Ajánlott eljárások az Azure Web Application Firewallhoz az Azure Front Doorban
Ez a cikk az Azure Web Application Firewall Azure Front Doorban való használatának ajánlott eljárásait foglalja össze.
Általános ajánlott eljárások
Ez a szakasz az általános ajánlott eljárásokat ismerteti.
WAF engedélyezése
Internetes alkalmazások esetén javasoljuk, hogy engedélyezze a webalkalmazási tűzfalat (WAF), és konfigurálja a felügyelt szabályok használatára. HA WAF- és Microsoft által felügyelt szabályokat használ, az alkalmazás számos támadástól védve lesz.
A WAF finomhangolása
A WAF-ben lévő szabályokat a számítási feladathoz kell hangolni. Ha nem hangolja a WAF-et, előfordulhat, hogy véletlenül letiltja azokat a kéréseket, amelyeket engedélyezni kell. A hangolás során szabálykizárásokat hozhat létre a hamis pozitív észlelések csökkentése érdekében.
A WAF hangolása közben fontolja meg az észlelési mód használatát. Ez a mód naplózza a kéréseket és a WAF által általában végrehajtott műveleteket, de valójában nem blokkolja a forgalmat.
További információ: Azure Web Application Firewall hangolása az Azure Front Doorhoz.
Megelőzési mód használata
A WAF hangolása után konfigurálja úgy, hogy megelőzési módban fusson. A megelőzési módban való futtatással győződjön meg arról, hogy a WAF blokkolja az észlelt kérelmek rosszindulatúak. Az észlelési módban való futtatás hasznos a WAF finomhangolása és konfigurálása során, de nem nyújt védelmet.
A WAF-konfiguráció definiálása kódként
Amikor beállítja a WAF-et az alkalmazás számítási feladataihoz, általában szabálykizárásokat hoz létre a hamis pozitív észlelések csökkentése érdekében. Ha manuálisan konfigurálja ezeket a kizárásokat az Azure Portal használatával, a WAF újabb szabálykészletű verzió használatára való frissítésekor újra kell konfigurálnia ugyanazokat a kivételeket az új szabálykészlet-verzióval szemben. Ez a folyamat időigényes lehet, és a hiba hajlamos lehet.
Ehelyett érdemes lehet definiálni a WAF-szabályok kizárásait és más konfigurációkat kódként, például az Azure CLI, az Azure PowerShell, a Bicep vagy a Terraform használatával. Ha frissítenie kell a WAF-szabálykészlet verzióját, egyszerűen újra felhasználhatja ugyanazokat a kizárásokat.
Felügyelt szabálykészlet – ajánlott eljárások
Ez a szakasz a szabálykészletek ajánlott eljárásait ismerteti.
Alapértelmezett szabálykészletek engedélyezése
A Microsoft alapértelmezett szabálykészletei úgy vannak kialakítva, hogy védelmet nyújtsanak az alkalmazásnak a gyakori támadások észlelésével és blokkolásával. A szabályok különböző forrásokon alapulnak, beleértve az OWASP 10 leggyakoribb támadástípusát és a Microsoft Threat Intelligence információinak használatát.
További információ: Azure által felügyelt szabálykészletek.
Robotkezelési szabályok engedélyezése
A robotok felelősek a webalkalmazások felé irányuló forgalom jelentős hányadáért. A WAF robotvédelmi szabálykészlete kategorizálja a robotokat attól függően, hogy jóak, rosszak vagy ismeretlenek-e. A hibás robotok ezután blokkolhatók, míg a jó robotok, például a keresőmotor-bejárók átjuthatnak az alkalmazásba.
További információ: Robotvédelmi szabálykészlet.
A legújabb szabálykészlet-verziók használata
A Microsoft rendszeresen frissíti a felügyelt szabályokat, hogy figyelembe vegye az aktuális fenyegetési környezetet. Győződjön meg arról, hogy rendszeresen ellenőrzi az Azure által felügyelt szabálykészletek frissítéseit.
További információ: Azure Web Application Firewall DRS-szabálycsoportok és szabályok.
Ajánlott sebességkorlátozási eljárások
Ez a szakasz a sebességkorlátozás ajánlott eljárásait ismerteti.
Sebességkorlátozás hozzáadása
Az Azure Front Door WAF lehetővé teszi az egyes ügyfelek IP-címéről engedélyezett kérések számának szabályozását egy adott időszakban. Ajánlott sebességkorlátozást hozzáadni, hogy csökkentse az ügyfelek véletlen vagy szándékosan nagy mennyiségű forgalmat küldenek a szolgáltatásba, például egy újrapróbálkozási vihar során.
További információkat találhat az alábbi forrásokban:
- Mi az Azure Front Door sebességkorlátozása?
- Az Azure Web Application Firewall sebességkorlátozási szabályának konfigurálása az Azure PowerShell használatával.
- Miért kerülnek át a háttérkiszolgálómra a sebességkorlát-szabályhoz konfigurált küszöbérték feletti további kérések?
Magas küszöbérték használata a sebességkorlátokhoz
Általában célszerű magasra állítani a sebességkorlát küszöbértékét. Ha például tudja, hogy egy ügyfél IP-címe percenként körülbelül 10 kérést küldhet a kiszolgálónak, fontolja meg a percenkénti 20 kérés küszöbértékének megadását.
A magas sebességkorlátozási küszöbértékek elkerülik a jogszerű forgalom blokkolását. Ezek a küszöbértékek továbbra is védelmet nyújtanak a nagyon sok kérés ellen, amelyek túlterhelhetik az infrastruktúrát.
Ajánlott geoszűrési eljárások
Ez a szakasz a geoszűrés ajánlott eljárásait ismerteti.
Adatforgalom földrajzi szűrése
Számos webalkalmazást egy adott földrajzi régióban lévő felhasználók számára terveztek. Ha ez a helyzet az alkalmazásra vonatkozik, fontolja meg a geoszűrés implementálását azon országokon vagy régiókon kívülről érkező kérések blokkolására, amelyektől a forgalom várhatóan érkezni fog.
További információ: Mi a geoszűrés az Azure Front Door tartományán?
Adja meg az ismeretlen (ZZ) helyet
Egyes IP-címek nincsenek leképezve az adathalmazban lévő helyekre. Ha egy IP-cím nem rendelhető hozzá egy helyhez, a WAF hozzárendeli a forgalmat az ismeretlen (ZZ) országhoz vagy régióhoz. Az ip-címekről érkező érvényes kérések blokkolásának elkerülése érdekében fontolja meg az ismeretlen (ZZ) ország vagy régió engedélyezését a geoszűrőn keresztül.
További információ: Mi a geoszűrés az Azure Front Door tartományán?
Naplózás
Ez a szakasz a naplózást ismerteti.
Diagnosztikai beállítások hozzáadása a WAF naplóinak mentéséhez
Az Azure Front Door WAF integrálható az Azure Monitorral. Fontos, hogy a WAF-naplókat egy olyan helyre mentse, mint a Log Analytics. Rendszeresen tekintse át a WAF-naplókat. A naplók áttekintése segít a WAF-szabályzatok finomhangolásában a hamis pozitív észlelések csökkentése és annak megértése érdekében, hogy az alkalmazás támadások tárgyát képezte-e.
További információ: Azure Web Application Firewall monitorozás és naplózás.
Naplók küldése a Microsoft Sentinelnek
A Microsoft Sentinel egy biztonsági információ- és eseménykezelő (SIEM) rendszer, amely naplókat és adatokat importál több forrásból a webalkalmazás és az általános Azure-környezet fenyegetési környezetének megértéséhez. Az Azure Front Door WAF-naplóit importálni kell a Microsoft Sentinelbe vagy egy másik SIEM-be, hogy az internetkapcsolattal rendelkező tulajdonságok szerepelni fognak az elemzésben. A Microsoft Sentinel esetében az Azure WAF-összekötő használatával egyszerűen importálhatja WAF-naplóit.
További információ: A Microsoft Sentinel használata az Azure Web Application Firewall használatával.
Következő lépések
Megtudhatja, hogyan hozhat létre Azure Front Door WAF-szabályzatot.