Bagikan melalui

Azure Web Application Firewall dan Azure Policy

  • Artikel

Azure Web Application Firewall (WAF) yang dikombinasikan dengan Azure Policy dapat membantu menegakkan standar organisasi dan menilai kepatuhan dalam skala besar untuk sumber daya WAF. Azure Policy adalah alat pemerintahan yang menyediakan tampilan agregat untuk mengevaluasi keadaan lingkungan secara keseluruhan, dengan kemampuan untuk menelusuri ke granularitas per sumber daya, per kebijakan. Azure Policy juga membantu untuk membawa sumber daya Anda ke kepatuhan melalui remediasi masal untuk sumber daya yang sudah ada dan remediasi otomatis untuk sumber daya baru.

Azure Policy untuk Web Application Firewall

Ada beberapa definisi Azure Policy bawaan untuk mengelola sumber daya WAF. Perincian definisi kebijakan dan fungsionalitasnya adalah sebagai berikut:

Mengaktifkan Web Application Firewall (WAF)

  • Azure Web Application Firewall harus diaktifkan untuk titik masuk Azure Front Door: Azure Front Door Services dievaluasi jika ada WAF yang ada atau tidak. Definisi kebijakan memiliki tiga efek: Audit, Deny, dan Disable. Audit melacak kapan Azure Front Door Service tidak memiliki WAF dan memungkinkan pengguna melihat apa yang tidak dipatuikan oleh Azure Front Door Service. Tolak mencegah Azure Front Door Service dibuat jika WAF tidak terpasang. Dinonaktifkan menonaktifkan tugas kebijakan.

  • Web Application Firewall (WAF) harus diaktifkan untuk Application Gateway: Application Gateway dievaluasi jika ada WAF yang ada pada pembuatan sumber daya. Definisi kebijakan memiliki tiga efek: Audit, Deny, dan Disable. Audit melacak kapan Application Gateway tidak memiliki WAF dan memungkinkan pengguna melihat apa yang tidak Application Gateway patuhi. Tolak mencegah Application Gateway dibuat jika WAF tidak dilampirkan. Dinonaktifkan menonaktifkan tugas kebijakan.

Mode Deteksi atau Pencegahan Mandat

  • Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Azure Front Door Service: Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif pada semua kebijakan Web Application Firewall untuk Azure Front Door Service. Definisi kebijakan memiliki tiga efek: Audit, Deny, dan Disable. Audit melacak ketika WAF tidak sesuai dengan mode yang ditentukan. Tolak mencegah WAF dibuat jika tidak dalam mode yang benar. Dinonaktifkan menonaktifkan tugas kebijakan.

  • Web Application Firewall (WAF) harus menggunakan mode yang ditentukan untuk Application Gateway: Mengamanatkan penggunaan mode 'Deteksi' atau 'Pencegahan' untuk aktif pada semua kebijakan Web Application Firewall untuk Application Gateway. Definisi kebijakan memiliki tiga efek: Audit, Deny, dan Disable. Audit melacak ketika WAF tidak sesuai dengan mode yang ditentukan. Tolak mencegah WAF dibuat jika tidak dalam mode yang benar. Dinonaktifkan menonaktifkan tugas kebijakan.

Memerlukan Inspeksi Permintaan

  • Azure Web Application Firewall di Azure Front Door harus mengaktifkan pemeriksaan isi permintaan: Pastikan Firewall Aplikasi Web yang terkait dengan Azure Front Door mengaktifkan pemeriksaan isi Permintaan. Fungsionalitas ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI.

  • Azure Web Application Firewall di Azure Application Gateway harus mengaktifkan pemeriksaan isi permintaan: Pastikan Firewall Aplikasi Web yang terkait dengan Azure Application Gateway mengaktifkan pemeriksaan isi permintaan. Fungsionalitas ini memungkinkan WAF untuk memeriksa properti dalam isi HTTP yang mungkin tidak dievaluasi di header HTTP, cookie, atau URI.

Memerlukan Log Sumber Daya

  • Azure Front Door harus mengaktifkan log Sumber Daya: Mengamanatkan pengaktifan log Sumber Daya dan Metrik pada Layanan klasik Azure Front Door, termasuk WAF. Definisi kebijakan memiliki dua efek: AuditIfNotExists dan Disable. AuditIfNotExists melacak ketika layanan Front Door tidak memiliki log sumber daya, metrik yang diaktifkan, dan memberi tahu pengguna bahwa layanan tidak mematuhinya. Dinonaktifkan menonaktifkan tugas kebijakan.

  • Azure Front Door Standard atau Premium (Plus WAF) harus mengaktifkan log sumber daya: Mengamanatkan pengaktifan log Sumber Daya dan Metrik pada Layanan standar dan premium Azure Front Door, termasuk WAF. Definisi kebijakan memiliki dua efek: AuditIfNotExists dan Disable. AuditIfNotExists melacak ketika layanan Front Door tidak memiliki log sumber daya, metrik yang diaktifkan, dan memberi tahu pengguna bahwa layanan tidak mematuhinya. Dinonaktifkan menonaktifkan tugas kebijakan.

  • Azure Application Gateway harus mengaktifkan log Sumber Daya: Mengamanatkan pengaktifan Log sumber daya dan Metrik di semua Application Gateway, termasuk WAF. Definisi kebijakan memiliki dua efek: AuditIfNotExists dan Disable. AuditIfNotExists melacak kapan Application Gateway tidak memiliki log sumber daya, metrik yang diaktifkan, dan memberi tahu pengguna bahwa Application Gateway tidak mematuhinya. Dinonaktifkan menonaktifkan tugas kebijakan.

  • Profil Azure Front Door harus menggunakan tingkat Premium yang mendukung aturan WAF terkelola dan tautan privat: Mengamanatkan bahwa semua profil Azure Front Door Anda berada di tingkat premium alih-alih tingkat standar. Azure Front Door Premium dioptimalkan untuk keamanan, dan memberi Anda akses ke set aturan dan fungsionalitas WAF terbaru seperti perlindungan bot.

  • Aktifkan aturan Batas Tarif untuk melindungi dari serangan DDoS di Azure Front Door WAF: Pembatasan tarif dapat membantu melindungi aplikasi Anda dari serangan DDoS. Aturan batas tarif Azure Web Application Firewall (WAF) untuk Azure Front Door membantu melindungi dari DDoS dengan mengontrol jumlah permintaan yang diizinkan dari alamat IP klien tertentu ke aplikasi selama durasi batas tarif.

  • MigrasiKAN WAF dari Konfigurasi WAF ke Kebijakan WAF pada Application Gateway: Jika Anda memiliki Konfigurasi WAF alih-alih Kebijakan WAF, maka Anda mungkin ingin pindah ke Kebijakan WAF baru. kebijakan Web Application Firewall (WAF) menawarkan serangkaian fitur canggih yang lebih kaya melalui konfigurasi WAF, memberikan skala yang lebih tinggi, performa yang lebih baik, dan tidak seperti konfigurasi WAF warisan, kebijakan WAF dapat ditentukan sekali dan dibagikan di beberapa gateway, pendengar, dan jalur URL. Ke depannya, fitur terbaru dan penyempurnaan di masa mendatang hanya tersedia melalui kebijakan WAF.

Buat Azure Policy

  1. Di beranda Azure, ketik Kebijakan di bilah pencarian dan pilih ikon Azure Policy.

  2. Pada layanan Azure Policy, di bawah Penulisan, pilih Penugasan.

Cuplikan layar tab Penugasan dalam Azure Policy.

  1. Pada halaman Penugasan, pilih ikon Tetapkan kebijakan di bagian atas.

Cuplikan layar tab Dasar di halaman Tetapkan Kebijakan.

  1. Pada tab dasar Tetapkan halaman Policy, perbarui bidang berikut ini:
    1. Cakupan: Pilih langganan Azure dan grup sumber daya yang berlaku untuk kebijakan tersebut.
    2. Pengecualian: Pilih sumber daya apa pun dari cakupan untuk mengecualikan dari penetapan kebijakan.
    3. Definisi Kebijakan: Pilih definisi kebijakan untuk diterapkan ke cakupan dengan pengecualian. Ketik "Web Application Firewall" di bilah pencarian untuk memilih Web Application Firewall Azure Policy yang relevan.

Cuplikan layar yang memperlihatkan tab 'Definisi Policy' di halaman 'Definisi yang Tersedia'.

  1. Pilih tab Parameter dan perbarui parameter penetapan kebijakan. Untuk lebih memperjelas apa yang dilakukan parameter, arahkan kursor ke ikon info di samping nama parameter untuk klarifikasi lebih lanjut.

  2. Pilih Tinjau + buat untuk menyelesaikan penetapan kebijakan Anda. Penetapan kebijakan membutuhkan waktu sekitar 15 menit hingga aktif untuk sumber daya baru.