Procedimientos recomendados para Azure Web Application Firewall en Azure Front Door

En este artículo, se resumen los procedimientos recomendados para usar Azure Web Application Firewall en Azure Front Door.

Procedimientos recomendados generales

En esta sección, se describen los procedimientos recomendados generales.

Habilitación del WAF

En el caso de las aplicaciones accesibles desde Internet, se recomienda habilitar un firewall de aplicaciones web (WAF) y configurarlo para usar reglas administradas. Cuando se usa un WAF y reglas administradas por Microsoft, la aplicación está protegida frente a una variedad de ataques.

Ajuste su WAF

Las reglas de WAF deben optimizarse para la carga de trabajo. Si no ajusta el WAF, es posible que bloquee accidentalmente las solicitudes que se deben permitir. La optimización podría implicar la creación de exclusiones de reglas para reducir las detecciones de falsos positivos.

Mientras ajusta el WAF, considere la posibilidad de usar el modo de detección. Este modo registra las solicitudes y las acciones que normalmente realizaría el WAF, pero en realidad no bloquea ningún tráfico.

Para obtener más información, consulte Ajuste de Azure Web Application Firewall para Azure Front Door.

Uso del modo de prevención

Después de ajustar el WAF, configúrelo para que se ejecute en modo de prevención. Al ejecutar en modo de prevención, se asegura de que el WAF bloquee las solicitudes que detecta como malintencionadas. La ejecución en modo de detección es útil al ajustar y configurar el WAF, pero no proporciona protección.

Definición de la configuración de WAF como código

Al ajustar WAF para la carga de trabajo de la aplicación, normalmente se crea un conjunto de exclusiones de reglas para reducir la detección de falsos positivos. Si configura manualmente estas exclusiones mediante Azure Portal, al actualizar el WAF para usar una versión más nueva del conjunto de reglas, deberá reconfigurar las mismas excepciones con esta nueva versión. Este proceso puede tardar mucho tiempo y ser propenso a errores.

En su lugar, considere definir las exclusiones de reglas del WAF y otra configuración como código; por ejemplo, mediante la CLI de Azure, Azure PowerShell, Bicep o Terraform. Cuando necesite actualizar la versión del conjunto de reglas de WAF, puede reutilizar fácilmente las mismas exclusiones.

Procedimientos recomendados para el conjunto de reglas administradas

En esta sección, se describen los procedimientos recomendados para los conjuntos de reglas.

Habilitación de conjuntos de reglas predeterminados

Los conjuntos de reglas predeterminados de Microsoft están diseñados para proteger la aplicación mediante la detección y el bloqueo de ataques comunes. Las reglas se basan en varios orígenes, incluidos los 10 tipos de ataque principales de OWASP y la información de Microsoft Threat Intelligence.

Para más información, consulte Conjuntos de reglas administradas por Azure.

Habilitación de reglas de administración de bots

Los bots son responsables de una proporción significativa del tráfico a las aplicaciones web. El conjunto de reglas de protección contra bots de WAF clasifica los bots en función de si son buenos, incorrectos o desconocidos. Los bots incorrectos se pueden bloquear, mientras que los bots correctos, como los rastreadores del motor de búsqueda, se permiten a través de la aplicación.

Para más información, consulte Conjunto de reglas de protección contra bots.

Uso de las versiones más recientes del conjunto de reglas

Microsoft actualiza periódicamente las reglas administradas para tener en cuenta el panorama actual de amenazas. Asegúrese de comprobar periódicamente si hay actualizaciones en conjuntos de reglas administrados por Azure.

Para obtener más información, consulte Reglas y grupos de reglas de DRS de Azure Web Application Firewall.

Procedimientos recomendados de limitación de frecuencia

En esta sección, se describen los procedimientos recomendados para la limitación de frecuencia.

Adición de limitación de frecuencia

El WAF de Azure Front Door permite controlar la cantidad de solicitudes permitidas desde la dirección IP de cada cliente durante un período de tiempo. Se recomienda agregar limitación de frecuencia para reducir el efecto de los clientes que accidental o intencionadamente envían grandes cantidades de tráfico al servicio, como durante una tormenta de reintentos.

Para obtener más información, consulte los siguientes recursos:

• ¿Cuál es la limitación de frecuencia para Azure Front Door?.
• Configuración de una regla de límite de frecuencia de Azure Web Application Firewall con Azure PowerShell.
• ¿Por qué las solicitudes adicionales por encima del umbral configurado para la regla de límite de frecuencia se pasan al servidor de back-end?

Uso de un umbral alto para los límites de frecuencia

Normalmente, es recomendable establecer el umbral de límite de frecuencia en un nivel alto. Por ejemplo, si sabe que una única dirección IP de cliente podría enviar al servidor alrededor de 10 solicitudes por minuto, considere la posibilidad de especificar un umbral de 20 solicitudes por minuto.

Los umbrales de límite de frecuencia altos evitan que se bloquee el tráfico legítimo. Estos umbrales altos proporcionan protección frente a un número muy elevado de solicitudes que puedan sobrecargar la infraestructura.

Procedimientos recomendados de filtrado geográfico

En esta sección, se describen los procedimientos recomendados para el filtrado geográfico.

Tráfico de filtrado geográfico

Muchas aplicaciones web están diseñadas para usuarios dentro de una región geográfica específica. Si esta situación se aplica a la aplicación, considere la posibilidad de implementar el filtrado geográfico para bloquear las solicitudes procedentes de fuera de los países o regiones de los que espera recibir tráfico.

Para obtener más información, consulte ¿Qué es el filtrado geográfico en un dominio para Azure Front Door?

Especificación de la ubicación desconocida (ZZ)

Algunas direcciones IP no se asignan a ubicaciones de nuestro conjunto de datos. Cuando una dirección IP no se puede asignar a una ubicación,el WAF asigna el tráfico al país o región desconocidos (ZZ). Para evitar el bloqueo de solicitudes válidas de estas direcciones IP, considere la posibilidad de permitir el país o región desconocidos (ZZ) a través del filtro geográfico.

Para obtener más información, consulte ¿Qué es el filtrado geográfico en un dominio para Azure Front Door?

Registro

En esta sección, se aborda el registro.

Adición de la configuración de diagnóstico para guardar los registros de WAF

El WAF de Azure Front Door se integra con Azure Monitor. Es importante guardar los registros de WAF en un destino como Log Analytics. Debe revisar los registros de WAF con regularidad. Revisar los registros le ayuda a ajustar las directivas de WAF para reducir las detecciones de falsos positivos y comprender si la aplicación ha sido objeto de ataques.

Para obtener más información, consulte el artículo Supervisión y registro de Azure Web Application Firewall.

Envío de registros a Microsoft Sentinel

Microsoft Sentinel es un sistema de administración de eventos e información de seguridad (SIEM), que importa registros y datos de varios orígenes para comprender el panorama de amenazas de la aplicación web y el entorno general de Azure. Los registros de WAF de Azure Front Door deben importarse a Microsoft Sentinel u otro SIEM para que las propiedades accesibles desde Internet se incluyan en su análisis. Para Microsoft Sentinel, use el conector de WAF de Azure para importar fácilmente los registros de WAF.

Para obtener más información, consulte Uso de Microsoft Sentinel con Azure Web Application Firewall.

Pasos siguientes

Obtenga información para crear una directiva de WAF de Azure Front Door.