Tutoriel : configurer le pare-feu d’applications web Cloudflare avec l’ID externe Microsoft Entra
Dans ce tutoriel, découvrez comment configurer le pare-feu d’applications web Cloudflare (WAF Cloudflare) pour protéger votre organisation contre les attaques telles que le déni de service distribué (DDoS), les bots malveillants, les 10 principaux risques de sécurité d’OWASP (Open Worldwide Application Security Project), etc.
Prérequis
Pour commencer, vous avez besoin des éléments suivants :
- Locataire de l’ID externe Microsoft Entra
- Microsoft Azure Front Door (AFD)
- Compte Cloudflare avec WAF
Découvrez les locataires et la sécurisation des applications pour les consommateurs et les clients avec l’ID externe Microsoft Entra.
Description du scénario
- Locataire de l’ID externe Microsoft Entra : le fournisseur d’identité (IdP) et le serveur d’autorisation qui vérifie les informations d’identification de l’utilisateur avec des stratégies personnalisées définies pour le locataire.
- Azure Front Door : active des domaines d’URL personnalisés pour l’ID externe Microsoft Entra. Le trafic vers les domaines d’URL personnalisés passe par le WAF Cloudflare. Il accède ensuite à AFD, puis au locataire de l’ID externe Microsoft Entra.
- WAF Cloudflare : contrôles de sécurité pour protéger le trafic vers le serveur d’autorisation.
Utiliser des domaines d’URL personnalisés
La première étape consiste à activer des domaines personnalisés avec AFD. Suivez les instructions de la section Activer des domaines d’URL personnalisés pour les applications dans des locataires externes (préversion).
Créer un compte Cloudflare
- Accédez à Cloudflare.com/plans pour créer un compte.
- Pour activer WAF, sélectionnez Pro dans l’onglet Services d’application.
Configurer le serveur de noms de domaine (DNS)
Activez WAF pour un domaine.
Dans la console DNS, pour CNAME, activez le paramètre de proxy.
Sous DNS, pour Statut du proxy, sélectionnez Mandaté.
Le statut devient orange.
Contrôles de sécurité Cloudflare
Pour bénéficier d’une protection optimale, nous vous recommandons d’activer les contrôles de sécurité Cloudflare.
Protection DDoS
Accédez au tableau de bord de Cloudflare.
Développez la section Sécurité.
Sélectionnez DDoS.
Un message s’affiche.
Protection des bots
Accédez au tableau de bord de Cloudflare.
Développez la section Sécurité.
Sous Configurer le mode Super Bot Fight, pour définitivement automatisé, sélectionnez Bloquer.
Pour Probablement automatisé, sélectionnez Défi managé.
Pour Bots vérifiés, sélectionnez Autoriser.
Règles de pare-feu : trafic à partir du réseau Tor
Nous vous recommandons de bloquer le trafic provenant du réseau proxy Tor, sauf si votre organisation doit prendre en charge le trafic.
Remarque
Si vous ne pouvez pas bloquer le trafic Tor, sélectionnez Défi interactif, pas Bloquer.
Bloquer le trafic du réseau Tor
Accédez au tableau de bord de Cloudflare.
Développez la section Sécurité.
Sélectionnez WAF.
Sélectionnez Créer une règle.
Pour Nom de la règle, saisissez un nom pertinent.
Pour Si les demandes entrantes correspondent, pour Champ, sélectionnez Continent.
Pour Opérateur, sélectionnez Est égal à.
Pour Valeur, sélectionnez Tor.
Pour Effectuer ensuite l’action, sélectionnez Bloquer.
Pour Placer à, sélectionnez Premier.
Sélectionnez Déployer.
Remarque
Vous pouvez ajouter des pages HTML personnalisées pour les visiteurs.
Règles de pare-feu : trafic provenant de pays ou de régions
Nous avons recommandé des contrôles de sécurité stricts sur le trafic provenant de pays ou de régions où il est peu probable que des activités commerciales aient lieu, sauf si votre organisation a une raison commerciale de prendre en charge le trafic provenant de tous les pays ou de toutes les régions.
Remarque
Si vous ne pouvez pas bloquer le trafic à partir d’un pays ou d’une région, sélectionnez Défi interactif, et non Bloquer.
Bloquer le trafic provenant de pays ou de régions
Pour les instructions suivantes, vous pouvez ajouter des pages HTML personnalisées pour les visiteurs et visiteuses.
Accédez au tableau de bord de Cloudflare.
Développez la section Sécurité.
Sélectionnez WAF.
Sélectionnez Créer une règle.
Pour Nom de la règle, saisissez un nom pertinent.
Pour Si les demandes entrantes correspondent, pour Champ, sélectionnez Pays ou Continent.
Pour Opérateur, sélectionnez Est égal à.
Pour Valeur, sélectionnez le pays ou le continent à bloquer.
Pour Effectuer ensuite l’action, sélectionnez Bloquer.
Pour Placer à, sélectionnez Dernier.
Sélectionnez Déployer.
Jeux de règles OWASP et managés
Sélectionnez Règles managées.
Pour Jeu de règles managé Cloudflare, sélectionnez Activé.
Pour Jeu de règles de base OWASP Cloudflare, sélectionnez Activé.