Praktik terbaik untuk Azure Web Application Firewall di Azure Front Door

Artikel ini merangkum praktik terbaik untuk menggunakan Azure Web Application Firewall di Azure Front Door.

Praktik terbaik umum

Bagian ini membahas praktik terbaik umum.

Mengaktifkan WAF

Untuk aplikasi yang terhubung ke internet, kami sarankan Anda mengaktifkan firewall aplikasi web (WAF) dan mengonfigurasinya untuk menggunakan aturan terkelola. Saat Anda menggunakan aturan yang dikelola Microsoft dan WAF, aplikasi Anda dilindungi dari berbagai serangan.

Sesuaikan WAF Anda

Aturan dalam WAF Anda harus disetel untuk beban kerja Anda. Jika Anda tidak menyetel WAF Anda, itu mungkin secara tidak sengaja memblokir permintaan yang harus diizinkan. Penyetelan mungkin melibatkan pembuatan pengecualian aturan untuk mengurangi deteksi positif palsu.

Saat Anda menyetel WAF, pertimbangkan untuk menggunakan mode deteksi. Mode ini mencatat permintaan dan tindakan yang biasanya dilakukan WAF, tetapi tidak benar-benar memblokir lalu lintas apa pun.

Untuk informasi selengkapnya, lihat Menyetel Azure Web Application Firewall untuk Azure Front Door.

Menggunakan mode pencegahan

Setelah Menyetel WAF, konfigurasikan agar berjalan dalam mode pencegahan. Dengan berjalan dalam mode pencegahan, Anda memastikan bahwa WAF memblokir permintaan yang dideteksi berbahaya. Berjalan dalam mode deteksi berguna saat Anda menyetel dan mengonfigurasi WAF Anda, tetapi tidak memberikan perlindungan.

Menentukan konfigurasi WAF Anda sebagai kode

Saat Anda menyetel WAF untuk beban kerja aplikasi Anda, Anda biasanya membuat set pengecualian aturan untuk mengurangi deteksi positif palsu. Jika Anda mengonfigurasi pengecualian ini secara manual dengan menggunakan portal Azure, saat meningkatkan WAF untuk menggunakan versi seperangkat aturan yang lebih baru, Anda perlu mengonfigurasi ulang pengecualian yang sama terhadap versi seperangkat aturan baru. Proses ini dapat memakan waktu yang lama dan rawan kesalahan.

Sebagai gantinya, pertimbangkan untuk menentukan pengecualian aturan WAF Anda dan konfigurasi lain sebagai kode, seperti dengan menggunakan Azure CLI, Azure PowerShell, Bicep, atau Terraform. Saat Anda perlu memperbarui versi seperangkat aturan WAF, Anda dapat dengan mudah menggunakan kembali pengecualian yang sama.

Praktik terbaik seperangkat aturan terkelola

Bagian ini membahas praktik terbaik untuk seperangkat aturan.

Mengaktifkan seperangkat aturan default

Seperangkat aturan default Microsoft dirancang untuk melindungi aplikasi Anda dengan mendeteksi dan memblokir serangan umum. Aturan ini didasarkan pada berbagai sumber, termasuk jenis serangan OWASP top-10 dan informasi dari Microsoft Threat Intelligence.

Untuk informasi selengkapnya, lihat Seperangkat aturan terkelola Azure.

Mengaktifkan aturan manajemen bot

Bot bertanggung jawab atas proporsi lalu lintas yang signifikan ke aplikasi web. Seperangkat aturan perlindungan bot WAF mengategorikan bot berdasarkan apakah itu baik, buruk, atau tidak diketahui. Bot yang buruk kemudian dapat diblokir, sementara bot yang baik seperti perayap mesin pencari diizinkan melalui aplikasi Anda.

Untuk informasi selengkapnya, lihat Seperangkat aturan perlindungan bot.

Menggunakan versi seperangkat aturan terbaru

Microsoft memperbarui aturan terkelola untuk mempertimbangkan lanskap ancaman saat ini secara teratur. Pastikan Anda memeriksa pembaruan untuk seperangkat aturan yang dikelola Azure secara teratur.

Untuk informasi selengkapnya, lihat Grup aturan dan aturan DRS Azure Web Application Firewall.

Praktik terbaik pembatasan tarif

Bagian ini membahas praktik terbaik untuk pembatasan tarif.

Tambahkan pembatasan tarif

Azure Front Door WAF memungkinkan Anda mengontrol jumlah permintaan yang diizinkan dari alamat IP setiap klien selama jangka waktu tertentu. Ini adalah praktik yang baik untuk menambahkan pembatasan tarif untuk mengurangi efek klien secara tidak sengaja atau sengaja mengirim lalu lintas dalam jumlah besar ke layanan Anda, seperti selama badai coba lagi.

Untuk informasi selengkapnya, lihat sumber daya berikut:

• Apa itu pembatasan tarif untuk Azure Front Door?.
• Konfigurasikan aturan batas tarif Azure Web Application Firewall dengan menggunakan Azure PowerShell.
• Mengapa permintaan tambahan di atas ambang batas yang dikonfigurasi untuk aturan batas tarif saya diteruskan ke server back-end saya?

Menggunakan ambang tinggi untuk batas laju

Biasanya, praktik yang baik untuk mengatur ambang batas tarif Anda menjadi tinggi. Misalnya, jika Anda mengetahui bahwa satu alamat IP klien dapat mengirim sekitar 10 permintaan ke server Anda setiap menit, pertimbangkan untuk menentukan ambang 20 permintaan per menit.

Ambang batas tarif tinggi menghindari pemblokiran lalu lintas yang sah. Ambang batas ini masih memberikan perlindungan terhadap jumlah permintaan yang sangat tinggi yang mungkin membanjiri infrastruktur Anda.

Praktik terbaik pemfilteran geografis

Bagian ini membahas praktik terbaik untuk pemfilteran geografis.

Lalu lintas filter geografis

Banyak aplikasi web dirancang untuk pengguna dalam wilayah geografis tertentu. Jika situasi ini berlaku untuk aplikasi Anda, pertimbangkan untuk menerapkan pemfilteran geografis untuk memblokir permintaan yang berasal dari luar negara atau wilayah tempat Anda ingin menerima lalu lintas.

Untuk informasi selengkapnya, lihat Apa itu pemfilteran geografis pada domain untuk Azure Front Door?.

Menentukan lokasi (ZZ) yang tidak diketahui

Beberapa alamat IP tidak dipetakan ke lokasi di himpunan data kami. Saat alamat IP tidak dapat dipetakan ke lokasi, WAF menetapkan lalu lintas ke negara atau wilayah yang tidak diketahui (ZZ). Untuk menghindari pemblokiran permintaan yang valid dari alamat IP ini, pertimbangkan untuk mengizinkan negara atau wilayah yang tidak diketahui (ZZ) melalui filter geografis Anda.

Untuk informasi selengkapnya, lihat Apa itu pemfilteran geografis pada domain untuk Azure Front Door?.

Pencatatan

Bagian ini membahas pengelogan.

Menambahkan pengaturan diagnostik untuk menyimpan log WAF Anda

Azure Front Door WAF terintegrasi dengan Azure Monitor. Penting untuk menyimpan log WAF ke tujuan seperti Analitik Log. Anda harus meninjau log WAF secara teratur. Meninjau log membantu Anda menyetel kebijakan WAF untuk mengurangi deteksi positif palsu dan untuk memahami apakah aplikasi Anda telah menjadi subjek serangan.

Untuk informasi selengkapnya, lihat Pengelogan dan pemantauan Azure Web Application Firewall .

Kirim log ke Microsoft Sentinel

Microsoft Sentinel adalah sistem informasi keamanan dan manajemen peristiwa (SIEM), yang mengimpor log dan data dari berbagai sumber untuk memahami lanskap ancaman untuk aplikasi web Anda dan lingkungan Azure secara keseluruhan. Log WAF Azure Front Door harus diimpor ke Microsoft Azure Sentinel atau SIEM lain sehingga properti anda yang terhubung ke internet disertakan dalam analisisnya. Untuk Microsoft Sentinel, gunakan konektor Azure WAF untuk mengimpor log WAF Anda dengan mudah.

Untuk informasi selengkapnya, lihat Menggunakan Microsoft Azure Sentinel dengan Azure Web Application Firewall.

Langkah berikutnya

Pelajari cara membuat kebijakan WAF Azure Front Door.