Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Berlaku untuk: ✔️ Application Gateway
Penyebaran Azure Web Application Firewall di Azure Application Gateway secara aktif melindungi aplikasi web Anda dari eksploitasi dan kerentanan umum. Karena aplikasi web menjadi target yang lebih sering untuk serangan berbahaya, serangan ini sering mengeksploitasi kerentanan terkenal seperti injeksi SQL dan pembuatan skrip lintas situs.
Azure Web Application Firewall di Application Gateway didasarkan pada Seperangkat Aturan Inti (CRS) dari Open Web Application Security Project (OWASP).
Semua fitur Azure Web Application Firewall berikut ada di dalam kebijakan firewall aplikasi web (WAF). Anda dapat membuat beberapa kebijakan dan mengaitkannya dengan gateway aplikasi, dengan pendengar individual, atau dengan aturan perutean berbasis jalur di gateway aplikasi. Asosiasi ini memungkinkan Anda menentukan kebijakan terpisah untuk setiap situs di belakang gateway aplikasi Anda jika perlu. Untuk informasi selengkapnya tentang kebijakan WAF, lihat Membuat kebijakan WAF untuk Application Gateway.
Catatan
Application Gateway memiliki dua versi firewall aplikasi web: WAF_v1 dan WAF_v2. Asosiasi kebijakan WAF hanya didukung untuk WAF_v2.
Application Gateway beroperasi sebagai pengontrol pengiriman aplikasi. Ini menawarkan terminasi Transport Layer Security (TLS) (sebelumnya dikenal sebagai Secure Sockets Layer atau SSL), afinitas sesi berbasis cookie, pembagian beban menggunakan metode round-robin, perutean berbasis konten, kemampuan untuk menghosting beberapa situs web, dan peningkatan keamanan.
Application Gateway meningkatkan keamanan melalui manajemen kebijakan TLS dan dukungan TLS end-to-end. Mengintegrasikan Azure Web Application Firewall ke Dalam Application Gateway untuk memperkuat keamanan aplikasi. Kombinasi ini secara aktif mempertahankan aplikasi web Anda dari kerentanan umum dan menawarkan lokasi yang dapat dikelola secara terpusat.
Keuntungan
Bagian ini menjelaskan manfaat inti yang disediakan Azure Web Application Firewall di Application Gateway.
Proteksi
Lindungi aplikasi web Anda dari kerentanan dan serangan web tanpa memodifikasi kode back-end.
Lindungi beberapa aplikasi web secara bersamaan. Satu instans Application Gateway dapat menghosting hingga 40 situs web yang menggunakan firewall aplikasi web.
Buat kebijakan WAF khusus untuk berbagai situs yang berada di bawah WAF yang sama.
Lindungi aplikasi web Anda dari bot berbahaya dengan menggunakan Seperangkat Aturan Reputasi IP.
Lindungi aplikasi Anda dari serangan DDoS. Untuk informasi selengkapnya, lihat Perlindungan DDoS Aplikasi (Lapisan 7).
Pemantauan
Pantau serangan terhadap aplikasi web Anda dengan menggunakan log WAF real-time. Azure Monitor terintegrasi dengan log untuk melacak pemberitahuan WAF dan memantau tren.
Microsoft Defender untuk Cloud terintegrasi dengan Application Gateway WAF. Pertahanan untuk Cloud menyediakan tampilan sentral dari keadaan keamanan semua sumber daya Azure, hybrid, dan multi-cloud Anda.
Penyesuaian
Sesuaikan aturan WAF dan grup aturan agar sesuai dengan persyaratan aplikasi Anda dan menghindari kesalahan positif.
Kaitkan kebijakan WAF untuk setiap situs di belakang WAF Anda untuk memungkinkan konfigurasi khusus situs.
Buat aturan kustom agar sesuai dengan kebutuhan aplikasi Anda.
Fitur
- Perlindungan terhadap injeksi SQL.
- Perlindungan terhadap pembuatan skrip lintas situs.
- Perlindungan terhadap serangan web umum lainnya, seperti injeksi perintah, penyelundupan permintaan HTTP, pemisahan respons HTTP, dan penyertaan file jarak jauh.
- Perlindungan terhadap pelanggaran protokol HTTP.
- Perlindungan terhadap anomali protokol HTTP seperti header
Host,User-Agent, danAcceptyang hilang. - Perlindungan terhadap crawler dan pemindai.
- Deteksi kesalahan konfigurasi aplikasi umum (misalnya, Apache dan IIS).
- Batas ukuran permintaan yang dapat dikonfigurasi dengan batas bawah dan atas.
- Daftar pengecualian yang memungkinkan Anda menghilangkan atribut permintaan tertentu dari evaluasi WAF. Contoh umumnya adalah token yang dimasukkan Direktori Aktif yang digunakan untuk autentikasi atau bidang kata sandi.
- Kemampuan untuk membuat aturan kustom agar sesuai dengan kebutuhan spesifik aplikasi Anda.
- Kemampuan untuk memfilter lalu lintas secara geografis, untuk mengizinkan atau memblokir negara/wilayah tertentu agar tidak mendapatkan akses ke aplikasi Anda.
- Seperangkat Aturan Pengelola Bot yang membantu melindungi aplikasi Anda dari bot.
- Kemampuan untuk memeriksa JSON dan XML dalam isi permintaan.
Kebijakan dan aturan WAF
Untuk menggunakan firewall aplikasi web di Application Gateway, Anda harus membuat kebijakan WAF. Kebijakan ini berisi semua aturan terkelola, aturan kustom, pengecualian, dan penyesuaian lainnya, seperti batas pengunggahan file.
Anda dapat mengonfigurasi kebijakan WAF dan mengaitkan kebijakan tersebut dengan satu atau beberapa gateway aplikasi untuk perlindungan. Kebijakan WAF terdiri dari dua jenis aturan keamanan:
- Aturan kustom yang bisa Anda buat
- Seperangkat aturan terkelola yang merupakan kumpulan aturan yang telah dikonfigurasi sebelumnya yang dikelola Azure
Ketika kedua jenis aturan ada, WAF memproses aturan kustom sebelum memproses aturan dalam seperangkat aturan terkelola.
Aturan terdiri dari kondisi kecocokan, prioritas, dan tindakan. Jenis tindakan yang didukung adalah ALLOW, BLOCK, dan LOG. Dengan menggabungkan aturan terkelola dan kustom, Anda dapat membuat kebijakan yang sepenuhnya disesuaikan yang memenuhi persyaratan spesifik Anda untuk perlindungan aplikasi.
WAF memproses aturan dalam kebijakan sesuai dengan urutan prioritas. Prioritas adalah bilangan bulat unik yang menentukan urutan aturan untuk diproses. Nilai bilangan bulat yang lebih kecil menunjukkan prioritas yang lebih tinggi, sehingga WAF mengevaluasi aturan tersebut sebelum aturan yang memiliki nilai bilangan bulat yang lebih tinggi. Setelah WAF cocok dengan aturan dengan permintaan, WAF menerapkan tindakan terkait yang ditentukan aturan ke permintaan. Setelah WAF memproses kecocokan seperti itu, WAF tidak memproses aturan yang memiliki prioritas lebih rendah.
Aplikasi web yang dikirimkan Application Gateway dapat memiliki kebijakan WAF yang terkait dengannya di tingkat global, pada tingkat per situs, atau pada tingkat per-URI.
Aturan khusus
Application Gateway mendukung pembuatan aturan kustom Anda sendiri. Application Gateway mengevaluasi aturan kustom untuk setiap permintaan yang melewati WAF. Aturan ini memiliki prioritas yang lebih tinggi daripada aturan lainnya dalam seperangkat aturan terkelola. Jika permintaan memenuhi serangkaian kondisi, WAF mengambil tindakan untuk mengizinkan atau memblokir. Untuk informasi selengkapnya tentang aturan kustom, lihat Aturan kustom untuk Application Gateway.
Operator Geomatch sekarang tersedia untuk aturan kustom. Untuk informasi selengkapnya, lihat Aturan kustom geomatch.
Seperangkat aturan
Application Gateway mendukung beberapa rangkaian aturan, termasuk CRS 3.2, CRS 3.1, dan CRS 3.0. Aturan ini membantu melindungi aplikasi web Anda dari aktivitas berbahaya. Untuk informasi selengkapnya, lihat Aturan dan grup aturan DRS dan CRS firewall aplikasi web.
Seperangkat Aturan Pengelola Bot
Anda dapat mengaktifkan Seperangkat Aturan Pengelola Bot terkelola untuk mengambil tindakan kustom atas permintaan dari semua kategori bot.
Application Gateway mendukung tiga kategori bot:
Bot buruk: Bot yang memiliki alamat IP berbahaya atau yang memalsukan identitas mereka. Alamat IP berbahaya mungkin berasal dari Indikator Kompromi IP dengan tingkat kepercayaan tinggi dari sumber Inteligensi Ancaman Microsoft dan dari sumber reputasi IP. Bot buruk juga termasuk bot yang mengidentifikasi diri mereka sebagai bot yang baik tetapi memiliki alamat IP yang bukan milik penerbit bot yang sah.
Bot yang baik: Agen pengguna tepercaya. Aturan untuk bot yang baik diurutkan ke dalam beberapa kategori untuk memberikan kontrol terperinci atas konfigurasi kebijakan WAF. Kategori ini meliputi:
- Bot mesin pencari terverifikasi (seperti Googlebot dan Bingbot).
- Bot pemeriksa tautan yang divalidasi.
- Bot media sosial terverifikasi (seperti FacebookBot dan LinkedInBot).
- Bot iklan terverifikasi.
- Bot pemeriksa konten terverifikasi.
- Bot lain-lain yang divalidasi.
Bot yang tidak diketahui: Agen pengguna tanpa validasi tambahan. Bot tak dikenal mungkin juga memiliki alamat IP yang berbahaya yang berasal dari umpan Microsoft Threat Intelligence Indicators of Compromise dengan kepercayaan menengah.
Azure Web Application Firewall secara aktif mengelola dan memperbarui tanda tangan bot secara dinamis.
Saat Anda mengaktifkan perlindungan bot, ia memblokir, mengizinkan, atau mencatat permintaan masuk yang cocok dengan aturan bot berdasarkan tindakan yang dikonfigurasi. Ini memblokir bot berbahaya, memungkinkan perayap mesin pencari terverifikasi, memblokir perayap mesin pencari yang tidak diketahui, dan mencatat bot yang tidak diketahui secara default. Anda dapat mengatur tindakan kustom untuk memblokir, mengizinkan, atau mencatat berbagai jenis bot.
Anda dapat mengakses log WAF dari akun penyimpanan, pusat aktivitas, atau Analitik Log. Anda juga dapat mengirim log ke solusi mitra.
Untuk informasi selengkapnya tentang perlindungan bot Application Gateway, lihat Web Application Firewall pada gambaran umum perlindungan bot Application Gateway.
Mode WAF
Anda dapat mengonfigurasi APPLICATION Gateway WAF untuk dijalankan dalam mode berikut:
- Mode deteksi: Memantau dan mencatat semua peringatan ancaman. Aktifkan diagnostik pengelogan untuk Application Gateway di bagian Diagnostik . Anda juga harus pastikan bahwa log WAF dipilih dan diaktifkan. Firewall aplikasi web tidak memblokir permintaan masuk saat beroperasi dalam mode deteksi.
- Mode pencegahan: Memblokir gangguan dan serangan yang dideteksi aturan. Penyerang menerima "403 unauthorized access" exception, dan koneksi ditutup. Mode pencegahan mencatat serangan semacam itu di log WAF.
Catatan
Jalankan WAF yang baru disebarkan dalam mode deteksi untuk jangka waktu singkat di lingkungan produksi. Periode ini memberikan kesempatan untuk mendapatkan log firewall dan memperbarui pengecualian atau aturan kustom apa pun sebelum beralih ke mode pencegahan. Ini juga membantu mengurangi terjadinya lalu lintas yang diblokir yang tidak terduga.
Mesin WAF
Mesin WAF adalah komponen yang memeriksa lalu lintas dan mendeteksi apakah permintaan berisi tanda tangan yang menunjukkan potensi serangan. Saat Anda menggunakan CRS 3.2 atau yang lebih baru, firewall aplikasi web Anda menjalankan mesin WAF baru, yang memberi Anda performa yang lebih tinggi dan serangkaian fitur yang ditingkatkan. Jika Anda menggunakan CRS versi yang lebih lama, WAF Anda akan berjalan pada mesin yang lebih tua. Fitur baru hanya tersedia pada mesin WAF baru.
Tindakan WAF
Pilih tindakan mana yang dijalankan WAF saat permintaan cocok dengan kondisi aturan. Application Gateway mendukung tindakan berikut:
- Izinkan: Permintaan melewati WAF dan diteruskan ke server belakang. Tidak ada aturan berprioritas lebih rendah lagi yang dapat memblokir permintaan ini. Tindakan ini hanya berlaku untuk Seperangkat Aturan Pengelola Bot. Mereka tidak berlaku untuk CRS.
- Blokir: Permintaan diblokir. WAF mengirimkan respons ke klien tanpa meneruskan permintaan ke ujung belakang.
- Log: Permintaan dicatat dalam log WAF. WAF terus mengevaluasi aturan berprioritas lebih rendah.
- Skor anomali: Tindakan ini adalah default untuk CRS. Skor anomali total bertambah ketika permintaan cocok dengan aturan yang memiliki tindakan ini. Penilaian anomali tidak berlaku untuk Set Aturan Pengelola Bot.
Mode penilaian anomali
OWASP memiliki dua mode untuk memutuskan apakah akan memblokir lalu lintas: penilaian tradisional dan anomali.
Dalam mode tradisional, lalu lintas yang cocok dengan aturan apa pun dianggap independen dari kecocokan aturan lain. Mode ini mudah dipahami, tetapi kurangnya informasi tentang berapa banyak aturan yang cocok dengan permintaan tertentu adalah batasan. Jadi, mode penilaian anomali diperkenalkan sebagai default untuk OWASP 3. x.
Dalam mode penilaian anomali, lalu lintas yang cocok dengan aturan apa pun tidak segera diblokir ketika firewall dalam mode pencegahan. Aturan memiliki tingkat keparahan tertentu: Kritis, Kesalahan, Peringatan, atau Pemberitahuan. Tingkat keparahan tersebut memengaruhi nilai numerik untuk permintaan, yang merupakan skor anomali. Misalnya, satu kecocokan aturan Peringatan berkontribusi 3 pada skor. Satu pencocokan aturan kritis menyumbang 5.
| Tingkat keparahan | Nilai |
|---|---|
| Kritis | 5 |
| Kesalahan | 4 |
| Peringatan | 3 |
| Pemberitahuan | 2 |
Ada ambang batas 5 untuk skor anomali untuk memblokir lalu lintas. Jadi, satu kecocokan aturan Kritis sudah cukup bagi APPLICATION Gateway WAF untuk memblokir permintaan dalam mode pencegahan. Tetapi satu kecocokan aturan Peringatan hanya meningkatkan skor anomali sebesar 3, yang tidak cukup dengan sendirinya untuk memblokir lalu lintas.
Catatan
Pesan yang dicatat saat aturan WAF cocok dengan lalu lintas menyertakan nilai tindakan Cocok. Jika skor anomali total dari semua aturan yang cocok adalah 5 atau lebih besar, dan kebijakan WAF berjalan dalam mode pencegahan, permintaan memicu aturan anomali wajib dengan nilai tindakan Diblokir, dan permintaan dihentikan. Jika kebijakan WAF berjalan dalam mode deteksi, permintaan memicu nilai tindakan Terdeteksi, dan permintaan dicatat dan diteruskan ke ujung belakang. Untuk informasi selengkapnya, lihat Memahami log WAF.
Konfigurasi
Anda dapat mengonfigurasi dan menyebarkan semua kebijakan WAF dengan menggunakan portal Microsoft Azure, REST API, templat Azure Resource Manager, dan Azure PowerShell. Anda juga dapat mengonfigurasi dan mengelola kebijakan WAF dalam skala besar dengan menggunakan integrasi Azure Firewall Manager. Untuk informasi selengkapnya, lihat Mengonfigurasi kebijakan WAF menggunakan Azure Firewall Manager.
Pemantauan WAF
Memantau kesehatan gateway aplikasi Anda penting. Anda dapat mencapai pemantauan ini dengan mengintegrasikan WAF Anda (dan aplikasi yang membantu melindungi) dengan log Microsoft Defender untuk Cloud, Azure Monitor, dan Azure Monitor.
Azure Monitor
Log Application Gateway terintegrasi dengan Azure Monitor sehingga Anda dapat melacak informasi diagnostik, termasuk pemberitahuan dan log WAF. Anda dapat mengakses kemampuan ini di portal Microsoft Azure, pada tab Diagnostik sumber daya Application Gateway. Atau Anda dapat mengaksesnya langsung di Azure Monitor.
Untuk mempelajari selengkapnya tentang menggunakan log, lihat Log diagnostik untuk Application Gateway.
Microsoft Defender untuk Cloud
Pertahanan untuk Cloud membantu Anda mencegah, mendeteksi, dan merespons ancaman. Ini memberikan peningkatan visibilitas ke dalam, dan kontrol atas, keamanan sumber daya Azure Anda. Application Gateway terintegrasi dengan Defender untuk Cloud.
Pertahanan untuk Cloud memindai lingkungan Anda untuk mendeteksi aplikasi web yang tidak terlindungi. Ini dapat merekomendasikan Application Gateway WAF untuk membantu melindungi sumber daya yang rentan ini.
Anda membuat firewall langsung dari Defender untuk Cloud. Instans WAF ini terintegrasi dengan Pertahanan untuk Cloud. Mereka mengirimkan peringatan dan informasi kesehatan ke Defender untuk Cloud untuk pelaporan.
Microsoft Sentinel
Microsoft Sentinel adalah solusi cloud-native yang dapat diskalakan yang mencakup manajemen peristiwa informasi keamanan (SIEM) dan respons otomatis orkestrasi keamanan (SOAR). Microsoft Sentinel memberikan analitik keamanan cerdas dan inteligensi ancaman di seluruh perusahaan. Ini menyediakan satu solusi untuk deteksi pemberitahuan, visibilitas ancaman, perburuan proaktif, dan respons ancaman.
Dengan buku kerja peristiwa firewall yang disertakan dalam Azure Web Application Firewall, Anda bisa mendapatkan gambaran umum tentang peristiwa keamanan di WAF Anda. Gambaran umum mencakup aturan yang cocok, aturan yang diblokir, dan semua aktivitas firewall lain yang dicatat.
Buku kerja Azure Monitor untuk WAF
Buku kerja Azure Monitor untuk WAF memungkinkan visualisasi kustom peristiwa WAF yang relevan dengan keamanan di beberapa panel yang dapat difilter. Ini berfungsi dengan semua jenis WAF, termasuk Application Gateway, Azure Front Door, dan Jaringan Pengiriman Konten Azure.
Anda dapat memfilter buku kerja ini berdasarkan jenis WAF atau instans WAF tertentu. Anda mengimpornya melalui templat Azure Resource Manager atau templat galeri.
Untuk menyebarkan buku kerja ini, lihat repositori GitHub untuk Azure Web Application Firewall.
Pelacakan
Application Gateway WAF menyediakan pelaporan terperinci tentang setiap ancaman yang dideteksinya. Pembuatan log terintegrasi dengan log Diagnostik Azure. Pemberitahuan direkam dalam format JSON. Anda dapat mengintegrasikan log ini dengan Log Azure Monitor.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "203.0.113.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
Harga WAF Application Gateway
Versi WAF_v1 dan WAF_v2 menggunakan model harga yang berbeda. Untuk informasi selengkapnya, lihat Harga Application Gateway.
Yang baru
Untuk mempelajari apa yang baru dengan Azure Web Application Firewall, lihat Perbarui Azure.