Mi az az Azure Web Application Firewall a Azure Application Gateway?

Az Azure Web Application Firewall (WAF) a Azure Application Gateway központi védelmet nyújt a webalkalmazásoknak a gyakori biztonsági résekkel és biztonsági résekkel szembeni ellen. A webalkalmazásokat egyre több rosszindulatú támadás éri, amelyek kihasználják a gyakran ismert biztonsági réseket. Az SQL-injektálás és a helyek közötti szkriptelés a leggyakoribb támadások közé tartozik.

A WAF a Application Gateway az Open Web Application Security Project (OWASP) alapvető szabálykészletén (CRS) alapul.

Az alább felsorolt WAF-funkciók mindegyike egy WAF-szabályzatban található. Több szabályzatot is létrehozhat, amelyek társíthatók egy Application Gateway, az egyes figyelőkhöz vagy egy Application Gateway útvonalalapú útválasztási szabályaihoz. Így szükség esetén külön szabályzatokkal rendelkezhet a Application Gateway mögötti webhelyekhez. A WAF-szabályzatokkal kapcsolatos további információkért lásd: WAF-szabályzat létrehozása.

Megjegyzés

Application Gateway a WAF termékváltozatának két verziója van: Application Gateway WAF_v1 és Application Gateway WAF_v2. A WAF-szabályzattársítások csak a Application Gateway WAF_v2 termékváltozathoz támogatottak.

WAF-diagram Application Gateway

Application Gateway alkalmazáskézbesítési vezérlőként (ADC) működik. Transport Layer Security (TLS), korábbi nevén Secure Sockets Layer (SSL), leállítás, cookie-alapú munkamenet-affinitás, ciklikus időszeleteléses terheléselosztás, tartalomalapú útválasztás, több webhely üzemeltetésének képessége és biztonsági fejlesztések.

Application Gateway biztonsági fejlesztések közé tartozik a TLS-szabályzatkezelés és a végpontok közötti TLS-támogatás. Az alkalmazásbiztonságot a WAF Application Gateway való integrációja erősíti. Ez a kombináció megvédi a webalkalmazásokat a gyakori biztonsági résekkel szemben. És könnyen konfigurálható központi helyet biztosít a kezeléshez.

Előnyök

Ez a szakasz a WAF által a Application Gateway nyújtott alapvető előnyöket ismerteti.

Védelem

  • A webalkalmazások védelme a webes biztonsági résekkel és támadásokkal szemben a háttérkód módosítása nélkül.

  • Egyszerre több webalkalmazás védelme. A Application Gateway egy példánya legfeljebb 40 webhelyet üzemeltethet, amelyeket webalkalmazási tűzfal véd.

  • Hozzon létre egyéni WAF-szabályzatokat ugyanazon WAF mögött található különböző webhelyekhez.

  • A webalkalmazások védelme a rosszindulatú robotokkal szemben az IP-hírnév szabálykészletével.

  • Az alkalmazás védelme a DDoS-támadásokkal szemben. További információ: Application DDoS Protection.

Figyelés

  • Valós idejű WAF-napló használatával monitorozza a webalkalmazások elleni támadásokat. A napló integrálva van az Azure Monitorral a WAF-riasztások nyomon követéséhez és a trendek egyszerű monitorozásához.

  • A Application Gateway WAF integrálva van a Microsoft Defender for Cloud szolgáltatással. A Defender for Cloud központi nézetet biztosít az összes Azure-, hibrid és többfelhős erőforrás biztonsági állapotáról.

Testreszabás

  • Testre szabhatja a WAF-szabályokat és szabálycsoportokat az alkalmazás követelményeinek megfelelően, és kiküszöbölheti a téves pozitívumokat.

  • WAF-szabályzat társítása a WAF mögötti webhelyekhez a helyspecifikus konfiguráció engedélyezéséhez

  • Egyéni szabályok létrehozása az alkalmazás igényeinek megfelelően

Funkciók

  • SQL-injektálás elleni védelem.
  • Helyek közötti parancsfájl-védelem.
  • Védelem más gyakori webes támadásokkal szemben, például parancsinjektálás, HTTP-kérések csempészése, HTTP-válasz felosztása és távoli fájlbefoglalás.
  • A HTTP-protokollok megsértése elleni védelem.
  • Védelem a HTTP protokoll rendellenességei ellen, például hiányzó gazdagépfelhasználó-ügynök és fejlécek elfogadása.
  • Védelem a bejárók és szkennerek ellen.
  • Gyakori alkalmazáskonfigurálások észlelése (például Apache és IIS).
  • Konfigurálható kérelmek méretkorlátjai alsó és felső határokkal.
  • A kizárási listák segítségével kihagyhat bizonyos kérésattribútumokat egy WAF-értékelésből. Gyakori példa a hitelesítéshez vagy jelszómezőkhöz használt Active Directory-beszúrt jogkivonatok.
  • Egyéni szabályokat hozhat létre az alkalmazások adott igényeinek megfelelően.
  • A forgalom geoszűrésével engedélyezheti vagy letilthatja bizonyos országok/régiók hozzáférését az alkalmazásokhoz.
  • A robotvédelmi szabálykészlettel megvédheti az alkalmazásokat a robotoktól.
  • JSON és XML vizsgálata a kérelem törzsében

WAF-szabályzat és szabályok

A Application Gateway Web Application Firewall engedélyezéséhez létre kell hoznia egy WAF-szabályzatot. Ez a szabályzat tartalmazza az összes felügyelt szabályt, egyéni szabályt, kivételt és egyéb testreszabást, például a fájlfeltöltési korlátot.

Konfigurálhat EGY WAF-szabályzatot, és társíthatja ezt a szabályzatot egy vagy több alkalmazásátjáróhoz védelem céljából. A WAF-szabályzatok kétféle biztonsági szabályból állhatnak:

  • Létrehozott egyéni szabályok

  • Felügyelt szabálykészletek, amelyek az Azure által felügyelt, előre konfigurált szabálykészletek gyűjteményei

Ha mindkettő jelen van, az egyéni szabályok feldolgozása a szabályok felügyelt szabálykészletben való feldolgozása előtt történik. A szabály egyeztetési feltételből, prioritásból és műveletből áll. A támogatott művelettípusok a következők: ENGEDÉLYEZÉS, BLOKK és NAPLÓ. A felügyelt és az egyéni szabályok kombinálásával létrehozhat egy teljesen testre szabott szabályzatot, amely megfelel az adott alkalmazásvédelmi követelményeknek.

A szabályzaton belüli szabályok feldolgozása prioritási sorrendben történik. A prioritás egy egyedi egész szám, amely meghatározza a feldolgozandó szabályok sorrendjét. A kisebb egész szám magasabb prioritást jelöl, és a szabályok kiértékelése a magasabb egész számmal rendelkező szabályok előtt történik. A szabály egyeztetése után a szabályban definiált megfelelő művelet lesz alkalmazva a kérelemre. Az ilyen egyezés feldolgozása után az alacsonyabb prioritású szabályok feldolgozása nem történik meg tovább.

A Application Gateway által szállított webalkalmazásokhoz waf-szabályzat társítható globális szinten, webhelyenként vagy URI-szinten.

Alapvető szabálykészletek

Application Gateway több szabálykészletet is támogat, például a CRS 3.2-t, a CRS 3.1-et és a CRS 3.0-t. Ezek a szabályok megvédik a webalkalmazásokat a rosszindulatú tevékenységektől.

További információ: Webalkalmazási tűzfal CRS-szabálycsoportjai és szabályai.

Egyéni szabályok

Application Gateway egyéni szabályokat is támogat. Egyéni szabályokkal létrehozhat saját szabályokat, amelyeket a WAF-on keresztül áthaladó összes kérelem kiértékel. Ezek a szabályok magasabb prioritással rendelkeznek, mint a felügyelt szabálykészletek többi szabálya. Ha a feltételek teljesülnek, a rendszer műveletet hajt végre az engedélyezés vagy a letiltás érdekében.

A geomatch operátor mostantól elérhető az egyéni szabályokhoz. További információt a geomatch egyéni szabályok című témakörben talál.

Az egyéni szabályokkal kapcsolatos további információkért lásd: Egyéni szabályok Application Gateway.

Robotvédelmi szabálykészlet

Engedélyezheti, hogy egy felügyelt robotvédelmi szabálykészlet egyéni műveleteket hajtson végre az összes robotkategória kérései alapján.

Három robotkategória támogatott:

  • Rossz

    A hibás robotok közé tartoznak a rosszindulatú IP-címekről származó robotok és az identitásukat meghamisított robotok. A rosszindulatú IP-címekkel rendelkező hibás robotok a Microsoft Threat Intelligence-hírcsatorna magas megbízhatósági IP-címmutatóiból származnak.

  • A jó robotok közé tartoznak az ellenőrzött keresőmotorok, például a Googlebot, a bingbot és más megbízható felhasználói ügynökök.

  • Ismeretlen

    Az ismeretlen robotok besorolása közzétett felhasználói ügynökökkel történik további ellenőrzés nélkül. Ilyen például a piacelemző, a hírcsatorna-leolvasó és az adatgyűjtési ügynökök. Az ismeretlen robotok olyan rosszindulatú IP-címeket is tartalmaznak, amelyek a Microsoft Threat Intelligence-hírcsatorna közepes megbízhatósági IP-mutatóiból származnak.

A ROBOT-aláírásokat a WAF-platform kezeli és dinamikusan frissíti.

Képernyőkép a robotszabálykészletről.

A Microsoft_BotManagerRuleSet_1.0 hozzárendeléséhez használja a Felügyelt szabálykészletek területen található Hozzárendelés lehetőséget:

Képernyőkép a felügyelt szabálykészletek hozzárendeléséről.

Ha a robotvédelem engedélyezve van, a robotszabályoknak megfelelő bejövő kérések a konfigurált művelet alapján le lesznek tiltva, engedélyezve vagy naplózva. A rosszindulatú robotok le vannak tiltva, engedélyezettek az ellenőrzött keresőmotor-bejárók, az ismeretlen keresőmotor-bejárók le vannak tiltva, és az ismeretlen robotok naplózása alapértelmezés szerint megtörténik. Egyéni műveleteket állíthat be különböző típusú robotok blokkolására, engedélyezésére vagy naplózására.

Elérheti a WAF-naplókat egy tárfiókból, eseményközpontból, naplóelemzésből, vagy naplókat küldhet egy partnermegoldásnak.

WAF-módok

A Application Gateway WAF konfigurálható úgy, hogy a következő két módban fusson:

  • Észlelési mód: Figyeli és naplózza az összes fenyegetésriasztást. A diagnosztikát a Diagnosztika szakaszban kapcsolhatja be Application Gateway. Azt is meg kell győződnie, hogy a WAF-napló ki van jelölve, és be van kapcsolva. A webalkalmazási tűzfal nem blokkolja a bejövő kéréseket, ha észlelési módban működik.
  • Megelőzési mód: Blokkolja a szabályok által észlelt behatolásokat és támadásokat. A támadó "403 jogosulatlan hozzáférés" kivételt kap, és a kapcsolat lezárult. A megelőzési mód rögzíti az ilyen támadásokat a WAF-naplókban.

Megjegyzés

Javasoljuk, hogy éles környezetben rövid ideig futtasson egy újonnan üzembe helyezett WAF-ot észlelési módban. Ez lehetővé teszi a tűzfalnaplók beszerzését és a kivételek vagy egyéni szabályok frissítését a megelőzési módra való áttérés előtt. Ez segíthet csökkenteni a váratlan blokkolt forgalom előfordulását.

WAF-motorok

Az Azure webalkalmazási tűzfal (WAF) motorja az az összetevő, amely megvizsgálja a forgalmat, és meghatározza, hogy a kérés tartalmaz-e egy lehetséges támadást jelképező aláírást. A CRS 3.2 vagy újabb verziójának használatakor a WAF az új WAF-motort futtatja, amely nagyobb teljesítményt és továbbfejlesztett funkciókat biztosít. A CRS korábbi verzióinak használatakor a WAF egy régebbi motoron fut. Az új funkciók csak az új Azure WAF-motoron lesznek elérhetők.

WAF-műveletek

A WAF-ügyfelek kiválaszthatják, hogy melyik műveletet futtatják, ha egy kérelem megfelel egy szabályfeltételnek. Alább látható a támogatott műveletek listája.

  • Engedélyezés: A kérelem áthalad a WAF-on, és a háttérrendszerbe továbbítja. A kérést további alacsonyabb prioritású szabályok nem blokkolhatják. Az engedélyezési műveletek csak a Bot Manager-szabálykészletre vonatkoznak, és nem alkalmazhatók az alapvető szabálykészletre.
  • Blokk: A kérés le van tiltva, és a WAF választ küld az ügyfélnek anélkül, hogy a kérést a háttérrendszerbe továbbítanák.
  • Napló: A kérés a WAF-naplókba van naplózva, és a WAF továbbra is kiértékeli az alacsonyabb prioritású szabályokat.
  • Anomáliák pontszáma: Ez a CRS-szabálykészlet alapértelmezett művelete, ahol a rendszer az ezzel a művelettel rendelkező szabály megfeleltetésekor növeli a teljes anomáliapontot. Az anomália-pontozás nem alkalmazható a Bot Manager-szabálykészletre.

Anomáliák pontozási módja

Az OWASP-nek két módja van annak eldöntéséhez, hogy blokkolja-e a forgalmat: hagyományos mód és anomáliadetektálási mód.

Hagyományos módban a szabálynak megfelelő forgalom minden más szabály-egyezéstől függetlenül tekinthető. Ez a mód könnyen érthető. Az adott kérésnek megfelelő szabályokra vonatkozó információk hiánya azonban korlátozás. Így bevezettük az Anomália pontozási módját. Ez az alapértelmezett az OWASP 3 esetében. x.

Anomáliapontozási módban a szabálynak megfelelő forgalom nem lesz azonnal blokkolva, ha a tűzfal Megelőzés módban van. A szabályok bizonyos súlyosságúak: Kritikus, Hiba, Figyelmeztetés vagy Értesítés. Ez a súlyosság hatással van a kérelem numerikus értékére, amelyet anomáliák pontszámának nevezünk. Egy figyelmeztetési szabályegyeztetés például 3-tal járul hozzá a pontszámhoz. Egy kritikus szabályegyeztetés 5-et ad hozzá.

Súlyosság Érték
Kritikus 5
Hiba 4
Figyelmeztetés 3
Észrevesz 2

Az Anomália pontszáma 5-ös küszöbértéket ad a forgalom blokkolásához. Így egyetlen kritikus szabályegyeztetés elegendő ahhoz, hogy a APPLICATION GATEWAY WAF blokkoljon egy kérést, még megelőzési módban is. Egy figyelmeztetési szabályegyeztetés azonban csak 3-tal növeli az Anomáliával kapcsolatos pontszámot, ami önmagában nem elegendő a forgalom blokkolásához.

Megjegyzés

A WAF-szabály forgalomnak való megfelelésekor naplózott üzenet tartalmazza a "Megfeleltetve" műveletértéket. Ha az összes egyeztetett szabály összes anomáliája 5 vagy nagyobb, és a WAF-szabályzat megelőzési módban fut, a kérés aktivál egy kötelező anomáliaszabályt a "Letiltva" műveletértékkel, és a kérés le lesz állítva. Ha azonban a WAF-szabályzat Észlelési módban fut, a kérés aktiválja az "Detected" műveleti értéket, és a rendszer naplózza és továbbítja a kérést a háttérrendszernek. További információ: Azure Application Gateway Web Application Firewall (WAF) hibaelhárítása.

Konfiguráció

Az összes WAF-szabályzatot konfigurálhatja és helyezheti üzembe a Azure Portal, a REST API-k, az Azure Resource Manager sablonok és a Azure PowerShell használatával. Az Azure WAF-szabályzatokat nagy méretekben is konfigurálhatja és kezelheti a Firewall Manager-integráció (előzetes verzió) használatával. További információ: Azure Firewall Manager használata Web Application Firewall szabályzatok kezeléséhez (előzetes verzió).

WAF-monitorozás

Fontos az alkalmazásátjáró állapotának folyamatos figyelése. A WAF és az általa védett alkalmazások állapotának monitorozását a felhőbeli, az Azure Monitor- és az Azure Monitor-naplókkal való Microsoft Defender integráció támogatja.

A WAF-diagnosztika Application Gateway diagramja

Azure Monitor

Application Gateway naplók integrálva vannak az Azure Monitorral. Ez lehetővé teszi a diagnosztikai információk nyomon követését, beleértve a WAF-riasztásokat és a naplókat. Ezt a képességet a portál Application Gateway erőforrásának Diagnosztika lapján vagy közvetlenül az Azure Monitoron keresztül érheti el. A naplók engedélyezésével kapcsolatos további információkért lásd: Application Gateway diagnosztika.

Microsoft Defender for Cloud

A Defender for Cloud segít megelőzni, észlelni és reagálni a fenyegetésekre. Ez nagyobb betekintést nyújt az Azure-erőforrások biztonságába és szabályozhatóvá teszi azokat. Application Gateway integrálva van a Felhőhöz készült Defenderrel. A Defender for Cloud megvizsgálja a környezetet a nem védett webalkalmazások észleléséhez. Javasoljuk, hogy Application Gateway WAF-et, hogy megvédje ezeket a sebezhető erőforrásokat. A tűzfalakat közvetlenül a Defender for Cloudból hozhatja létre. Ezek a WAF-példányok integrálva vannak a Felhőhöz készült Defenderrel. Riasztásokat és állapotinformációkat küldenek a Defender for Cloudnak jelentéskészítés céljából.

A Felhőhöz készült Defender áttekintő ablaka

Microsoft Sentinel

A Microsoft Sentinel egy skálázható, felhőalapú natív, biztonsági információ eseménykezeléssel (SIEM) és biztonsági vezénylési automatizált válaszmegoldással (SOAR). A Microsoft Sentinel intelligens biztonsági elemzéseket és fenyegetésfelderítést biztosít a vállalat egészében, egyetlen megoldást biztosítva a riasztások észlelésére, a fenyegetések láthatóságára, a proaktív keresésre és a veszélyforrások elhárítására.

A beépített Azure WAF tűzfalesemények munkafüzettel áttekintést kaphat a WAF biztonsági eseményeiről. Ez magában foglalja az eseményeket, a egyeztetett és a letiltott szabályokat, valamint minden mást, amely a tűzfalnaplókba lesz naplózva. További információ a naplózásról alább.

Azure WAF-tűzfalesemények munkafüzete

Azure Monitor-munkafüzet WAF-hez

Ez a munkafüzet lehetővé teszi a biztonsági szempontból releváns WAF-események egyéni vizualizációját több szűrhető panelen. Minden WAF-típussal működik, beleértve a Application Gateway, a Front Doort és a CDN-t, és a WAF-típus vagy egy adott WAF-példány alapján szűrhető. Importálás ARM-sablonnal vagy katalógussablonnal. A munkafüzet üzembe helyezéséhez lásd: WAF-munkafüzet.

Naplózás

Application Gateway WAF részletes jelentést nyújt az észlelt fenyegetésekről. A naplózás integrálva van Azure Diagnostics naplókkal. A riasztások .json formátumban vannak rögzítve. Ezek a naplók integrálhatók az Azure Monitor-naplókkal.

Application Gateway diagnosztikai naplók ablakai

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Application Gateway WAF – A termékváltozat díjszabása

A díjszabási modellek eltérnek a WAF_v1 és WAF_v2 termékváltozatok esetében. További információért tekintse meg a Application Gateway díjszabását ismertető oldalt.

Újdonságok

Az Azure Web Application Firewall újdonságaiért lásd: Azure-frissítések.

Következő lépések