Note
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de changer d’annuaire.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de changer d’annuaire.
Un déploiement de Pare-feu d’applications web Azure sur Azure Application Gateway protège activement vos applications web contre les attaques et vulnérabilités courantes. À mesure que les applications web deviennent des cibles plus fréquentes pour les attaques malveillantes, ces attaques exploitent souvent des vulnérabilités connues, comme l’injection SQL et les scripts intersites.
Le pare-feu d’applications web Azure sur Application Gateway est basé sur l’ensemble de règles principal (CRS) à partir du projet OWASP (Open Web Application Security Project).
Toutes les fonctionnalités suivantes du Pare-feu d’applications web Azure existent à l’intérieur d’une stratégie de pare-feu d’applications web (WAF). Vous pouvez créer plusieurs stratégies et les associer à une passerelle d’application, à des écouteurs individuels ou à des règles de routage basées sur des chemins d’accès sur une passerelle d’application. Cette association vous permet de définir des stratégies distinctes pour chaque site derrière votre passerelle d’application si nécessaire. Pour plus d’informations sur les stratégies WAF, consultez Créer des stratégies WAF pour Application Gateway.
Notes
Application Gateway a deux versions d’un pare-feu d’applications web : WAF_v1 et WAF_v2. Les associations de stratégie WAF ne sont prises en charge que pour WAF_v2.
Application Gateway fonctionne en tant que contrôleur de remise d’application. Il offre l’arrêt TLS (Transport Layer Security) (précédemment appelé Secure Sockets Layer ou SSL), l’affinité de session basée sur les cookies, la distribution de charge round robin, le routage basé sur le contenu, la possibilité d’héberger plusieurs sites web et des améliorations de sécurité.
Application Gateway améliore la sécurité via la gestion de stratégies TLS et la prise en charge de TLS de bout en bout. L’intégration du pare-feu d’applications web Azure dans Application Gateway renforce la sécurité des applications. Cette combinaison défend activement vos applications web contre les vulnérabilités courantes et offre un emplacement gérable de manière centralisée.
Avantages
Cette section décrit les principaux avantages offerts par le pare-feu d’applications web Azure sur Application Gateway.
Protection
Protégez vos applications web contre les vulnérabilités et attaques web sans modification du code principal.
Aidez-vous à protéger plusieurs applications web en même temps. Une instance d’Application Gateway peut héberger jusqu’à 40 sites web qui utilisent un pare-feu d’applications web.
Créer des stratégies WAF personnalisées pour différents sites derrière le même pare-feu d’applications web.
Aidez à protéger vos applications web contre les bots malveillants avec l’ensemble de règles de réputation IP.
Protégez votre application contre les attaques DDoS. Pour plus d’informations, consultez Protection DDoS d’application (couche 7).
Surveillance
Surveillez les attaques dirigées contre vos applications web à l’aide d’un journal WAF en temps réel. Le journal est intégré à Azure Monitor pour suivre les alertes WAF et surveiller les tendances.
Le pare-feu d'applications web (WAF) Application Gateway est intégré à Microsoft Defender pour le cloud. Defender pour le cloud fournit une vue centrale de l'état de sécurité de toutes vos ressources Azure, hybrides et multiclouds.
Personnalisation
Personnalisez des règles et groupes de règles WAF pour les besoins de votre application et pour éliminer les faux positifs.
Associez une stratégie WAF pour chaque site derrière votre WAF afin d’autoriser la configuration spécifique au site.
Créez des règles personnalisées pour répondre aux besoins de votre application.
Fonctionnalités
- Protection contre l’injection SQL.
- Protection contre les scripts intersites.
- Protection contre d’autres attaques web courantes comme l’injection de commande, les dissimulations de requêtes HTTP, la séparation de réponse HTTP et l’inclusion de fichier distant.
- Protection contre les violations de protocole HTTP.
- Protection contre les anomalies de protocole HTTP telles que les
HostUser-Agenten-têtes manquants etAcceptles en-têtes. - Protection contre les robots d’indexation et les scanneurs.
- Détection des erreurs de configuration d’application courantes (par exemple, Apache et IIS).
- Limites de taille de demande configurables avec seuils inférieur et supérieur.
- Listes d’exclusion qui vous permettent d’omettre certains attributs de requête d’une évaluation WAF. À titre d’exemple courant, citons les jetons Active Directory insérés qui sont utilisés pour les champs d’authentification ou de mot de passe.
- Possibilité de créer des règles personnalisées pour répondre aux besoins spécifiques de vos applications.
- Possibilité de géofiltrer le trafic, d’autoriser ou de bloquer certains pays/régions d’accéder à vos applications.
- Jeu de règles Bot Manager qui permet de protéger vos applications contre les bots.
- Possibilité d’inspecter JSON et XML dans le corps de la requête.
Stratégie et règles WAF
Pour utiliser un pare-feu d’applications web sur Application Gateway, vous devez créer une stratégie WAF. Cette stratégie est l’endroit où existent toutes les règles gérées, les règles personnalisées, les exclusions et d’autres personnalisations (telles que la limite de chargement de fichiers).
Vous pouvez configurer une stratégie WAF et associer cette stratégie à une ou plusieurs passerelles d’application pour la protection. Une stratégie WAF se compose de deux types de règles de sécurité :
- Les règles personnalisées que vous créez
- Ensembles de règles managés qui sont des collections de règles préconfigurées gérées par Azure
Quand les deux sont présentes, le WAF traite les règles personnalisées avant de traiter les règles dans un ensemble de règles managées.
Une règle se compose d’une condition de correspondance, d’une priorité et d’une action. Les types d’actions pris en charge sont ALLOW, BLOCKet LOG. Vous pouvez créer une stratégie entièrement personnalisée qui répond à vos exigences spécifiques pour la protection des applications en combinant des règles managées et personnalisées.
Le WAF traite les règles au sein d’une stratégie dans un ordre de priorité. La priorité est représentée par un entier unique qui définit l’ordre des règles à traiter. Une valeur entière plus petite désigne une priorité plus élevée, et le WAF évalue ces règles avant les règles qui ont une valeur entière plus élevée. Une fois que le WAF correspond à une règle avec une requête, il applique l’action correspondante que la règle définit à la requête. Une fois que le WAF traite une telle correspondance, les règles qui ont des priorités inférieures ne sont pas traitées plus loin.
Une application web fournie par Application Gateway peut avoir une stratégie WAF associée au niveau global, au niveau global, au niveau par site ou à un niveau par URI.
Règles personnalisées
Application Gateway prend en charge la création de vos propres règles personnalisées. Application Gateway évalue les règles personnalisées pour chaque requête qui passe par le WAF. Ces règles ont une priorité plus élevée que les autres règles des ensembles de règles gérés. Si une demande répond à un ensemble de conditions, le WAF prend une action pour autoriser ou bloquer. Pour plus d’informations sur les règles personnalisées, consultez Règles personnalisées pour Application Gateway.
L’opérateur Geomatch est désormais disponible pour les règles personnalisées. Pour plus d’informations, voir Règles personnalisées de géocorrespondance.
Ensembles de règles
Application Gateway prend en charge plusieurs ensembles de règles, notamment CRS 3.2, CRS 3.1 et CRS 3.0. Ces règles aident à protéger vos applications web contre les activités malveillantes. Pour plus d’informations, consultez les règles et groupes de règles drS et règles de pare-feu d’applications web.
Ensemble de règles Bot Manager
Vous pouvez activer un ensemble de règles Bot Manager managé pour effectuer des actions personnalisées sur les requêtes de toutes les catégories de bots.
Application Gateway prend en charge trois catégories de bots :
Bots incorrects : bots qui ont des adresses IP malveillantes ou qui falsifient leurs identités. Les adresses IP malveillantes peuvent être sources à partir des indicateurs IP de compromission et de réputation IP de haut niveau de confiance du flux Microsoft Threat Intelligence. Les bots incorrects incluent également des bots qui s’identifient comme de bons bots, mais qui ont des adresses IP qui n’appartiennent pas aux éditeurs de bot légitimes.
Bons bots : agents utilisateur approuvés. Les règles pour les bons bots sont triées en plusieurs catégories pour fournir un contrôle granulaire sur la configuration de la stratégie WAF. Ces catégories incluent :
- Bots du moteur de recherche vérifiés (tels que Googlebot et Bingbot).
- Bots de vérificateur de liens validés.
- Bots de réseaux sociaux vérifiés (tels que FacebookBot et LinkedInBot).
- Bots publicitaires vérifiés.
- Bots de vérificateur de contenu vérifiés.
- Bots divers validés.
Bots inconnus : agents utilisateur sans validation supplémentaire. Les bots inconnus peuvent également avoir des adresses IP malveillantes qui sont sources à partir des indicateurs IP de confiance moyenne du flux Microsoft Threat Intelligence de compromission.
Le pare-feu d’applications web Azure gère et met à jour dynamiquement les signatures du bot.
Lorsque vous activez la protection des bots, il bloque, autorise ou journalise les demandes entrantes qui correspondent aux règles de bot en fonction de l’action configurée. Par défaut, elle bloque les bots malveillants, autorise les analyseurs des moteurs de recherche vérifiés, bloque les analyseurs des moteurs de recherche inconnus et journalise les bots inconnus. Vous pouvez définir des actions personnalisées pour bloquer, autoriser ou journaliser différents types de bots.
Vous pouvez accéder aux journaux WAF à partir d’un compte de stockage, d’un hub d’événements ou de Log Analytics. Vous pouvez également envoyer des journaux à une solution partenaire.
Pour plus d’informations sur la protection des bots Application Gateway, consultez la vue d’ensemble du pare-feu d’applications web sur la protection des bots Application Gateway.
Modes WAF
Vous pouvez configurer le WAF Application Gateway pour qu’il s’exécute dans les modes suivants :
- Mode de détection : Surveille et journalise toutes les alertes de menace. Vous activez l’enregistrement des diagnostics pour Application Gateway dans la section Diagnostics. Vous devez également vérifier que le journal WAF est sélectionné et activé. Un pare-feu d’applications web ne bloque pas les requêtes entrantes lorsqu’il fonctionne en mode de détection.
- Mode de prévention : Bloque les intrusions et les attaques détectées par les règles. L’attaquant reçoit une exception « 403 Accès non autorisé » et la connexion est fermée. Le mode de prévention enregistre de telles attaques dans les journaux WAF.
Notes
Nous vous recommandons d’exécuter un WAF nouvellement déployé en mode de détection pendant une courte période dans un environnement de production. Cela permet d’obtenir des journaux de pare-feu et de mettre à jour toutes les exceptions ou règles personnalisées avant de passer au mode de prévention. Cela permet également de réduire l’apparition de trafic bloqué inattendu.
Moteur WAF
Le moteur WAF est le composant qui inspecte le trafic et détecte si une demande contient une signature qui indique une attaque potentielle. Lorsque vous utilisez CRS 3.2 ou version ultérieure, votre pare-feu d’applications web exécute le nouveau moteur WAF, ce qui vous offre des performances plus élevées et un ensemble amélioré de fonctionnalités. Lorsque vous utilisez des versions antérieures du CRS, votre WAF s’exécute sur un moteur plus ancien. Les nouvelles fonctionnalités sont disponibles uniquement sur le nouveau moteur WAF.
Actions WAF
Vous pouvez choisir l’action que le WAF s’exécute lorsqu’une requête correspond à une condition de règle. Application Gateway prend en charge les actions suivantes :
- Autoriser : la requête passe par le WAF et est transférée au serveur principal. Aucune autre règle de priorité inférieure ne peut bloquer cette requête. Ces actions s’appliquent uniquement au jeu de règles Bot Manager. Ils ne s’appliquent pas au CRS.
- Bloquer : la requête est bloquée. Le pare-feu d’applications web envoie une réponse au client sans transférer la requête au serveur principal.
- Journal : la demande est consignée dans les journaux WAF. Le WAF continue d’évaluer les règles de priorité inférieure.
- Score d’anomalie : cette action est la valeur par défaut du CRS. Le score d’anomalie total est incrémenté lorsqu’une requête correspond à une règle avec cette action. Le scoring des anomalies ne s’applique pas à l’ensemble de règles Bot Manager.
Mode de scoring des anomalies
OWASP a deux modes pour décider s’il faut bloquer le trafic : le scoring traditionnel et d’anomalie.
En mode traditionnel, le trafic qui correspond à n’importe quelle règle est considéré indépendamment de toute autre correspondance de règle. Ce mode est facile à comprendre, mais le manque d’informations sur le nombre de règles correspondant à une demande spécifique est une limitation. Par conséquent, le mode de scoring d’anomalie a été introduit comme étant la valeur par défaut pour OWASP 3. x.
En mode de scoring d’anomalie, le trafic qui correspond à une règle n’est pas immédiatement bloqué lorsque le pare-feu est en mode de prévention. Les règles ont un niveau de gravité spécifique : Critique, Erreur, Avertissement ou Avis. Cette gravité affecte une valeur numérique pour la requête, qui est le score d’anomalie. Par exemple, une correspondance de règle Avertissement ajoute 3 au score. Une correspondance de règle Avertissement ajoute 5.
| severity | Valeur |
|---|---|
| Critique | 5 |
| Erreur | 4 |
| Avertissement | 3 |
| Avis | 2 |
Il existe un seuil de 5 pour que le score d’anomalie bloque le trafic. Par conséquent, une seule correspondance de règle critique est suffisante pour que le WAF Application Gateway bloque une demande en mode de prévention. Mais une seule correspondance de règle d’avertissement augmente le score d’anomalie de 3, ce qui n’est pas suffisant par lui-même pour bloquer le trafic.
Notes
Le message journalisé lorsqu’une règle WAF correspond au trafic inclut la valeur d’action Correspondance. Si le score d’anomalie total de toutes les règles correspondantes est égal à 5 ou supérieur et que la stratégie WAF s’exécute en mode de prévention, la requête déclenche une règle d’anomalie obligatoire avec la valeur d’action bloquée et la requête est arrêtée. Si la stratégie WAF s’exécute en mode de détection, la requête déclenche la valeur d’action détectée et la demande est enregistrée et transmise au serveur principal. Pour plus d’informations, consultez Comprendre les journaux WAF.
Paramétrage
Vous pouvez configurer et déployer toutes les stratégies WAF à l’aide du portail Azure, des API REST, des modèles Azure Resource Manager et d’Azure PowerShell. Vous pouvez également configurer et gérer des stratégies WAF à grande échelle à l’aide de l’intégration d’Azure Firewall Manager. Pour plus d’informations, consultez Configurer des stratégies WAF à l’aide d’Azure Firewall Manager.
Surveillance du pare-feu d’applications web
La surveillance de l’intégrité de votre passerelle d’application est importante. Vous pouvez l’atteindre en intégrant votre WAF (et les applications qu’il aide à protéger) avec Les journaux Microsoft Defender pour cloud, Azure Monitor et Azure Monitor.
Azure Monitor
Les journaux Application Gateway sont intégrés à Azure Monitor pour vous permettre de suivre les informations de diagnostic, notamment les alertes waf et les journaux. Vous pouvez accéder à cette fonctionnalité dans le portail Azure, sous l’onglet Diagnostics de la ressource Application Gateway. Vous pouvez également y accéder directement dans Azure Monitor.
Pour en savoir plus sur l’utilisation des journaux, consultez Journaux de diagnostic pour Application Gateway.
Microsoft Defender pour le cloud
Defender pour le cloud vous aide à prévenir les menaces, à les détecter et à y répondre. Il offre une visibilité accrue et un contrôle accrus sur la sécurité de vos ressources Azure. Application Gateway est intégré à Defender pour le cloud.
Defender pour le cloud analyse votre environnement pour détecter les applications web non protégées. Il peut recommander un pare-feu d’applications web Application Gateway pour protéger ces ressources vulnérables.
Vous créez les pare-feu directement à partir de Defender pour le cloud. Ces instances WAF sont intégrées à Defender pour le cloud. Elles envoient des alertes et des informations sur l’intégrité à Defender pour le cloud pour la création de rapports.
Microsoft Sentinel
Microsoft Sentinel est une solution native cloud évolutive qui englobe la gestion des événements d’information de sécurité (SIEM) et la réponse automatisée de l’orchestration de la sécurité (SOAR). Microsoft Sentinel fournit des analyses de sécurité intelligentes et des informations sur les menaces au sein de l’entreprise. Il fournit une solution unique pour la détection des alertes, la visibilité des menaces, la chasse proactive et la réponse aux menaces.
Avec le classeur d’événements de pare-feu intégré au pare-feu d’applications web Azure, vous pouvez obtenir une vue d’ensemble des événements de sécurité sur votre WAF. La vue d’ensemble inclut les règles mises en correspondance, les règles bloquées et toutes les autres activités de pare-feu journalisées.
Classeur Azure Monitor pour WAF
Le classeur Azure Monitor pour WAF permet une visualisation personnalisée des événements WAF pertinents en matière de sécurité dans plusieurs panneaux filtrables. Il fonctionne avec tous les types WAF, notamment Application Gateway, Azure Front Door et Azure Content Delivery Network.
Vous pouvez filtrer ce classeur en fonction du type WAF ou d’une instance WAF spécifique. Vous l’importez via un modèle ou un modèle de galerie Azure Resource Manager.
Pour déployer ce classeur, consultez le référentiel GitHub pour le pare-feu d’applications web Azure.
Journalisation
Le pare-feu d’applications web Application Gateway fournit des rapports détaillés sur chaque menace qu’il détecte. La journalisation est intégrée avec les journaux Azure Diagnostics. Les alertes sont enregistrées au format JSON. Vous pouvez intégrer ces journaux à Azure Monitor Logs.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "203.0.113.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
Tarification du pare-feu d’applications web Application Gateway
Les modèles tarifaires sont différents pour les versions WAF_v1 et WAF_v2. Pour plus d’informations, consultez la tarification d’Application Gateway.
Nouveautés
Pour découvrir les nouveautés du pare-feu d’applications web Azure, consultez Mises à jour Azure.