de trabajo de Log Analytics de forma adecuada. Consulte Configuración de la supervisión de una cuenta de almacenamiento.
Supervisar y revisar los registros con regularidad: revise los registros de WAF que proporcionan informes detallados sobre cada amenaza detectada. Use las recomendaciones de Microsoft Defender for Cloud para detectar aplicaciones web no protegidas y proteger los recursos vulnerables. Aproveche el libro de trabajo de WAF integrado de Microsoft Sentinel para obtener una visión general sobre eventos de seguridad. Consulte Habilitación de la configuración de diagnóstico para Azure Application Gateway.
Creación de alertas para actividades anómalas: habilite la configuración de diagnóstico del registro de actividad de Azure y la configuración de diagnóstico de WAF y envíe registros a un área de trabajo de Log Analytics. Cree alertas para actividades anómalas basadas en métricas de WAF, como cuando las solicitudes bloqueadas superen los umbrales definidos. Consulte Creación de alertas en Azure.
Utilice orígenes de sincronización de hora aprobados: cree reglas de red para Azure WAF para permitir el acceso a los servidores NTP con los puertos y protocolos adecuados, como el puerto 123 a través de UDP, lo que garantiza marcas de tiempo precisas en los registros y eventos.
Habilitación de la protección de datos confidenciales con limpieza de registros: configure reglas de limpieza de registros para quitar información confidencial, como contraseñas, direcciones IP y datos personales de los registros de WAF. Esto protege los datos de los clientes al tiempo que mantiene la visibilidad de la seguridad. Consulte ¿Qué es La protección de datos confidenciales del firewall de aplicaciones web de Azure? y Protección de datos confidenciales del firewall de aplicaciones web de Azure.
Configurar opciones de diagnóstico para un registro completo: habilite la configuración de diagnóstico en los recursos de WAF para guardar registros en Log Analytics, cuenta de almacenamiento o centro de eventos. La revisión regular del registro ayuda a optimizar las directivas de WAF y a comprender los patrones de ataque contra las aplicaciones. Consulte Supervisión y registro del firewall de aplicaciones web de Azure.
Protección de los datos
La protección de datos para Azure Web Application Firewall implica proteger la información confidencial procesada por el WAF, implementar el cifrado adecuado y mantener los controles de acceso adecuados. Estas medidas ayudan a proteger las aplicaciones y los datos que controlan frente al acceso y la divulgación no autorizados.
Etiquetado de recursos que controlan información confidencial: use etiquetas para identificar y realizar un seguimiento del WAF de Azure y los recursos relacionados que almacenan o procesan información confidencial. Esto ayuda con los informes de cumplimiento y garantiza que se apliquen los controles de seguridad adecuados. Consulte Creación y uso de etiquetas.
Implementar aislamiento de entorno: use suscripciones independientes y grupos de administración para distintos dominios de seguridad, como entornos de desarrollo, prueba y producción. Esto evita la exposición de datos entre entornos y permite controles de seguridad específicos del entorno. Consulte Creación de suscripciones de Azure adicionales.
Asegúrese de que el cifrado en tránsito: compruebe que los clientes que se conectan a sus instancias de Azure WAF y recursos relacionados pueden negociar TLS 1.2 o superior. Siga las recomendaciones de Microsoft Defender for Cloud para el cifrado en reposo y en tránsito. Consulte Descripción del cifrado en tránsito con Azure.
Uso del cifrado en reposo para los recursos de WAF: aplique cifrado en reposo para todos los recursos de Azure, incluidos Azure WAF y recursos relacionados. Microsoft recomienda permitir que Azure administre claves de cifrado, pero puede administrar sus propias claves cuando existan requisitos específicos. Consulte Descripción del cifrado en reposo en Azure.
Supervisión de los cambios en los recursos críticos: configure el WAF de Azure para que se ejecute en modo de prevención después de establecer líneas base y use Azure Monitor para crear alertas cuando se produzcan cambios en los recursos o configuraciones críticos de WAF. Consulte Modos de WAF en Application Gateway.
Habilitar la inspección del cuerpo de la solicitud: configure directivas waf para inspeccionar cuerpos de solicitud HTTP, no solo encabezados, cookies e URI. Esto permite que waf detecte amenazas ocultas en los datos POST y las cargas JSON. Consulte Azure Web Application Firewall y Azure Policy.
Uso de claves administradas por el cliente para el cifrado mejorado: considere la posibilidad de usar claves administradas por el cliente almacenadas en Azure Key Vault para conocer los requisitos de cifrado que superan las claves administradas por la plataforma. Esto proporciona control adicional sobre el ciclo de vida y el acceso de las claves de cifrado. Consulte Configuración de claves de cifrado administradas por el cliente.
Administración de recursos
La administración eficaz de recursos le ayuda a mantener la visibilidad y el control sobre los recursos de Firewall de aplicaciones web. Esto incluye la detección automatizada, el etiquetado adecuado, la conciliación regular del inventario y la aplicación de directivas para asegurarse de que la implementación de WAF sigue siendo segura y compatible.
Utilizar la detección automatizada de recursos: Use Azure Resource Graph para consultar y detectar todos los recursos relacionados con WAF, incluidos la computación, el almacenamiento, la red, los puertos y los protocolos dentro de tus suscripciones. Asegúrese de que tiene los permisos de lectura adecuados y puede enumerar todas las suscripciones y recursos de Azure. Consulte Creación de consultas con Azure Resource Graph.
Mantenimiento de metadatos de recursos con etiquetas: aplique etiquetas a directivas de WAF de Azure y recursos relacionados para organizar lógicamente el acceso y la administración. Las etiquetas se pueden asociar a los recursos y aplicar para organizar el acceso a estos recursos dentro de la suscripción. Consulte Creación y uso de etiquetas.
Organizar y realizar un seguimiento de los recursos sistemáticamente: use el etiquetado, los grupos de administración y las suscripciones independientes para organizar y realizar un seguimiento de Azure WAF y los recursos relacionados. Concilie el inventario periódicamente y asegúrese de que los recursos no autorizados se eliminan de las suscripciones de forma oportuna. Consulte Creación de grupos de administración.
Definir y mantener el inventario de recursos aprobados: cree un inventario de recursos aprobados, incluidas sus configuraciones en función de las necesidades de la organización. Use Azure Policy para restringir los tipos de recursos que se pueden crear en las suscripciones y asegurarse de que se aprueban todos los recursos presentes. Consulte Configuración y administración de Azure Policy.
Supervisión de recursos no aprobados: use Azure Policy para poner restricciones en los tipos de recursos y supervisar los recursos de Azure WAF no aprobados dentro de las suscripciones. Use Azure Resource Graph para consultar y detectar recursos, lo que garantiza que se aprueben todos los recursos de Azure WAF y relacionados del entorno. Consulte Creación de consultas con Azure Graph.
Limitar el acceso de Azure Resource Manager: Utilice el Acceso Condicional de Azure para limitar la capacidad de los usuarios para interactuar con Azure Resource Manager mediante la configuración de "Bloquear acceso" para la aplicación "Administración de Microsoft Azure". Esto ayuda a evitar cambios no autorizados en los recursos de WAF. Consulte Configuración del acceso condicional para bloquear el acceso a Azure Resources Manager.
Cumplimiento y gobernanza de directivas
El cumplimiento de directivas y la gobernanza garantizan que las implementaciones de Firewall de aplicaciones web cumplan los estándares de la organización y los requisitos normativos. Estos controles ayudan a mantener configuraciones de seguridad coherentes en todo el entorno y proporcionan monitoreo automático del cumplimiento y aplicación.
Use Azure Policy para aplicar la implementación de WAF: implemente definiciones de Azure Policy para requerir la implementación de WAF en los recursos de Azure Front Door y Application Gateway. Configure directivas para auditar, denegar o corregir automáticamente los recursos no compatibles. Consulte Azure Web Application Firewall y Azure Policy.
Cumplimiento del modo WAF: use Azure Policy para aplicar que todas las directivas de WAF funcionan en modo de prevención después del ajuste inicial. Esto garantiza una protección coherente en todo el entorno y evita la implementación accidental de WAF en modo de solo detección. Consulte Azure Web Application Firewall y Azure Policy.
Requerir el cumplimiento del registro de recursos: implemente directivas que exijan la habilitación de registros de recursos y métricas en todos los servicios habilitados para WAF. Esto garantiza un registro coherente para los requisitos de cumplimiento y supervisión de seguridad en toda la organización. Consulte Azure Web Application Firewall y Azure Policy.
Exigir el uso del nivel Premium para mejorar la seguridad: use Azure Policy para requerir el nivel Premium de Azure Front Door para todos los perfiles, lo que garantiza el acceso a características avanzadas de WAF, como conjuntos de reglas administrados, protección de bots y funcionalidades de vínculo privado. Consulte Azure Web Application Firewall y Azure Policy.
Definir la configuración de WAF como código: implemente la infraestructura como prácticas de código mediante plantillas de ARM, Bicep o Terraform para mantener configuraciones de WAF coherentes entre entornos. Este enfoque simplifica la administración de exclusión de reglas y reduce el desfase de configuración. Consulte Procedimientos recomendados para Azure Web Application Firewall en Azure Front Door.
Implementar la supervisión automatizada del cumplimiento: use Microsoft Defender for Cloud y Azure Policy para supervisar continuamente el cumplimiento de WAF y recibir recomendaciones para aplicaciones web no protegidas. Configure alertas automatizadas para infracciones de directivas y desfase de cumplimiento. Consulte Azure Web Application Firewall y Azure Policy.