Tutorial: Configuración del firewall de aplicaciones web de Cloudflare con Id. externa de Microsoft Entra
En este tutorial, aprenderá a configurar Cloudflare Web Application Firewall (Cloudflare WAF) para proteger su organización frente a ataques, como denegación de servicio Denegación de servicio distribuida (DDoS) (DDoS), bots malintencionados, Proyecto abierto de seguridad en aplicaciones Web(OWASP) Top-10 riesgos de seguridad y otros.
Requisitos previos
Para empezar, necesitará lo siguiente:
- Inquilino de Id. externa de Microsoft Entra
- Microsoft Azure Front Door (AFD)
- Cuenta de Cloudflare con WAF
Obtén información sobre los inquilinos y la protección de aplicaciones para consumidores y clientes con id. externa de Microsoft Entra.
Descripción del escenario
- Inquilino de id. externa de Microsoft Entra: el proveedor de identidades (IdP) y el servidor de autorización que comprueban las credenciales de usuario con directivas personalizadas definidas para el inquilino.
- Azure Front Door: habilita dominios de dirección URL personalizados en id. externa de Microsoft Entra. El tráfico a dominios de dirección URL personalizados pasa por Cloudflare WAF, luego va a AFD y, después, al inquilino de id. externa de Microsoft Entra.
- Cloudflare WAF: controles de seguridad para proteger el tráfico al servidor de autorización.
Habilitación de dominios de dirección URL personalizados
El primer paso es habilitar dominios personalizados con AFD. Utiliza las instrucciones de Habilitación de dominios de dirección URL personalizados para aplicaciones en inquilinos externos (versión preliminar).
Creación de una cuenta de Cloudflare
- Ve a Cloudflare.com/plans para crear una cuenta.
- Para habilitar WAF, en la pestaña Servicios de aplicaciones, selecciona Pro.
Configura el servidor de nombres de dominio (DNS)
Habilita WAF para un dominio.
En la consola DNS, para CNAME, habilita la configuración de proxy.
En DNS, en Estado de proxy, selecciona Con proxy.
El estado se vuelve naranja.
Controles de seguridad de Cloudflare
Para una protección óptima, se recomienda habilitar los controles de seguridad de Cloudflare.
Protección contra DDOS
Ve al panel de Cloudflare.
Expande la sección Seguridad.
Selecciona DDoS.
Aparece el mensaje .
Protección contra bots
Ve al panel de Cloudflare.
Expande la sección Seguridad.
En Configuración de modo de lucha Super Bot, para Automatización definitiva, selecciona Bloquear.
En Probable automatización, selecciona Desafío administrado.
En Bots comprobados, selecciona Permitir.
Reglas de firewall: tráfico procedente de la red Tor
Se recomienda bloquear el tráfico que se origina desde la red de proxy de Tor, a menos que la organización necesite admitir el tráfico.
Nota:
Si no puedes bloquear el tráfico de Tor, selecciona Desafío interactivo, no Bloquear.
Bloqueo del tráfico procedente de la red Tor
Ve al panel de Cloudflare.
Expande la sección Seguridad.
Selecciona WAF.
Seleccione Crear regla.
En Nombre de regla, escribe un nombre pertinente.
En Si las solicitudes entrantes coinciden, en Campo, selecciona Continente.
En Operador, selecciona Es igual a.
En Valor, selecciona Tor.
En Luego, toma medidas, selecciona Bloquear.
En Situar en, selecciona Primero.
Seleccione Implementar.
Nota:
Puedes agregar páginas HTML personalizadas para los visitantes.
Reglas de firewall: tráfico procedente de países o regiones
Se recomiendan controles de seguridad estrictos sobre el tráfico procedente de países o regiones donde es poco probable que se produzcan negocios, a menos que la organización tenga un motivo empresarial para admitir el tráfico de todos los países o regiones.
Nota:
Si no puedes bloquear el tráfico procedente de un país o región, selecciona Desafío interactivo, no Bloquear.
Bloqueo del tráfico procedente de países o regiones
Para obtener las instrucciones siguientes, puedes agregar páginas HTML personalizadas para los visitantes.
Ve al panel de Cloudflare.
Expande la sección Seguridad.
Selecciona WAF.
Seleccione Crear regla.
En Nombre de regla, escribe un nombre pertinente.
En Si las solicitudes entrantes coinciden, en Campo, selecciona País o Continente.
En Operador, selecciona Es igual a.
En Valor, selecciona el país o el continente que deseas bloquear.
En Luego, toma medidas, selecciona Bloquear.
En Situar en, selecciona Último.
Seleccione Implementar.
OWASP y conjuntos de reglas administrados
Selecciona Reglas administradas.
En Conjunto de reglas administradas de Cloudflare, selecciona Habilitado.
En Conjunto de reglas principales de OWASP de Cloudflare, selecciona Habilitado.