Megosztás a következőn keresztül:

Mi az Azure Web Application Firewall az Azure Application Gateway-en?

  • Cikk

Az Azure Web Application Firewall (WAF) az Azure-alkalmazás Gatewayen aktívan védi a webalkalmazásokat a gyakori kihasználási módszerekkel és sebezhetőségekkel szemben. Mivel a webalkalmazások egyre gyakoribb célpontjai a rosszindulatú támadásoknak, ezek a támadások gyakran kihasználják a jól ismert biztonsági réseket, például az SQL-injektálást és a helyek közötti szkriptelést.

A WAF az Application Gatewayen az Open Web Application Security Project (OWASP) alapszabálykészletén (CRS) alapul.

Az alábbi WAF-funkciók mindegyike egy WAF-szabályzaton belül található. Több szabályzatot is létrehozhat, és hozzárendelheti őket egy Application Gatewayhez, az egyes figyelőkhöz vagy útvonalalapú útválasztási szabályokhoz egy Application Gatewayen, így szükség esetén külön szabályzatokat határozhat meg az Application Gateway mögötti webhelyekhez. A WAF-szabályzatokkal kapcsolatos további információkért lásd: Webalkalmazási tűzfalszabályzatok létrehozása az Application Gatewayhez.

Feljegyzés

Az Application Gateway a WAF termékváltozat két verziójával rendelkezik: az Application Gateway WAF_v1 és az Application Gateway WAF_v2. A WAF-házirend-társítások csak az Application Gateway WAF_v2 termékváltozat esetében támogatottak.

Az Application Gateway WAF-jének diagramja.

Az Application Gateway alkalmazáskézbesítési vezérlőként (ADC) működik. A Transport Layer Security (TLS), korábbi nevén Secure Sockets Layer (SSL), végpontként működik, támogatja a cookie-alapú munkamenet-affinitást, a körkörös terheléselosztást, a tartalomalapú útválasztást, több webhely üzemeltetését és a biztonsági fejlesztéseket.

Az Application Gateway a TLS-irányelvek kezelésével és a végpontok közötti TLS-támogatással javítja a biztonságot. A WAF Az Application Gatewaybe való integrálásával az alkalmazásbiztonságot alakítja ki. Ez a kombináció aktívan védi a webalkalmazásokat a gyakori biztonsági résekkel szemben, és központilag kezelhető, könnyen konfigurálható helyet kínál.

Előnyök

Ez a szakasz azOkat az alapvető előnyöket ismerteti, amelyeket a WAF az Application Gatewayen biztosít.

Védelem

  • A webalkalmazások védelme a webes biztonsági résekkel és támadásokkal szemben a háttérkód módosítása nélkül.

  • Egyszerre több webalkalmazás védelme. Az Application Gateway egy példánya legfeljebb 40 webhelyet üzemeltethet, amelyeket webalkalmazási tűzfal véd.

  • Hozzon létre egyéni WAF-szabályzatokat ugyanazon WAF mögötti különböző webhelyekhez.

  • Az IP-hírnév szabálykészlettel megvédheti webalkalmazásait a rosszindulatú robotoktól.

  • Az alkalmazás védelme a DDoS-támadásokkal szemben. További információ: Application DDoS Protection.

Figyelés

  • Valós idejű WAF-napló használatával monitorozza a webalkalmazások elleni támadásokat. A napló integrálva van az Azure Monitorral a WAF-riasztások nyomon követéséhez és a trendek egyszerű monitorozásához.

  • Az Application Gateway WAF integrálódik a Microsoft Defender for Cloud szolgáltatással. Defender for Cloud központi áttekintést nyújt az Azure-, hibrid és többfelhős környezetekben lévő erőforrások biztonsági állapotáról.

Testreszabás

  • Az alkalmazás követelményeinek megfelelően testre szabhatja a WAF-szabályokat és szabálycsoportokat, és kiküszöbölheti a hamis pozitívumokat.

  • WAF-szabályzat társítása a WAF mögötti összes webhelyhez a helyspecifikus konfiguráció engedélyezéséhez

  • Egyéni szabályok létrehozása az alkalmazás igényeinek megfelelően

Funkciók

  • SQL-injektálás elleni védelem.
  • Helyek közötti szkriptek védelme.
  • Védelem más gyakori webes támadásokkal szemben, például parancsinjektálással, HTTP-kérések csempészésével, HTTP-válasz felosztásával és távoli fájlbefoglalással szemben.
  • HTTP-protokollok megsértése elleni védelem.
  • A HTTP protokoll rendellenességei elleni védelem, mint például a hiányzó host, user-agent és accept fejlécek.
  • Védelem a webrobotok és szkennerek ellen.
  • Az alkalmazások gyakori hibás konfigurációinak (például Apache és IIS) észlelése.
  • Konfigurálható kérelemméretkorlátok alsó és felső határokkal.
  • A kizárási listák segítségével kihagyhat bizonyos kérésattribútumokat egy WAF-értékelésből. Gyakori példa az Active Directory által beillesztett jogkivonatok, amelyeket hitelesítéshez vagy jelszómezőkben használnak.
  • Egyéni szabályokat hozhat létre az alkalmazások egyedi igényeinek megfelelően.
  • Geoszűréssel szűrheti a forgalmat, hogy lehetővé tegye vagy letiltsa bizonyos országok/régiók számára az alkalmazásokhoz való hozzáférést.
  • Védje meg alkalmazásait a robotoktól a robotelhárító szabálykészlettel.
  • JSON és XML vizsgálata a kérelem törzsében

WAF-szabályzat és szabályok

Ha engedélyezni szeretné a webalkalmazási tűzfalat az Application Gatewayen, létre kell hoznia egy WAF-szabályzatot. Ez a szabályzat tartalmazza az összes felügyelt szabályt, egyéni szabályt, kizárást és egyéb testreszabást, például a fájlfeltöltési korlátot.

Konfigurálhat WAF-szabályzatot, és társíthatja ezt a házirendet egy vagy több alkalmazásátjáróhoz a védelem érdekében. A WAF-szabályzatok kétféle biztonsági szabályból állnak:

  • Létrehozott egyéni szabályok

  • Felügyelt szabálykészletek, amelyek az Azure által felügyelt előre konfigurált szabálykészletek gyűjteményei

Ha mindkettő jelen van, az egyéni szabályok feldolgozása a szabályok felügyelt szabálykészletben való feldolgozása előtt történik. A szabály egyezési feltételből, prioritásból és műveletből áll. A támogatott művelettípusok a következők: ENGEDÉLYEZÉS, BLOKK és LOG. Felügyelt és egyéni szabályok kombinálásával teljesen testre szabott szabályzatot hozhat létre, amely megfelel az adott alkalmazásvédelmi követelményeknek.

A szabályzaton belüli szabályok feldolgozása prioritási sorrendben történik. A prioritás egy egyedi egész szám, amely meghatározza a feldolgozandó szabályok sorrendjét. A kisebb egész szám nagyobb prioritást jelöl, és ezeket a szabályokat a rendszer a magasabb egész számmal rendelkező szabályok előtt értékeli ki. A szabály egyeztetése után a rendszer a szabályban definiált megfelelő műveletet alkalmazza a kérelemre. Az ilyen egyezés feldolgozása után az alacsonyabb prioritású szabályok nem kerülnek feldolgozásra.

Az Application Gateway által szállított webalkalmazásokhoz waF-szabályzat társítható globális szinten, helyenkénti szinten vagy URI-szinten.

Alapvető szabálykészletek

Az Application Gateway több szabálykészletet is támogat, például a CRS 3.2-t, a CRS 3.1-et és a CRS 3.0-t. Ezek a szabályok védik a webalkalmazásokat a rosszindulatú tevékenységektől. További információ: Webalkalmazási tűzfal DRS- és CRS-szabálycsoportjai és szabályai.

Egyéni szabályok

Az Application Gateway az egyéni szabályokat is támogatja. Egyéni szabályokkal saját szabályokat hozhat létre, amelyeket a rendszer kiértékel minden, a WAF-on keresztül áthaladó kéréshez. Ezek a szabályok magasabb prioritással rendelkeznek, mint a felügyelt szabálykészletek többi szabálya. Ha egy feltételkészlet teljesül, a rendszer műveletet hajt végre az engedélyezés vagy a letiltás érdekében. Az egyéni szabályokról további információt az Application Gateway egyéni szabályai című témakörben talál.

A geomatch operátor az egyéni szabályok számára már elérhető. További információt a Geomatch egyéni szabályaiban talál.

Robotvédelmi szabálykészlet

Engedélyezheti, hogy a felügyelt robotvédelmi szabálykészlet egyéni műveleteket hajtson végre az összes robotkategóriából érkező kéréseken.

Három robotkategória támogatott:

  • Rossz

    A hibás robotok rosszindulatú IP-címekkel és botokkal rendelkező robotok, amelyek meghamisították az identitásukat. A rossz botok olyan rosszindulatú IP-címeket tartalmaznak, amelyeket a Microsoft Threat Intelligence hírcsatorna magas bizalommal bíró IP-kompromittáló mutatói és IP-hírnevének forrásairól származtatnak. A hibás robotok olyan robotokat is tartalmaznak, amelyek jó robotként azonosítják magukat, de IP-címük nem tartozik a megbízható robotkiadókhoz.

  • A jó robotok megbízható felhasználói ügynökök. A jó robotszabályok több kategóriába vannak sorolva, hogy részletes vezérlést biztosítsanak a WAF-szabályzatok konfigurációja felett. Ezek a kategóriák a következők:

    • ellenőrzött keresőmotor-robotok (például Googlebot és Bingbot)
    • érvényesített hivatkozás-ellenőrző robotok
    • igazolt közösségimédia-robotok (például Facebookbot és LinkedInBot)
    • ellenőrzött hirdetési robotok
    • ellenőrzött tartalom ellenőrző robotok
    • validált különféle robotok

  • Ismeretlen

    Az ismeretlen robotok további ellenőrzés nélküli felhasználói ügynökök. Az ismeretlen robotok rosszindulatú IP-címeket is tartalmaznak, amelyek a Microsoft Threat Intelligence hírcsatorna közepes megbízhatóságú kompromittáltsági mutatóiból származnak.

A WAF platform aktívan kezeli és dinamikusan frissíti a robotok aláírását.

Ha a robotvédelem engedélyezve van, letiltja, engedélyezi vagy naplózza a robotszabályoknak megfelelő bejövő kéréseket a konfigurált művelet alapján. Letiltja a kártékony robotokat, engedélyezi az ellenőrzött keresőmotor-bejárókat, blokkolja az ismeretlen keresőmotorok bejáróit, és alapértelmezés szerint naplózza az ismeretlen robotokat. Egyéni műveleteket állíthat be különböző típusú robotok blokkolására, engedélyezésére vagy naplózására.

A WAF-naplókat egy tárfiókból, eseményközpontból, log analyticsből érheti el, vagy naplókat küldhet egy partnermegoldásnak.

További információ az Application Gateway robotvédelemről: Web Application Firewall on Application Gateway bot protection.

WAF-módok

Az Application Gateway WAF a következő két mód futtatására konfigurálható:

  • Észlelési mód: Figyeli és naplózza az összes fenyegetésriasztást. Az Application Gateway diagnosztikáinak naplózását a Diagnosztika szakaszban kapcsolhatja be. Azt is meg kell győződnie, hogy a WAF-napló ki van jelölve és be van kapcsolva. A webalkalmazási tűzfal nem blokkolja a bejövő kéréseket, ha észlelési módban működik.
  • Megelőzési mód: Blokkolja a szabályok által észlelt behatolásokat és támadásokat. A támadó "403 jogosulatlan hozzáférés" kivételt kap, és a kapcsolat lezárul. A megelőzési mód rögzíti az ilyen támadásokat a WAF-naplókban.

Feljegyzés

Javasoljuk, hogy egy újonnan üzembe helyezett WAF-ot rövid ideig észlelési módban futtasson egy produktív környezetben. Ezzel lehetővé teszi a tűzfalnaplók beszerzését és az esetleges kivételek vagy egyéni szabályok frissítését a megelőzési módra való áttérés előtt. Emellett segít csökkenteni a váratlan blokkolt forgalom előfordulását.

WAF-motor

A webalkalmazási tűzfal (WAF) motor az az összetevő, amely megvizsgálja a forgalmat, és észleli, hogy a kérés tartalmaz-e egy lehetséges támadást jelző aláírást. A CRS 3.2-es vagy újabb verziójának használatakor a webalkalmazási tűzfal az új WAF-motort futtatja, amely nagyobb teljesítményt és továbbfejlesztett funkciókat biztosít. A CRS korábbi verzióinak használatakor a WAF egy régebbi motoron fut. Az új funkciók csak az új Azure WAF-motoron érhetők el.

WAF-műveletek

Kiválaszthatja, hogy melyik műveletet futtatja a rendszer, ha egy kérelem megfelel egy szabályfeltételnek. A következő műveletek támogatottak:

  • Engedélyezés: A kérelem áthalad a WAF-on, és a háttérrendszerbe továbbítja. A kérést további alacsonyabb prioritású szabályok nem blokkolhatják. Az engedélyezési műveletek csak a Bot Manager-szabálykészletre vonatkoznak, és nem alkalmazhatók az alapvető szabálykészletre.
  • Blokk: A kérés le van tiltva, és a WAF választ küld az ügyfélnek anélkül, hogy továbbítanák a kérést a háttérrendszernek.
  • Napló: A kérelem a WAF-naplókban van naplózva, és a WAF továbbra is kiértékeli az alacsonyabb prioritású szabályokat.
  • Anomáliák pontszáma: A CRS-szabálykészlet alapértelmezett művelete, amelyben a teljes anomáliadetektáció-pontszám növekszik, ha egy ilyen műveletet tartalmazó szabály megfelel. Az anomáliapontozás nem alkalmazható a Bot Manager szabályrendszerére.

Anomália pontozási módja

Az OWASP-nek két módja van annak eldöntésére, hogy blokkolja-e a forgalmat: hagyományos mód és anomáliadetektálási mód.

A hagyományos módban a forgalom, amely bármelyik szabálynak megfelel, függetlenül van kezelve a többi szabály-egyezéstől. Ez a mód könnyen érthető. Az információ hiánya arról, hogy hány szabály vonatkozik egy adott kérésre, egy korlátozás. Az Anomália pontozási módot bevezették. Ez az alapértelmezett az OWASP 3 esetében.x.

Anomáliapontozási módban a szabálynak megfelelő forgalom nem lesz azonnal blokkolva, ha a tűzfal megelőzési módban van. A szabályok bizonyos súlyosságúak: kritikus, hiba, figyelmeztetés vagy értesítés. Ez a súlyosság hatással van a kérelem numerikus értékére, amelyet anomáliadetitási pontszámnak nevezünk. Egy figyelmeztető szabály egyezése például 3-mal járul hozzá a pontszámhoz. Egy kritikus szabályegyeztetés 5 pontot ér.

Súlyosság Érték
Kulcsfontosságú 5
Hiba 4
Figyelmeztetés 3
Értesítés 2

Az Anomaly Score küszöbértéke 5, ami a forgalom blokkolását eredményezi. Így egyetlen kritikus szabályegyeztetés elegendő ahhoz, hogy az Application Gateway WAF letiltsa a kéréseket megelőzési módban. Egy figyelmeztetési szabály egyezése azonban csak 3-tal növeli az anomáliapontot, ami önmagában nem elegendő a forgalom blokkolásához.

Feljegyzés

A WAF-szabály forgalomnak való megfeleltetésekor naplózott üzenet tartalmazza a "Megfeleltetve" műveletértéket. Ha az összes egyező szabály összes anomáliája 5 vagy annál nagyobb, és a WAF-szabályzat megelőzési módban fut, a kérés aktivál egy kötelező anomáliaszabályt a letiltott műveleti értékkel, és a kérés leáll. Ha azonban a WAF-szabályzat észlelési módban fut, a kérés aktiválja az Észlelt műveleti értéket, és a rendszer naplózza és továbbítja a kérést a háttérrendszernek. További információért lásd a Webalkalmazási tűzfal (WAF) hibaelhárítása az Azure Application Gateway számára című részt.

Konfiguráció

Az összes WAF-szabályzatot konfigurálhatja és üzembe helyezheti az Azure Portal, a REST API-k, az Azure Resource Manager-sablonok és az Azure PowerShell használatával. Az Azure WAF-szabályzatokat nagy méretekben is konfigurálhatja és kezelheti a Firewall Manager-integrációval. További információ: WAF-szabályzatok konfigurálása az Azure Firewall Managerrel.

WAF-figyelés

Az application gateway állapotának monitorozása fontos, és a WAF és az általa védett alkalmazások integrálásával érhető el a Microsoft Defender for Cloud, az Azure Monitor és az Azure Monitor naplóival.

Az Application Gateway WAF-diagnosztikáinak diagramja.

Azure Monitor

Az Application Gateway-naplók integrálva vannak az Azure Monitorral, így nyomon követheti a diagnosztikai információkat, beleértve a WAF-riasztásokat és a naplókat. Ezt a képességet az Application Gateway-erőforrás Diagnosztika lapján érheti el az Azure Portalon vagy közvetlenül az Azure Monitoron keresztül. A naplók engedélyezésével kapcsolatos további információkért tekintse meg az Application Gateway diagnosztikai naplóit.

Microsoft Defender for Cloud

Defender for Cloud segít megelőzni, észlelni és reagálni a fenyegetésekre. Nagyobb betekintést biztosít az Azure-erőforrások biztonságába és szabályozhatóvá teszi azokat. Az Application Gateway integrálva van a Defender for Cloud rendszerrel. A Defender for Cloud átvizsgálja a környezetét a nem védett webalkalmazások észleléséhez. Az Application Gateway WAF-et javasolhatja ezeknek a sebezhető erőforrásoknak a védelméhez. A tűzfalakat közvetlenül a Defender for Cloudból hozza létre. Ezek a WAF-példányok integrálva vannak a Defenderrel a Felhő számára. Riasztásokat és egészségügyi információkat küldenek a Defender for Cloudba jelentéskészítés céljából.

Microsoft Sentinel

A Microsoft Sentinel egy skálázható, natív felhőbeli, biztonsági információs eseménykezelési (SIEM) és biztonsági vezénylési automatizált válaszmegoldás (SOAR). A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalaton belül, egyetlen megoldást kínál a riasztások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a fenyegetéskezelésre.

A beépített Azure WAF tűzfalesemény-munkafüzettel áttekintést kaphat a WAF biztonsági eseményeiről, beleértve az eseményeket, a egyeztetett és letiltott szabályokat, valamint az összes többi naplózott tűzfaltevékenységet.

Azure Monitor-munkafüzet WAF-hez

A WAF-hez készült Azure Monitor-munkafüzet lehetővé teszi a biztonsági szempontból releváns WAF-események egyéni vizualizációját több szűrhető panelen. Minden WAF-típussal működik, beleértve az Application Gatewayt, a Front Doort és a CDN-t is, és WAF-típus vagy adott WAF-példány alapján szűrhető. Importálás ARM-sablonon vagy katalógussablonon keresztül. A munkafüzet üzembe helyezéséhez tekintse meg a WAF-munkafüzetet.

Naplózás

Az Application Gateway WAF részletes jelentést nyújt az észlelt fenyegetésekről. A naplózás integrálva van az Azure Diagnostics-naplókkal. A riasztások JSON formátumban vannak rögzítve. Ezek a naplók integrálhatók az Azure Monitor-naplókkal.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Application Gateway WAF – A termékváltozat díjszabása

A díjszabási modellek eltérnek a WAF_v1 és WAF_v2 termékváltozatok esetében. További információkért tekintse meg az Application Gateway díjszabását.

Újdonságok

Az Azure Web Application Firewall újdonságaiért tekintse meg az Azure-frissítéseket.

Kapcsolódó tartalom

  • További információ a WAF által felügyelt szabályokról
  • További információ az egyéni szabályokról
  • Tudnivalók az Azure Front Door webalkalmazási tűzfaláról
  • Az Azure hálózati biztonságának ismertetése