Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Azure Web Application Firewall (WAF) memberikan perlindungan terpusat untuk aplikasi web Anda dari eksploitasi dan kerentanan umum seperti injeksi SQL, pembuatan skrip lintas situs, dan serangan OWASP Top 10 lainnya. Sebagai komponen keamanan penting yang berada di antara aplikasi Anda dan potensi ancaman, penting untuk mengamankan penyebaran WAF Anda dengan benar untuk memaksimalkan efektivitasnya dan mempertahankan postur keamanan Anda secara keseluruhan.
Artikel ini menyediakan panduan tentang cara terbaik mengamankan penyebaran Azure Web Application Firewall Anda.
Keamanan jaringan
Keamanan jaringan untuk Azure Web Application Firewall berfokus pada perlindungan aplikasi Anda melalui manajemen lalu lintas yang tepat, memblokir alamat IP berbahaya, dan mengonfigurasi mode WAF dengan tepat. Kontrol ini membantu memastikan bahwa hanya lalu lintas yang sah yang mencapai aplikasi Anda sambil mempertahankan perlindungan komprehensif terhadap serangan berbasis web.
Konfigurasikan WAF dalam mode Pencegahan setelah periode dasar: Mulailah dengan mode Deteksi untuk memahami pola lalu lintas Anda dan mengidentifikasi positif palsu, lalu beralih ke mode Pencegahan untuk memblokir serangan secara aktif. Mode pencegahan memblokir gangguan dan serangan yang terdeteksi oleh aturan, serta mengirimkan kepada penyerang status pengecualian "403 akses tidak sah". Lihat mode WAF pada Application Gateway dan mode WAF pada Front Door.
Gunakan aturan kustom untuk memblokir alamat IP berbahaya: Buat aturan kustom untuk mengizinkan dan memblokir lalu lintas berdasarkan alamat IP, rentang, atau lokasi geografis. Ini memberikan kontrol terperinci atas siapa yang dapat mengakses aplikasi Anda dan membantu mencegah serangan dari pelaku jahat yang diketahui. Lihat Grup aturan CRS dan aturan Web Application Firewall.
Menyesuaikan aturan WAF untuk mengurangi positif palsu: Terapkan kebijakan WAF khusus situs dan sesuaikan aturan dan grup aturan agar sesuai dengan persyaratan aplikasi web Anda. Ini membantu menghilangkan positif palsu sambil mempertahankan perlindungan terhadap ancaman asli. Kaitkan Kebijakan Azure WAF unik untuk setiap situs untuk memungkinkan konfigurasi khusus situs.
Aktifkan pengelogan dan pemantauan komprehensif: Aktifkan Log Diagnostik dan WAF saat beroperasi dalam mode Deteksi untuk memantau dan mencatat semua peringatan ancaman. Ini memberikan visibilitas tentang apa yang dievaluasi, dicocokkan, dan diblokir oleh WAF Anda. Lihat Ringkasan pengelogan.
Gunakan tag untuk manajemen keamanan jaringan terorganisir: Terapkan tag ke grup keamanan jaringan yang terkait dengan WAF Anda di subnet Azure Application Gateway dan sumber daya keamanan jaringan terkait. Gunakan bidang "Deskripsi" untuk aturan NSG individual untuk menentukan kebutuhan dan durasi bisnis. Lihat Cara membuat dan menggunakan tag.
Memantau konfigurasi sumber daya jaringan: Gunakan Log Aktivitas Azure untuk memantau konfigurasi sumber daya jaringan dan mendeteksi perubahan untuk pengaturan jaringan dan sumber daya yang terkait dengan penyebaran WAF Anda. Buat pemberitahuan dalam Azure Monitor yang memicu saat perubahan pada pengaturan jaringan penting terjadi. Lihat Cara melihat dan menarik peristiwa Log Aktivitas Azure.
Menerapkan pembatasan laju untuk mencegah serangan DDoS: Mengonfigurasi aturan pembatasan laju untuk mengontrol jumlah permintaan yang diizinkan dari setiap alamat IP klien selama periode waktu tertentu. Tetapkan ambang batas laju yang sangat tinggi sehingga dapat mencegah pemblokiran terhadap lalu lintas yang sah sambil melindungi dari serangan coba ulang dan serangan DDoS. Lihat Apa itu pembatasan tarif untuk Azure Front Door?
Aktifkan perlindungan bot untuk memblokir bot berbahaya: Gunakan aturan terkelola perlindungan bot yang diatur untuk mengidentifikasi dan memblokir bot buruk sambil mengizinkan bot yang sah seperti perayap mesin pencari. Aturan perlindungan bot mengategorikan bot sebagai baik, buruk, atau tidak diketahui dan dapat secara otomatis memblokir lalu lintas bot berbahaya. Lihat Mengonfigurasi perlindungan bot untuk Web Application Firewall.
Menerapkan pemfilteran geografis untuk aplikasi regional: Jika aplikasi Anda melayani pengguna dari wilayah geografis tertentu, konfigurasikan pemfilteran geografis untuk memblokir permintaan dari luar negara atau wilayah yang diharapkan. Sertakan lokasi yang tidak diketahui (ZZ) untuk menghindari pemblokiran permintaan yang valid dari alamat IP yang tidak dipetakan. Lihat Apa itu pemfilteran geografis pada domain untuk Azure Front Door?
Gunakan versi seperangkat aturan terkelola terbaru: Perbarui secara teratur ke versi seperangkat aturan terbaru yang dikelola Azure untuk melindungi dari ancaman saat ini. Microsoft secara teratur memperbarui aturan terkelola berdasarkan lanskap ancaman dan jenis serangan OWASP Top 10. Lihat Grup aturan dan aturan DRS Azure Web Application Firewall.
Pengelolaan identitas
Manajemen identitas untuk Azure Web Application Firewall memastikan bahwa akses administratif ke sumber daya WAF Anda dikontrol dan dipantau dengan benar. Ini termasuk mempertahankan inventarisasi akun administratif, menggunakan sistem identitas terpusat, dan menerapkan mekanisme autentikasi yang kuat bagi siapa pun yang mengelola penyebaran WAF Anda.
Gunakan Azure Active Directory untuk autentikasi terpusat: Gunakan Azure AD sebagai sistem autentikasi dan otorisasi pusat Anda untuk mengelola sumber daya WAF. Azure AD melindungi data dengan enkripsi yang kuat dan menyediakan manajemen identitas yang konsisten di seluruh lingkungan Azure Anda. Lihat Cara membuat dan mengonfigurasi instans Azure Active Directory.
Pertahankan inventaris akun administratif: Gunakan peran bawaan Azure AD yang dapat dikueri dan harus ditetapkan secara eksplisit. Gunakan modul Azure AD PowerShell untuk melakukan kueri dan menemukan akun yang merupakan anggota grup administratif dengan akses ke sumber daya WAF. Lihat Cara mendapatkan peran direktori di Microsoft Azure ACTIVE Directory dengan PowerShell.
Aktifkan autentikasi multifaktor untuk akses administratif: Memerlukan MFA untuk semua pengguna dengan akses administratif ke sumber daya WAF. Ini menambahkan lapisan keamanan tambahan yang penting meskipun kata sandi disusupi. Ikuti rekomendasi Manajemen Identitas dan Akses Pertahanan Microsoft untuk Cloud. Lihat Cara mengaktifkan autentikasi multifaktor di Azure.
Gunakan akun administratif khusus dengan prosedur standar: Buat prosedur operasi standar sekeliling penggunaan akun administratif khusus yang memiliki akses ke instans Azure WAF. Gunakan fitur Manajemen Identitas dan Akses Pertahanan Microsoft untuk Cloud untuk memantau jumlah akun administratif. Lihat Memahami Microsoft Defender untuk Identitas dan Akses Cloud.
Mengelola akses hanya dari lokasi yang disetujui: Konfigurasikan kebijakan Akses Bersyarat dengan lokasi bernama untuk membatasi akses ke sumber daya WAF Anda. Buat pengelompokan logis rentang alamat IP atau negara dan wilayah, dan batasi akses ke sumber daya sensitif ke lokasi bernama yang dikonfigurasi. Lihat Apa kondisi lokasi di Akses Kondisional Azure Active Directory.
Memantau dan memperingatkan aktivitas akun yang mencurigakan: Gunakan laporan keamanan Microsoft Azure AD dan Microsoft Defender for Cloud untuk memantau aktivitas identitas dan akses. Siapkan pemberitahuan untuk aktivitas yang mencurigakan atau tidak aman dan integrasikan dengan Microsoft Sentinel untuk deteksi ancaman tingkat lanjut. Lihat Cara mengidentifikasi pengguna Microsoft Azure Active Directory yang ditandai untuk aktivitas berisiko.
Akses istimewa
Kontrol akses istimewa untuk Azure Web Application Firewall berfokus pada pembatasan dan pemantauan akses administratif ke sumber daya WAF Anda. Langkah-langkah ini membantu mencegah perubahan yang tidak sah pada konfigurasi keamanan Anda dan memastikan bahwa operasi istimewa dilacak dan diaudit dengan benar.
Gunakan Azure RBAC untuk mengontrol akses sumber daya: Mengontrol akses ke sumber daya Azure WAF Anda menggunakan kontrol akses berbasis peran Azure. Terapkan prinsip hak istimewa paling sedikit dengan hanya menetapkan izin minimum yang diperlukan untuk pengguna dan layanan. Lihat Cara mengonfigurasi Azure RBAC di Azure.
Gunakan Stasiun Kerja Akses Istimewa untuk tugas administratif: Gunakan stasiun kerja khusus yang diperkeras dengan autentikasi multifaktor yang dikonfigurasi untuk masuk dan mengonfigurasi Azure WAF dan sumber daya terkait. Ini mengurangi risiko kompromi administratif melalui stasiun kerja pengguna standar. Lihat Pelajari tentang Stasiun Kerja Akses Istimewa.
Meninjau dan mendamaikan akses pengguna secara teratur: Gunakan Tinjauan Akses Identitas Azure untuk mengelola keanggotaan grup, akses ke aplikasi perusahaan, dan penetapan peran secara efisien untuk sumber daya WAF. Tinjau akses pengguna secara teratur untuk memastikan hanya pengguna aktif yang memiliki akses berkelanjutan. Lihat Cara menggunakan Tinjauan Akses Identitas Azure.
Memantau akses ke kredensial yang dinonaktifkan: Mengintegrasikan sumber log Aktivitas Masuk, Audit, dan Peristiwa Risiko Microsoft Azure AD dengan Microsoft Sentinel atau alat SIEM lainnya. Buat Pengaturan Diagnostik untuk akun pengguna Azure AD dan kirim log audit dan masuk ke ruang kerja Log Analytics untuk pemantauan. Lihat Cara mengintegrasikan Log Aktivitas Azure ke Azure Monitor.
Mengonfigurasi respons otomatis terhadap aktivitas mencurigakan: Gunakan fitur Perlindungan Risiko dan Identitas Azure AD untuk mengonfigurasi respons otomatis terhadap tindakan mencurigakan yang terdeteksi terkait identitas pengguna. Menyerap data ke Microsoft Sentinel untuk penyelidikan dan respons lebih lanjut. Lihat Cara mengonfigurasi dan mengaktifkan kebijakan risiko Perlindungan Identitas.
Pengelogan dan deteksi ancaman
Pengelogan komprehensif dan deteksi ancaman sangat penting untuk mempertahankan visibilitas ke dalam postur keamanan Web Application Firewall Anda. Kemampuan ini membantu Anda mendeteksi ancaman, menyelidiki insiden, dan menjaga kepatuhan dengan mengumpulkan dan menganalisis peristiwa keamanan di seluruh penyebaran WAF Anda.
Aktifkan manajemen log terpusat dengan Microsoft Sentinel: Konfigurasikan log Azure WAF untuk dikirim ke Microsoft Azure Sentinel atau SIEM pihak ketiga. Ini termasuk log Azure Activity, log Diagnostic, dan log WAF real-time yang memberikan wawasan mengenai data yang dievaluasi, dicocokkan, dan diblokir oleh WAF Anda. Lihat Menyambungkan data dari firewall aplikasi web Microsoft ke Microsoft Azure Sentinel.
Aktifkan pengelogan audit komprehensif: Aktifkan pengelogan untuk sumber daya Azure WAF Anda untuk menangkap log audit, keamanan, dan diagnostik. Azure WAF menyediakan pelaporan terperinci tentang setiap ancaman yang terdeteksi melalui log diagnostik yang dikonfigurasi, termasuk sumber peristiwa, tanggal, pengguna, tanda waktu, dan alamat. Lihat Ringkasan pengelogan.
Mengonfigurasi kebijakan retensi penyimpanan log: Kirim log Azure WAF ke akun penyimpanan kustom dan tentukan kebijakan penyimpanan berdasarkan persyaratan kepatuhan organisasi Anda. Gunakan Azure Monitor untuk mengatur periode retensi ruang kerja Analitik Log Anda dengan tepat. Lihat Mengonfigurasi pemantauan untuk akun penyimpanan.
Memantau dan meninjau log secara teratur: Tinjau log WAF yang memberikan pelaporan terperinci tentang setiap ancaman yang terdeteksi. Gunakan rekomendasi Microsoft Defender for Cloud untuk mendeteksi aplikasi web yang tidak terlindungi dan melindungi sumber daya yang rentan. Manfaatkan buku kerja WAF bawaan Microsoft Sentinel untuk gambaran umum peristiwa keamanan. Lihat Cara mengaktifkan pengaturan diagnostik untuk Azure Application Gateway.
Membuat pemberitahuan untuk aktivitas anomali: Mengaktifkan pengaturan diagnostik Log Aktivitas Azure dan pengaturan diagnostik WAF dan mengirim log ke ruang kerja Analitik Log. Buat pemberitahuan untuk aktivitas anomali berdasarkan metrik WAF, seperti ketika permintaan yang diblokir melebihi ambang batas yang ditentukan. Lihat Cara membuat pemberitahuan dalam Azure.
Gunakan sumber sinkronisasi waktu yang disetujui: Buat aturan jaringan untuk Azure WAF untuk memungkinkan akses ke server NTP dengan port dan protokol yang sesuai, seperti port 123 melalui UDP, memastikan tanda waktu yang akurat di log dan peristiwa Anda.
Aktifkan perlindungan data sensitif dengan scrubbing log: Konfigurasikan aturan scrubbing log untuk menghapus informasi sensitif seperti kata sandi, alamat IP, dan data pribadi dari log WAF Anda. Ini melindungi data pelanggan sambil mempertahankan visibilitas keamanan. Lihat Apa itu Perlindungan Data Sensitif Azure Web Application Firewall? dan Perlindungan Data Sensitif Azure Web Application Firewall.
Mengonfigurasi pengaturan diagnostik untuk pengelogan komprehensif: Aktifkan pengaturan diagnostik pada sumber daya WAF Anda untuk menyimpan log ke Analitik Log, Akun Penyimpanan, atau Pusat Aktivitas. Tinjauan log reguler membantu menyetel kebijakan WAF Anda dan memahami pola serangan terhadap aplikasi Anda. Lihat Pemantauan dan pengelogan Azure Web Application Firewall.
Perlindungan data
Perlindungan data untuk Azure Web Application Firewall melibatkan pengamanan informasi sensitif yang diproses oleh WAF Anda, menerapkan enkripsi yang tepat, dan mempertahankan kontrol akses yang sesuai. Langkah-langkah ini membantu melindungi aplikasi Anda dan data yang mereka tangani dari akses dan pengungkapan yang tidak sah.
Menandai sumber daya yang menangani informasi sensitif: Gunakan tag untuk mengidentifikasi dan melacak Azure WAF dan sumber daya terkait yang menyimpan atau memproses informasi sensitif. Ini membantu pelaporan kepatuhan dan memastikan kontrol keamanan yang sesuai diterapkan. Lihat Cara membuat dan menggunakan tag.
Menerapkan isolasi lingkungan: Gunakan langganan dan grup manajemen terpisah untuk domain keamanan yang berbeda seperti lingkungan pengembangan, pengujian, dan produksi. Ini mencegah paparan data lintas lingkungan dan memungkinkan kontrol keamanan khusus lingkungan. Lihat Cara membuat langganan Azure tambahan.
Pastikan enkripsi saat transit: Verifikasi bahwa klien yang terhubung ke instans Azure WAF Anda dan sumber daya terkait dapat menegosiasikan TLS 1.2 atau yang lebih besar. Ikuti rekomendasi Pertahanan Microsoft untuk Cloud untuk enkripsi saat tidak aktif dan saat transit. Lihat Memahami enkripsi saat transit dengan Azure.
Gunakan enkripsi saat tidak aktif untuk sumber daya WAF: Terapkan enkripsi saat tidak aktif untuk semua sumber daya Azure termasuk Azure WAF dan sumber daya terkait. Microsoft merekomendasikan agar Azure dapat mengelola kunci enkripsi, tetapi Anda dapat mengelola kunci Anda sendiri saat ada persyaratan tertentu. Lihat Memahami enkripsi saat tidak aktif di Azure.
Memantau perubahan pada sumber daya penting: Konfigurasikan Azure WAF Anda untuk dijalankan dalam mode Pencegahan setelah membuat garis besar, dan gunakan Azure Monitor untuk membuat pemberitahuan saat perubahan terjadi pada sumber daya atau konfigurasi WAF penting. Lihat mode WAF di Application Gateway.
Aktifkan pemeriksaan isi permintaan: Konfigurasikan kebijakan WAF untuk memeriksa badan permintaan HTTP, bukan hanya header, cookie, dan URI. Ini memungkinkan WAF mendeteksi ancaman yang tersembunyi dalam data POST dan payload JSON. Lihat Azure Web Application Firewall dan Azure Policy.
Gunakan kunci yang dikelola pelanggan untuk enkripsi yang ditingkatkan: Pertimbangkan untuk menggunakan kunci yang dikelola pelanggan yang disimpan di Azure Key Vault untuk persyaratan enkripsi yang melebihi kunci yang dikelola platform. Ini memberikan kontrol tambahan atas siklus hidup dan akses kunci enkripsi. Lihat Cara mengonfigurasi kunci enkripsi yang dikelola pelanggan.
Manajemen aset
Manajemen aset yang efektif membantu Anda mempertahankan visibilitas dan kontrol atas sumber daya Web Application Firewall Anda. Ini termasuk penemuan otomatis, pemberian tag yang tepat, rekonsiliasi inventarisasi reguler, dan penegakan kebijakan untuk memastikan penyebaran WAF Anda tetap aman dan sesuai.
Gunakan penemuan aset otomatis: Gunakan Azure Resource Graph untuk mengkueri dan menemukan semua sumber daya terkait WAF termasuk komputasi, penyimpanan, jaringan, port, dan protokol dalam langganan Anda. Pastikan Anda memiliki izin baca yang sesuai dan dapat menghitung semua langganan dan sumber daya Azure. Lihat Cara membuat kueri dengan Azure Resource Graph.
Pertahankan metadata aset dengan tag: Terapkan tag ke kebijakan Azure WAF dan sumber daya terkait untuk mengatur akses dan manajemen secara logis. Tag dapat dikaitkan dengan sumber daya dan diterapkan untuk mengatur akses ke sumber daya ini dalam langganan Anda. Lihat Cara membuat dan menggunakan Tag.
Mengatur dan melacak sumber daya secara sistematis: Menggunakan penandaan, grup manajemen, dan langganan terpisah untuk mengatur dan melacak Azure WAF dan sumber daya terkait. Rekonsiliasi inventarisasi secara teratur dan pastikan sumber daya yang tidak sah dihapus dari langganan secara tepat waktu. Lihat Cara membuat Grup Manajemen.
Tentukan dan pertahankan inventarisasi sumber daya yang disetujui: Buat inventarisasi sumber daya yang disetujui termasuk konfigurasinya berdasarkan kebutuhan organisasi. Gunakan Azure Policy untuk membatasi jenis sumber daya yang dapat dibuat di langganan Anda dan pastikan semua sumber daya yang ada disetujui. Lihat Cara mengonfigurasi dan mengelola Azure Policy.
Memantau sumber daya yang tidak disetujui: Gunakan Azure Policy untuk membatasi jenis sumber daya dan memantau sumber daya Azure WAF yang tidak disetujui dalam langganan Anda. Gunakan Azure Resource Graph untuk mengkueri dan menemukan sumber daya, memastikan bahwa semua Azure WAF dan sumber daya terkait di lingkungan Anda disetujui. Lihat Cara membuat kueri dengan Azure Graph.
Batasi akses Azure Resource Manager: Gunakan Akses Bersyarah Azure untuk membatasi kemampuan pengguna untuk berinteraksi dengan Azure Resource Manager dengan mengonfigurasi "Blokir akses" untuk aplikasi "Microsoft Azure Management". Ini membantu mencegah perubahan yang tidak sah pada sumber daya WAF Anda. Lihat Cara mengonfigurasi Akses Bersyarat untuk memblokir akses ke Pengelola Sumber Daya Azure.
Kepatuhan dan tata kelola kebijakan
Kepatuhan dan tata kelola kebijakan memastikan bahwa penyebaran Web Application Firewall Anda memenuhi standar organisasi dan persyaratan peraturan. Kontrol ini membantu mempertahankan konfigurasi keamanan yang konsisten di seluruh lingkungan Anda dan menyediakan pemantauan dan penegakan kepatuhan otomatis.
Gunakan Azure Policy untuk memberlakukan penyebaran WAF: Menerapkan definisi Azure Policy untuk memerlukan penyebaran WAF pada sumber daya Azure Front Door dan Application Gateway. Konfigurasikan kebijakan untuk mengaudit, menolak, atau secara otomatis memulihkan sumber daya yang tidak patuh. Lihat Azure Web Application Firewall dan Azure Policy.
Mengamanatkan kepatuhan mode WAF: Gunakan Azure Policy untuk memberlakukan bahwa semua kebijakan WAF beroperasi dalam mode Pencegahan setelah penyetelan awal. Ini memastikan perlindungan yang konsisten di seluruh lingkungan Anda dan mencegah penyebaran WAF yang tidak disengaja dalam mode khusus Deteksi. Lihat Azure Web Application Firewall dan Azure Policy.
Memerlukan kepatuhan pengelogan sumber daya: Terapkan kebijakan yang mengamanatkan pengaktifan log sumber daya dan metrik pada semua layanan berkemampuan WAF. Ini memastikan pengelogan yang konsisten untuk pemantauan keamanan dan persyaratan kepatuhan di seluruh organisasi Anda. Lihat Azure Web Application Firewall dan Azure Policy.
Terapkan penggunaan tingkat Premium untuk keamanan yang ditingkatkan: Gunakan Azure Policy untuk mewajibkan tingkat Azure Front Door Premium untuk semua profil, memastikan akses ke fitur WAF tingkat lanjut seperti seperangkat aturan terkelola, perlindungan bot, dan kemampuan tautan privat. Lihat Azure Web Application Firewall dan Azure Policy.
Tentukan konfigurasi WAF sebagai kode: Terapkan infrastruktur sebagai praktik kode menggunakan templat ARM, Bicep, atau Terraform untuk mempertahankan konfigurasi WAF yang konsisten di seluruh lingkungan. Pendekatan ini menyederhanakan manajemen pengecualian aturan dan mengurangi penyimpangan konfigurasi. Lihat Praktik terbaik untuk Azure Web Application Firewall di Azure Front Door.
Menerapkan pemantauan kepatuhan otomatis: Gunakan Pertahanan Microsoft untuk Cloud dan Azure Policy untuk terus memantau kepatuhan WAF dan menerima rekomendasi untuk aplikasi web yang tidak terlindungi. Konfigurasikan pemberitahuan otomatis untuk pelanggaran kebijakan dan penyimpangan kepatuhan. Lihat Azure Web Application Firewall dan Azure Policy.