Browser ini sudah tidak didukung.
Mutakhirkan ke Microsoft Edge untuk memanfaatkan fitur, pembaruan keamanan, dan dukungan teknis terkini.
Garis besar keamanan ini menerapkan panduan dari tolok ukur keamanan cloud Microsoft versi 1.0 ke Azure Web Application Firewall. Tolok ukur keamanan cloud Microsoft memberikan rekomendasi tentang bagaimana Anda dapat mengamankan solusi cloud Anda di Azure. Konten dikelompokkan menurut kontrol keamanan yang ditentukan oleh tolok ukur keamanan cloud Microsoft dan panduan terkait yang berlaku untuk Azure Web Application Firewall.
Anda dapat memantau garis besar keamanan ini dan rekomendasinya menggunakan Microsoft Defender untuk Cloud. definisi Azure Policy akan tercantum di bagian Kepatuhan Terhadap Peraturan di halaman portal Microsoft Defender untuk Cloud.
Ketika fitur memiliki Definisi Azure Policy yang relevan, fitur tersebut tercantum dalam garis besar ini untuk membantu Anda mengukur kepatuhan dengan kontrol dan rekomendasi tolok ukur keamanan cloud Microsoft. Beberapa rekomendasi mungkin memerlukan paket Microsoft Defender berbayar untuk mengaktifkan skenario keamanan tertentu.
Catatan
Fitur yang tidak berlaku untuk Azure Web Application Firewall telah dikecualikan. Untuk melihat bagaimana Azure Web Application Firewall memetakan sepenuhnya ke tolok ukur keamanan cloud Microsoft, lihat file pemetaan garis besar keamanan Azure Web Application Firewall lengkap.
Profil keamanan meringkas perilaku berdampak tinggi dari Azure Web Application Firewall, yang dapat mengakibatkan peningkatan pertimbangan keamanan.
| Atribut Perilaku Layanan | Nilai |
|---|---|
| Kategori Produk | Jaringan, Keamanan, Web |
| Pelanggan dapat mengakses HOST / OS | Tidak Ada Akses |
| Layanan dapat disebarkan ke jaringan virtual pelanggan | True |
| Menyimpan konten pelanggan saat tidak aktif | FALSE |
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Keamanan jaringan.
Deskripsi: Layanan mendukung penyebaran ke Virtual Network privat pelanggan (VNet). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | True | Microsoft |
Panduan Konfigurasi: Tidak ada konfigurasi tambahan yang diperlukan karena ini diaktifkan pada penyebaran default.
Deskripsi: Lalu lintas jaringan layanan menghormati penetapan aturan Kelompok Keamanan Jaringan pada subnetnya. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan grup keamanan jaringan (NSG) untuk membatasi atau memantau lalu lintas berdasarkan port, protokol, alamat IP sumber, atau alamat IP tujuan. Buat aturan NSG untuk membatasi port terbuka layanan Anda (seperti mencegah port manajemen diakses dari jaringan yang tidak tepercaya). Ketahuilah bahwa secara default, NSG menolak semua lalu lintas masuk tetapi mengizinkan lalu lintas dari jaringan virtual dan Azure Load Balancer.
Definisi bawaan Azure Policy - Microsoft.Network:
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| Subnet harus dikaitkan dengan Grup Keamanan Jaringan | Lindungi subnet Anda dari potensi ancaman dengan membatasi aksesnya dengan Network Security Group (NSG). NSG berisi daftar aturan Access Control List (ACL) yang mengizinkan atau menolak lalu lintas jaringan ke subnet Anda. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
Deskripsi: Kemampuan pemfilteran IP asli layanan untuk memfilter lalu lintas jaringan (tidak bingung dengan NSG atau Azure Firewall). Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Untuk informasi selengkapnya, silakan kunjungi Mengamankan Asal Anda dengan Private Link di Azure Front Door Premium dan Konfigurasikan Azure Application Gateway Private Link.
Panduan Konfigurasi: Sebarkan titik akhir privat untuk semua sumber daya Azure yang mendukung fitur Private Link, untuk membuat titik akses privat untuk sumber daya.
Deskripsi: Layanan mendukung penonaktifan akses jaringan publik baik melalui menggunakan aturan pemfilteran IP ACL tingkat layanan (bukan NSG atau Azure Firewall) atau menggunakan sakelar pengalih 'Nonaktifkan Akses Jaringan Publik'. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Dalam WAF regional yang menawarkan pelanggan memiliki opsi untuk menggunakan IP privat dan menolak lalu lintas IP publik.
Panduan Konfigurasi: Nonaktifkan akses jaringan publik baik menggunakan aturan pemfilteran IP ACL tingkat layanan atau sakelar pengalih untuk akses jaringan publik.
Referensi: Penyebaran Application Gateway privat
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Akses istimewa.
Deskripsi: Customer Lockbox dapat digunakan untuk akses dukungan Microsoft. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| Salah | Tidak berlaku | Tidak berlaku |
Panduan Konfigurasi: Fitur ini tidak didukung untuk mengamankan layanan ini.
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Perlindungan data.
Deskripsi: Alat (seperti Azure Purview atau Azure Information Protection) dapat digunakan untuk penemuan dan klasifikasi data dalam layanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Pelanggan dapat menjalankan alat ini pada log mereka dalam Log Analytics, tetapi WAF itu sendiri tidak menyimpan data pelanggan sensitif apa pun untuk ditemukan dan diklasifikasikan.
Selain itu, ada fitur dalam WAF yang memungkinkan identifikasi dan masking data sensitif.
Panduan Konfigurasi: Alat Scrubbing Log Web Application Firewall (WAF) membantu Anda menghapus data sensitif dari log WAF Anda. Ini bekerja dengan menggunakan mesin aturan yang memungkinkan Anda membuat aturan kustom untuk mengidentifikasi bagian tertentu dari permintaan yang berisi data sensitif. Setelah diidentifikasi, alat ini menggosok informasi tersebut dari log Anda dan menggantinya dengan *******.
Referensi: Cara menutupi data sensitif di Azure Web Application Firewall
Deskripsi: Layanan mendukung enkripsi dalam transit data untuk bidang data. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Untuk informasi selengkapnya, silakan kunjungi Mengonfigurasi HTTPS pada domain kustom Azure Front Door menggunakan portal Azure, Cara mengonfigurasi asal untuk Azure Front Door, dan Gambaran Umum penghentian TLS dan TLS ujung ke ujung dengan Application Gateway.
Panduan Konfigurasi: Aktifkan transfer aman dalam layanan di mana ada data asli dalam fitur enkripsi transit bawaan. Terapkan HTTPS pada aplikasi dan layanan web apa pun dan pastikan TLS v1.2 atau yang lebih baru digunakan. Versi warisan seperti SSL 3.0, TLS v1.0 harus dinonaktifkan. Untuk manajemen jarak jauh Virtual Machines, gunakan SSH (untuk Linux) atau RDP/TLS (untuk Windows) alih-alih protokol yang tidak terenkripsi.
Deskripsi: Layanan ini mendukung integrasi Azure Key Vault untuk sertifikat pelanggan apa pun. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: WAF mendukung integrasi Key Vault untuk sertifikat melalui Azure Front Door dan Application Gateway tergantung pada versi WAF mana yang dijalankan pelanggan.
Untuk informasi selengkapnya, silakan kunjungi: Mulai Cepat: Membuat profil Azure Front Door - portal Azure dan Tutorial: Mengonfigurasi HTTPS pada domain kustom Azure CDN.
Panduan Konfigurasi: Gunakan Azure Key Vault untuk membuat dan mengontrol siklus hidup sertifikat, termasuk pembuatan, impor, rotasi, pencabutan, penyimpanan, dan pembersihan sertifikat. Pastikan pembuatan sertifikat mengikuti standar yang ditentukan tanpa menggunakan properti yang tidak aman, seperti: ukuran kunci yang tidak cukup, periode validitas yang terlalu lama, kriptografi yang tidak aman. Siapkan rotasi otomatis sertifikat di Azure Key Vault dan layanan Azure (jika didukung) berdasarkan jadwal yang ditentukan atau ketika ada kedaluwarsa sertifikat. Jika rotasi otomatis tidak didukung dalam aplikasi, pastikan mereka masih diputar menggunakan metode manual di Azure Key Vault dan aplikasi.
Referensi: Penghentian TLS dengan sertifikat Key Vault
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Manajemen aset.
Deskripsi: Konfigurasi layanan dapat dipantau dan diberlakukan melalui Azure Policy. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Catatan fitur: Pelanggan harus memilih Kebijakan Azure mana yang akan diaktifkan pada penyebaran WAF mereka; mereka tidak diaktifkan secara default.
Panduan Konfigurasi: Gunakan Microsoft Defender untuk Cloud untuk mengonfigurasi Azure Policy untuk mengaudit dan menerapkan konfigurasi sumber daya Azure Anda. Gunakan Azure Monitor untuk membuat peringatan saat ada deviasi konfigurasi yang terdeteksi pada sumber daya. Gunakan efek [tolak] dan [sebarkan jika tidak ada] Azure Policy untuk menerapkan konfigurasi aman di seluruh sumber daya Azure.
Referensi: Azure Web Application Firewall dan Azure Policy
Untuk informasi selengkapnya, lihat tolok ukur keamanan cloud Microsoft: Pengelogan dan deteksi ancaman.
Deskripsi: Layanan memiliki solusi Microsoft Defender khusus penawaran untuk memantau dan memperingatkan masalah keamanan. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | FALSE | Pelanggan |
Panduan Konfigurasi: Gunakan Azure Active Directory (Azure AD) sebagai metode autentikasi default untuk mengontrol akses sarana manajemen Anda. Saat Anda mendapatkan pemberitahuan dari Microsoft Defender untuk Key Vault, selidiki dan tanggapi pemberitahuan tersebut.
Referensi: Menampilkan pemberitahuan Azure WAF di Defender untuk Cloud
Deskripsi: Layanan menghasilkan log sumber daya yang dapat menyediakan metrik dan pengelogan khusus layanan yang ditingkatkan. Pelanggan dapat mengonfigurasi log sumber daya ini dan mengirimkannya ke sink data mereka sendiri seperti akun penyimpanan atau ruang kerja analitik log. Pelajari lebih lanjut.
| Didukung | Diaktifkan Secara Default | Tanggung Jawab Konfigurasi |
|---|---|---|
| True | Salah | Pelanggan |
Catatan fitur: Untuk informasi selengkapnya, kunjungi Pemantauan dan pengelogan Azure Web Application Firewall dan Pemantauan dan Pengelogan Azure Web Application Firewall.
Panduan Konfigurasi: Aktifkan log sumber daya untuk layanan. Misalnya, Key Vault mendukung log sumber daya tambahan untuk tindakan yang mendapatkan rahasia dari brankas kunci atau dan Azure SQL memiliki log sumber daya yang melacak permintaan ke database. Konten log sumber daya bervariasi menurut jenis layanan dan sumber daya Azure.
Pelatihan
Jalur pembelajaran
Mengelola operasi keamanan di Azure - Training
Pelajari cara mengonfigurasi kebijakan keamanan dan mengelola pemberitahuan keamanan dengan alat dan layanan di Azure.
Sertifikasi
Bersertifikat Microsoft: Rekan Analis Operasi Keamanan - Certifications
Selidiki, cari, dan mitigasi ancaman menggunakan Microsoft Sentinel, Microsoft Defender untuk Cloud, dan Pertahanan Microsoft 365.
Dokumentasi
Apa itu Azure Web Application Firewall di Azure Application Gateway?
Artikel ini menyediakan ringkasan Web Application Firewall (WAF) di Application Gateway
Azure Web Application Firewall pada Application Gateway - pertanyaan umum
Artikel ini memberikan jawaban atas pertanyaan umum tentang Web Application Firewall pada Application Gateway
Pengenalan Azure Web Application Firewall
Artikel ini menyediakan gambaran umum Azure Web Application Firewall (WAF)