Partager via


Tutoriel : configurer le pare-feu d’applications web Cloudflare avec l’ID externe Microsoft Entra

Dans ce tutoriel, découvrez comment configurer le pare-feu d’applications web Cloudflare (WAF Cloudflare) pour protéger votre organisation contre les attaques telles que le déni de service distribué (DDoS), les bots malveillants, les 10 principaux risques de sécurité d’OWASP (Open Worldwide Application Security Project), etc.

Prérequis

Pour commencer, vous avez besoin des éléments suivants :

Découvrez les locataires et la sécurisation des applications pour les consommateurs et les clients avec l’ID externe Microsoft Entra.

Description du scénario

  • Locataire de l’ID externe Microsoft Entra : le fournisseur d’identité (IdP) et le serveur d’autorisation qui vérifie les informations d’identification de l’utilisateur avec des stratégies personnalisées définies pour le locataire.
  • Azure Front Door : active des domaines d’URL personnalisés pour l’ID externe Microsoft Entra. Le trafic vers les domaines d’URL personnalisés passe par le WAF Cloudflare. Il accède ensuite à AFD, puis au locataire de l’ID externe Microsoft Entra.
  • WAF Cloudflare : contrôles de sécurité pour protéger le trafic vers le serveur d’autorisation.

Utiliser des domaines d’URL personnalisés

La première étape consiste à activer des domaines personnalisés avec AFD. Suivez les instructions de la section Activer des domaines d’URL personnalisés pour les applications dans des locataires externes (préversion).

Créer un compte Cloudflare

  1. Accédez à Cloudflare.com/plans pour créer un compte.
  2. Pour activer WAF, sélectionnez Pro dans l’onglet Services d’application.

Configurer le serveur de noms de domaine (DNS)

Activez WAF pour un domaine.

  1. Dans la console DNS, pour CNAME, activez le paramètre de proxy.

    Capture d’écran des options CNAME.

  2. Sous DNS, pour Statut du proxy, sélectionnez Mandaté.

  3. Le statut devient orange.

    Capture d’écran de l’état En proxy.

Contrôles de sécurité Cloudflare

Pour bénéficier d’une protection optimale, nous vous recommandons d’activer les contrôles de sécurité Cloudflare.

Protection DDoS

  1. Accédez au tableau de bord de Cloudflare.

  2. Développez la section Sécurité.

  3. Sélectionnez DDoS.

  4. Un message s’affiche.

    Capture d’écran du message de protection DDoS.

Protection des bots

  1. Accédez au tableau de bord de Cloudflare.

  2. Développez la section Sécurité.

  3. Sous Configurer le mode Super Bot Fight, pour définitivement automatisé, sélectionnez Bloquer.

  4. Pour Probablement automatisé, sélectionnez Défi managé.

  5. Pour Bots vérifiés, sélectionnez Autoriser.

    Capture d’écran des options de protection bot.

Règles de pare-feu : trafic à partir du réseau Tor

Nous vous recommandons de bloquer le trafic provenant du réseau proxy Tor, sauf si votre organisation doit prendre en charge le trafic.

Remarque

Si vous ne pouvez pas bloquer le trafic Tor, sélectionnez Défi interactif, pas Bloquer.

Bloquer le trafic du réseau Tor

  1. Accédez au tableau de bord de Cloudflare.

  2. Développez la section Sécurité.

  3. Sélectionnez WAF.

  4. Sélectionnez Créer une règle.

  5. Pour Nom de la règle, saisissez un nom pertinent.

  6. Pour Si les demandes entrantes correspondent, pour Champ, sélectionnez Continent.

  7. Pour Opérateur, sélectionnez Est égal à.

  8. Pour Valeur, sélectionnez Tor.

  9. Pour Effectuer ensuite l’action, sélectionnez Bloquer.

  10. Pour Placer à, sélectionnez Premier.

  11. Sélectionnez Déployer.

    Capture d’écran de la boîte de dialogue Créer une règle.

Remarque

Vous pouvez ajouter des pages HTML personnalisées pour les visiteurs.

Règles de pare-feu : trafic provenant de pays ou de régions

Nous avons recommandé des contrôles de sécurité stricts sur le trafic provenant de pays ou de régions où il est peu probable que des activités commerciales aient lieu, sauf si votre organisation a une raison commerciale de prendre en charge le trafic provenant de tous les pays ou de toutes les régions.

Remarque

Si vous ne pouvez pas bloquer le trafic à partir d’un pays ou d’une région, sélectionnez Défi interactif, et non Bloquer.

Bloquer le trafic provenant de pays ou de régions

Pour les instructions suivantes, vous pouvez ajouter des pages HTML personnalisées pour les visiteurs et visiteuses.

  1. Accédez au tableau de bord de Cloudflare.

  2. Développez la section Sécurité.

  3. Sélectionnez WAF.

  4. Sélectionnez Créer une règle.

  5. Pour Nom de la règle, saisissez un nom pertinent.

  6. Pour Si les demandes entrantes correspondent, pour Champ, sélectionnez Pays ou Continent.

  7. Pour Opérateur, sélectionnez Est égal à.

  8. Pour Valeur, sélectionnez le pays ou le continent à bloquer.

  9. Pour Effectuer ensuite l’action, sélectionnez Bloquer.

  10. Pour Placer à, sélectionnez Dernier.

  11. Sélectionnez Déployer.

    Capture d’écran du champ Nom dans la boîte de dialogue Créer une règle.

Jeux de règles OWASP et managés

  1. Sélectionnez Règles managées.

  2. Pour Jeu de règles managé Cloudflare, sélectionnez Activé.

  3. Pour Jeu de règles de base OWASP Cloudflare, sélectionnez Activé.

    Capture d’écran des jeux de règles.

Étapes suivantes