Ajánlott eljárások az Azure Web Application Firewallhoz az Azure Front Doorban

Ez a cikk az Azure Web Application Firewall Azure Front Doorban való használatának ajánlott eljárásait foglalja össze.

Általános ajánlott eljárások

Ez a szakasz az általános ajánlott eljárásokat ismerteti.

WAF engedélyezése

Internetes alkalmazások esetén javasoljuk, hogy engedélyezze a webalkalmazási tűzfalat (WAF), és konfigurálja a felügyelt szabályok használatára. HA WAF- és Microsoft által felügyelt szabályokat használ, az alkalmazás számos támadástól védve lesz.

A WAF finomhangolása

A WAF-ben lévő szabályokat a számítási feladathoz kell hangolni. Ha nem hangolja a WAF-et, előfordulhat, hogy véletlenül letiltja azokat a kéréseket, amelyeket engedélyezni kell. A hangolás során szabálykizárásokat hozhat létre a hamis pozitív észlelések csökkentése érdekében.

A WAF hangolása közben fontolja meg az észlelési mód használatát. Ez a mód naplózza a kéréseket és a WAF által általában végrehajtott műveleteket, de valójában nem blokkolja a forgalmat.

További információ: Azure Web Application Firewall hangolása az Azure Front Doorhoz.

Megelőzési mód használata

A WAF hangolása után konfigurálja úgy, hogy megelőzési módban fusson. A megelőzési módban való futtatással győződjön meg arról, hogy a WAF blokkolja az észlelt kérelmek rosszindulatúak. Az észlelési módban való futtatás hasznos a WAF finomhangolása és konfigurálása során, de nem nyújt védelmet.

A WAF-konfiguráció definiálása kódként

Amikor beállítja a WAF-et az alkalmazás számítási feladataihoz, általában szabálykizárásokat hoz létre a hamis pozitív észlelések csökkentése érdekében. Ha manuálisan konfigurálja ezeket a kizárásokat az Azure Portal használatával, a WAF újabb szabálykészletű verzió használatára való frissítésekor újra kell konfigurálnia ugyanazokat a kivételeket az új szabálykészlet-verzióval szemben. Ez a folyamat időigényes lehet, és a hiba hajlamos lehet.

Ehelyett érdemes lehet definiálni a WAF-szabályok kizárásait és más konfigurációkat kódként, például az Azure CLI, az Azure PowerShell, a Bicep vagy a Terraform használatával. Ha frissítenie kell a WAF-szabálykészlet verzióját, egyszerűen újra felhasználhatja ugyanazokat a kizárásokat.

Felügyelt szabálykészlet – ajánlott eljárások

Ez a szakasz a szabálykészletek ajánlott eljárásait ismerteti.

Alapértelmezett szabálykészletek engedélyezése

A Microsoft alapértelmezett szabálykészletei úgy vannak kialakítva, hogy védelmet nyújtsanak az alkalmazásnak a gyakori támadások észlelésével és blokkolásával. A szabályok különböző forrásokon alapulnak, beleértve az OWASP 10 leggyakoribb támadástípusát és a Microsoft Threat Intelligence információinak használatát.

További információ: Azure által felügyelt szabálykészletek.

Robotkezelési szabályok engedélyezése

A robotok felelősek a webalkalmazások felé irányuló forgalom jelentős hányadáért. A WAF robotvédelmi szabálykészlete kategorizálja a robotokat attól függően, hogy jóak, rosszak vagy ismeretlenek-e. A hibás robotok ezután blokkolhatók, míg a jó robotok, például a keresőmotor-bejárók átjuthatnak az alkalmazásba.

További információ: Robotvédelmi szabálykészlet.

A legújabb szabálykészlet-verziók használata

A Microsoft rendszeresen frissíti a felügyelt szabályokat, hogy figyelembe vegye az aktuális fenyegetési környezetet. Győződjön meg arról, hogy rendszeresen ellenőrzi az Azure által felügyelt szabálykészletek frissítéseit.

További információ: Azure Web Application Firewall DRS-szabálycsoportok és szabályok.

Ajánlott sebességkorlátozási eljárások

Ez a szakasz a sebességkorlátozás ajánlott eljárásait ismerteti.

Sebességkorlátozás hozzáadása

Az Azure Front Door WAF lehetővé teszi az egyes ügyfelek IP-címéről engedélyezett kérések számának szabályozását egy adott időszakban. Ajánlott sebességkorlátozást hozzáadni, hogy csökkentse az ügyfelek véletlen vagy szándékosan nagy mennyiségű forgalmat küldenek a szolgáltatásba, például egy újrapróbálkozási vihar során.

További információkat találhat az alábbi forrásokban:

• Mi az Azure Front Door sebességkorlátozása?
• Az Azure Web Application Firewall sebességkorlátozási szabályának konfigurálása az Azure PowerShell használatával.
• Miért kerülnek át a háttérkiszolgálómra a sebességkorlát-szabályhoz konfigurált küszöbérték feletti további kérések?

Magas küszöbérték használata a sebességkorlátokhoz

Általában célszerű magasra állítani a sebességkorlát küszöbértékét. Ha például tudja, hogy egy ügyfél IP-címe percenként körülbelül 10 kérést küldhet a kiszolgálónak, fontolja meg a percenkénti 20 kérés küszöbértékének megadását.

A magas sebességkorlátozási küszöbértékek elkerülik a jogszerű forgalom blokkolását. Ezek a küszöbértékek továbbra is védelmet nyújtanak a nagyon sok kérés ellen, amelyek túlterhelhetik az infrastruktúrát.

Ajánlott geoszűrési eljárások

Ez a szakasz a geoszűrés ajánlott eljárásait ismerteti.

Adatforgalom földrajzi szűrése

Számos webalkalmazást egy adott földrajzi régióban lévő felhasználók számára terveztek. Ha ez a helyzet az alkalmazásra vonatkozik, fontolja meg a geoszűrés implementálását azon országokon vagy régiókon kívülről érkező kérések blokkolására, amelyektől a forgalom várhatóan érkezni fog.

További információ: Mi a geoszűrés az Azure Front Door tartományán?

Adja meg az ismeretlen (ZZ) helyet

Egyes IP-címek nincsenek leképezve az adathalmazban lévő helyekre. Ha egy IP-cím nem rendelhető hozzá egy helyhez, a WAF hozzárendeli a forgalmat az ismeretlen (ZZ) országhoz vagy régióhoz. Az ip-címekről érkező érvényes kérések blokkolásának elkerülése érdekében fontolja meg az ismeretlen (ZZ) ország vagy régió engedélyezését a geoszűrőn keresztül.

További információ: Mi a geoszűrés az Azure Front Door tartományán?

Naplózás

Ez a szakasz a naplózást ismerteti.

Diagnosztikai beállítások hozzáadása a WAF naplóinak mentéséhez

Az Azure Front Door WAF integrálható az Azure Monitorral. Fontos, hogy a WAF-naplókat egy olyan helyre mentse, mint a Log Analytics. Rendszeresen tekintse át a WAF-naplókat. A naplók áttekintése segít a WAF-szabályzatok finomhangolásában a hamis pozitív észlelések csökkentése és annak megértése érdekében, hogy az alkalmazás támadások tárgyát képezte-e.

További információ: Azure Web Application Firewall monitorozás és naplózás.

Naplók küldése a Microsoft Sentinelnek

A Microsoft Sentinel egy biztonsági információ- és eseménykezelő (SIEM) rendszer, amely naplókat és adatokat importál több forrásból a webalkalmazás és az általános Azure-környezet fenyegetési környezetének megértéséhez. Az Azure Front Door WAF-naplóit importálni kell a Microsoft Sentinelbe vagy egy másik SIEM-be, hogy az internetkapcsolattal rendelkező tulajdonságok szerepelni fognak az elemzésben. A Microsoft Sentinel esetében az Azure WAF-összekötő használatával egyszerűen importálhatja WAF-naplóit.

További információ: A Microsoft Sentinel használata az Azure Web Application Firewall használatával.

Következő lépések

Megtudhatja, hogyan hozhat létre Azure Front Door WAF-szabályzatot.