Azure Web Application Firewall di Azure Content Delivery Network

Penyebaran Azure Web Application Firewall di Azure Content Delivery Network memberikan perlindungan terpusat untuk konten web Anda. Azure Web Application Firewall mempertahankan layanan web Anda dari eksploitasi dan kerentanan umum. Ini membantu menjaga layanan Anda tetap sangat tersedia untuk pengguna Anda dan membantu Anda memenuhi persyaratan kepatuhan.

Penting

Pratinjau Azure Web Application Firewall di Azure Content Delivery Network tidak lagi menerima pelanggan baru. Kami mendorong pelanggan untuk menggunakan Azure Web Application Firewall di Azure Front Door sebagai gantinya.

Kami menyediakan perjanjian tingkat layanan pratinjau kepada pelanggan yang ada. Fitur tertentu mungkin tidak didukung atau mungkin memiliki kemampuan terbatas. Untuk detailnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Azure Web Application Firewall di Azure Content Delivery Network adalah solusi global dan terpusat. WAF ini disebarkan di lokasi tepi jaringan Azure di seluruh dunia. Azure Web Application Firewall menghentikan serangan berbahaya yang dekat dengan sumber serangan, sebelum mencapai asal Anda. Anda mendapatkan perlindungan global dalam skala besar tanpa mengorbankan performa.

Kebijakan firewall aplikasi web (WAF) menautkan ke titik akhir jaringan pengiriman konten (CDN) apa pun di langganan Anda. Anda dapat menyebarkan aturan baru dalam hitungan menit, sehingga Anda dapat merespons dengan cepat mengubah pola ancaman.

Diagram yang memperlihatkan bagaimana Azure Web Application Firewall di Azure Content Delivery Network mengambil tindakan pada permintaan masuk.

Kebijakan dan aturan WAF

Anda dapat mengonfigurasi kebijakan WAF dan mengaitkan kebijakan tersebut dengan satu atau beberapa titik akhir CDN untuk perlindungan. Kebijakan WAF terdiri dari dua jenis aturan keamanan:

  • Aturan kustom: Aturan yang dapat Anda buat sendiri.
  • Seperangkat aturan terkelola: Aturan yang telah dikonfigurasi sebelumnya yang dikelola Azure yang dapat Anda aktifkan.

Ketika keduanya ada, WAF memproses aturan kustom sebelum memproses aturan dalam seperangkat aturan terkelola.

Aturan terdiri dari kondisi kecocokan, prioritas, dan tindakan. Jenis tindakan yang didukung adalah ALLOW, , BLOCKLOG, dan REDIRECT. Anda dapat membuat kebijakan yang sepenuhnya disesuaikan yang memenuhi persyaratan spesifik Anda untuk perlindungan aplikasi dengan menggabungkan aturan terkelola dan kustom.

WAF memproses aturan dalam kebijakan dalam urutan prioritas. Prioritas adalah bilangan bulat unik yang menentukan urutan aturan yang akan diproses. Angka yang lebih kecil adalah prioritas yang lebih tinggi, dan WAF mengevaluasi aturan tersebut sebelum aturan yang memiliki nilai lebih besar. Setelah WAF cocok dengan aturan dengan permintaan, WAF menerapkan tindakan terkait yang ditentukan aturan ke permintaan. Setelah WAF memproses kecocokan seperti itu, aturan yang memiliki prioritas lebih rendah tidak diproses lebih lanjut.

Aplikasi web yang dihosting di Azure Content Delivery Network hanya dapat memiliki satu kebijakan WAF yang terkait dengannya pada satu waktu. Namun, Anda dapat memiliki titik akhir CDN tanpa kebijakan WAF yang terkait dengannya. Jika ada kebijakan WAF, kebijakan tersebut direplikasi ke semua lokasi tepi untuk memastikan kebijakan keamanan yang konsisten di seluruh dunia.

Aturan khusus

Aturan kustom dapat mencakup:

  • Aturan pencocokan: Anda dapat mengonfigurasi aturan kecocokan kustom berikut:

    • Daftar IP yang diizinkan dan daftar blokir: Anda dapat mengontrol akses ke aplikasi web Anda berdasarkan daftar alamat IP klien atau rentang alamat IP. Dua jenis alamat, baik IPv4 dan IPv6, keduanya didukung.

      Aturan daftar IP menggunakan RemoteAddress IP yang terkandung dalam X-Forwarded-For header permintaan dan bukan SocketAddress nilai yang digunakan WAF. Anda dapat mengonfigurasi daftar IP untuk memblokir atau mengizinkan permintaan di mana RemoteAddress IP cocok dengan IP dalam daftar.

      Jika Anda memiliki persyaratan untuk memblokir permintaan pada alamat IP sumber yang digunakan WAF (misalnya, alamat server proksi jika pengguna berada di belakang proksi), Anda harus menggunakan tingkat Azure Front Door Standard atau Premium. Untuk informasi selengkapnya, lihat Mengonfigurasi aturan pembatasan IP dengan WAF untuk Azure Front Door.

    • Kontrol akses berbasis geografis: Anda dapat mengontrol akses ke aplikasi web Anda berdasarkan kode negara yang terkait dengan alamat IP klien.

    • Kontrol akses berbasis parameter HTTP: Anda dapat mendasarkan aturan pada kecocokan string di parameter permintaan HTTP atau HTTPS. Contohnya termasuk string kueri, POST argumen, URI permintaan, header permintaan, dan isi permintaan.

    • Meminta kontrol akses berbasis metode: Anda dapat mendasarkan aturan pada metode permintaan HTTP permintaan. Contohnya termasuk GET, PUT, dan HEAD.

    • Batasan ukuran: Anda dapat mendasarkan aturan pada panjang bagian tertentu dari permintaan, seperti string kueri, URI, atau isi permintaan.

  • Aturan kontrol laju: Aturan ini membatasi lalu lintas yang sangat tinggi dari alamat IP klien apa pun.

    Anda dapat mengonfigurasi ambang pada jumlah permintaan web yang diizinkan dari alamat IP klien selama durasi satu menit. Aturan ini berbeda dari aturan kustom berbasis daftar IP yang memungkinkan semua atau memblokir semua permintaan dari alamat IP klien.

    Batas laju dapat dikombinasikan dengan kondisi yang lebih cocok, seperti kecocokan parameter HTTP atau HTTPS, untuk kontrol laju granular.

Seperangkat aturan yang dikelola Azure

Seperangkat aturan yang dikelola Azure menyediakan cara untuk menyebarkan perlindungan terhadap serangkaian ancaman keamanan umum. Karena Azure mengelola seperangkat aturan ini, aturan diperbarui sesuai kebutuhan untuk melindungi dari tanda tangan serangan baru. Seperangkat Aturan Default yang dikelola Azure menyertakan aturan terhadap kategori ancaman berikut:

  • Pembuatan skrip lintas situs
  • Serangan Java
  • Penyertaan file lokal
  • Serangan injeksi PHP
  • Eksekusi perintah jarak jauh
  • Penyertaan file jarak jauh
  • Fiksasi sesi
  • Perlindungan terhadap injeksi SQL
  • Penyerang protokol

Nomor versi Kumpulan Aturan Bawaan meningkat ketika signature serangan baru ditambahkan ke kumpulan aturan tersebut.

Seperangkat Aturan Default diaktifkan secara default dalam mode deteksi dalam kebijakan WAF Anda. Anda dapat menonaktifkan atau mengaktifkan aturan individual dalam Kumpulan Aturan Default untuk memenuhi persyaratan aplikasi Anda. Anda juga dapat mengatur tindakan tertentu (ALLOW, , BLOCKLOG, dan REDIRECT) per aturan. Tindakan default untuk Seperangkat Aturan Default terkelola adalah BLOCK.

Aturan kustom selalu diterapkan sebelum WAF mengevaluasi aturan dalam Seperangkat Aturan Default. Jika permintaan cocok dengan aturan kustom, WAF menerapkan tindakan aturan yang sesuai. Permintaan diblokir atau diteruskan ke ujung belakang. Tidak ada aturan atau aturan kustom lain dalam Seperangkat Aturan Default yang diproses. Anda juga dapat menghapus Kumpulan Aturan Default dari kebijakan WAF Anda.

Mode WAF

Anda dapat mengonfigurasi kebijakan WAF untuk dijalankan dalam dua mode berikut:

  • Mode deteksi: WAF tidak mengambil tindakan lain selain memantau dan mencatat permintaan dan aturan WAF yang cocok ke log WAF. Anda dapat mengaktifkan diagnostik pengelogan untuk Azure Content Delivery Network. Saat Anda menggunakan portal Microsoft Azure, buka bagian Diagnostik .
  • Mode pencegahan: WAF mengambil tindakan yang ditentukan jika permintaan cocok dengan aturan. Jika menemukan kecocokan, itu tidak mengevaluasi aturan lebih lanjut yang memiliki prioritas lebih rendah. Setiap permintaan yang cocok juga dicatat dalam log WAF.

Tindakan WAF

Anda dapat memilih salah satu tindakan berikut saat permintaan cocok dengan ketentuan aturan:

  • ALLOW: Permintaan melewati WAF dan diteruskan ke ujung belakang. Tidak ada aturan berprioritas lebih rendah lagi yang dapat memblokir permintaan ini.
  • BLOCK: Permintaan diblokir. WAF mengirimkan respons ke klien tanpa meneruskan permintaan ke ujung belakang.
  • LOG: Permintaan dicatat dalam log WAF. WAF terus mengevaluasi aturan berprioritas lebih rendah.
  • REDIRECT: WAF mengalihkan permintaan ke URI yang ditentukan. URI yang ditentukan adalah pengaturan tingkat kebijakan. Setelah Anda mengonfigurasi pengaturan, semua permintaan yang cocok dengan tindakan dikirim ke URI tersebut REDIRECT .

Konfigurasi

Anda dapat mengonfigurasi dan menyebarkan semua jenis aturan WAF dengan menggunakan portal Microsoft Azure, REST API, templat Azure Resource Manager, dan Azure PowerShell.

Pemantauan

Pemantauan untuk Azure Web Application Firewall di Azure Content Delivery Network terintegrasi dengan Azure Monitor untuk membantu Anda melacak pemberitahuan dan memantau tren lalu lintas.

Konten terkait

  • Last updated on