Esercitazione: Configurare Azure Active Directory B2C con il Firewall per applicazioni web di Azure

Importante

A partire dal 1° maggio 2025, Azure AD B2C non sarà più disponibile per l'acquisto per i nuovi clienti. Altre informazioni sono disponibili nelle domande frequenti.

Informazioni su come abilitare il servizio Web application firewall (WAF) di Azure per un tenant di Azure Active Directory B2C (Azure AD B2C) con un dominio personalizzato. WAF protegge le applicazioni Web da exploit e vulnerabilità comuni, ad esempio scripting tra siti, attacchi DDoS e attività di bot dannose.

Vedere Che cos'è Web application firewall di Azure?

Prerequisiti

Per iniziare, è necessario:

• Una sottoscrizione di Azure
• Se non si ha una sottoscrizione, è possibile creare un account Azure gratuito
• Un tenant di Azure AD B2C : server di autorizzazione che verifica le credenziali utente usando criteri personalizzati definiti nel tenant
  • Noto anche come fornitore di identità (IdP)
  • Vedere Esercitazione: Creare un tenant di Azure Active Directory B2C
• Azure Front Door Premium: abilita domini personalizzati per il tenant di Azure AD B2C ed è ottimizzato per la sicurezza con accesso ai set di regole gestite di WAF.
  • Vedere la documentazione di Frontdoor di Azure e della rete CDN
• WAF : gestisce il traffico inviato al server di autorizzazione
  • Firewall per applicazioni web di Azure (richiede SKU Premium)

Domini personalizzati in Azure AD B2C

Per usare domini personalizzati in Azure AD B2C, usare le funzionalità di dominio personalizzate in Frontdoor di Azure. Vedere Abilitare domini personalizzati per Azure AD B2C.

Importante

Dopo aver configurato il dominio personalizzato, vedere Testare il dominio personalizzato.

Abilitare WAF

Per abilitare WAF, configurare un criterio WAF e associarlo al servizio Azure Front Door Premium per la protezione. Frontdoor di Azure Premium è ottimizzato per la sicurezza e consente di accedere ai set di regole gestiti da Azure che proteggono da vulnerabilità e exploit comuni, tra cui scripting tra siti e exploit Java. WAF fornisce set di regole che consentono di proteggere l'utente da attività di bot dannosi. WAF offre la protezione DDoS di livello 7 per l'applicazione.

Creare un criterio WAF

Creare un criterio WAF con il set di regole predefinito gestito da Azure.Create a WAF policy with Azure-managed default rule set (DRS). Vedere Gruppi di regole e regole DRS di Web Application Firewall.

1. Accedi al portale di Azure.
2. Selezionare Crea una risorsa.
3. Cerca Azure WAF.
4. Seleziona il Web Application Firewall (WAF) del servizio Azure di Microsoft.
5. Fare clic su Crea.
6. Passare alla pagina Crea una politica WAF.
7. Selezionare la scheda Informazioni di base.
8. Per la politica di per, selezionare Global WAF (Front Door).
9. Per SKU di Frontdoor selezionare lo SKU Premium .
10. Per Sottoscrizione selezionare il nome della sottoscrizione di Front Door.
11. Per gruppo di risorse, selezionare il nome del gruppo di risorse Front Door.
12. Per il nome del criterio, inserire un nome univoco per il criterio WAF.
13. Per Stato dei criteriselezionare Abilitato.
14. Per modalità di criterio, selezionare Rilevamento.
15. Passare alla scheda Associazione della pagina Crea una policy WAF.
16. Selezionare + Associare un profilo di Front Door.
17. Per Frontdoor selezionare il nome di Frontdoor associato al dominio personalizzato di Azure AD B2C.
18. Per Domini selezionare i domini personalizzati di Azure AD B2C a cui associare i criteri WAF.
19. Seleziona Aggiungi.
20. Selezionare Rivedi e crea.
21. Fare clic su Crea.

Set di regole predefinito

Quando si crea un nuovo criterio WAF per Frontdoor di Azure, viene distribuito automaticamente con la versione più recente del set di regole predefinito gestito da Azure.When you create a new WAF policy for Azure Frontdoor, it deploys automatically with the latest version of Azure-managed default ruleset (DRS). Questo set di regole protegge le applicazioni Web da vulnerabilità e exploit comuni. I set di regole gestiti da Azure consentono di distribuire in modo semplice la protezione da un set comune di minacce alla sicurezza. Poiché Azure gestisce questi set di regole, le regole vengono aggiornate in base alle esigenze per proteggersi dalle nuove firme di attacco. Il DRS include le regole della Microsoft Threat Intelligence Collection, scritte in collaborazione con il team di intelligence Microsoft, per fornire una maggiore copertura, patch per vulnerabilità specifiche e una riduzione migliorata dei falsi positivi.

Altre informazioni: Gruppi di regole e regole DRS di Web Application Firewall di Azure

Set di regole di Bot Manager

Per impostazione predefinita, il WAF Front Door di Azure viene distribuito con la versione più recente del set di regole del Bot Manager gestito da Azure. Questo set di regole classifica il traffico del bot in bot validi, non validi e sconosciuti. Le firme del bot dietro questo set di regole vengono gestite dalla piattaforma WAF e vengono aggiornate in modo dinamico.

Altre informazioni: Cos'è il Web Application Firewall di Azure Front Door?

Limitazione della velocità

La limitazione della velocità consente di rilevare e bloccare livelli anomali di traffico da qualsiasi indirizzo IP del socket. Usando Azure WAF in Frontdoor di Azure, è possibile attenuare alcuni tipi di attacchi Denial of Service. La limitazione della frequenza protegge l'utente dai client che sono stati accidentalmente configurati in modo errato per inviare grandi volumi di richieste in un breve periodo di tempo. La limitazione della frequenza deve essere configurata manualmente nel WAF usando regole personalizzate.

Ulteriori informazioni:

• Limitazione della velocità del firewall per applicazioni web per Azure Front Door
• Configurare una regola WAF di rate limit per Azure Front Door

Modalità di rilevamento e prevenzione

Quando si crea una policy WAF, la policy inizia in modalità rilevamento. È consigliabile lasciare i criteri WAF in modalità rilevamento mentre si ottimizza il WAF in base al traffico. In questa modalità WAF non blocca le richieste. Al contrario, le richieste che corrispondono alle regole WAF vengono registrate dal WAF dopo l'abilitazione della registrazione.

Abilitare la registrazione: monitoraggio e registrazione di Web application firewall di Azure

Dopo aver abilitato la registrazione e il WAF inizia a ricevere il traffico delle richieste, è possibile iniziare l'ottimizzazione del WAF esaminando i log.

Scopri di più: Configura il Firewall applicazione Web di Azure per Azure Front Door

La query seguente mostra le richieste bloccate dai criteri WAF nelle ultime 24 ore. I dettagli includono, il nome della regola, i dati della richiesta, l'azione eseguita dai criteri e la modalità dei criteri.

AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s

ID regola	Messaggio di dettaglio	Azione	Modalità	DettagliDati
DefaultRuleSet-1.0-SQLI-942430	Rilevamento anomalie dei caratteri SQL con restrizioni (arg): numero di caratteri speciali superati (12)	Blocco	rilevamento	Dati corrispondenti: CfDJ8KQ8bY6D

Esaminare i registri WAF per determinare se le regole di policy causano falsi positivi. Escludere quindi le regole WAF in base ai log WAF.

Ulteriori informazioni

• Configurare elenchi di esclusione WAF per Frontdoor di Azure
• Elenchi di esclusione di Web Application Firewall in Azure Front Door

Una volta configurato il logging e il WAF riceve traffico, è possibile valutare l'efficacia delle regole del gestore di bot nella gestione del traffico dei bot. La query seguente mostra le azioni eseguite dal set di regole di Gestione bot, categorizzate per tipo di bot. In modalità rilevamento, WAF registra solo le azioni del traffico del bot. Tuttavia, una volta passata alla modalità di prevenzione, il WAF inizia a bloccare attivamente il traffico del bot indesiderato.

AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked

Cambio di modalità

Per vedere WAF intervenire sul traffico delle richieste, selezionare Passa alla modalità di prevenzione nella pagina Panoramica, che modifica la modalità da Rilevamento a Prevenzione. Le richieste che corrispondono alle regole nel DRS vengono bloccate e registrate nei log WAF. Il WAF esegue l'azione prescritta quando una richiesta corrisponde a una o più regole nel servizio DRS e registra i risultati. Per impostazione predefinita, il DRS è impostato sulla modalità di valutazione delle anomalie. Questo significa che il WAF non esegue alcuna azione su una richiesta a meno che non sia raggiunta la soglia del punteggio di anomalie.

Altre informazioni: Assegnazione di punteggi di anomalie ai gruppi di regole e alle regole DRS del Web Application Firewall di Azure

Per ripristinare la modalità rilevamento, selezionare Passa alla modalità di rilevamento dalla pagina Panoramica.

Passaggi successivi

• Procedure consigliate per il Firewall per applicazioni web di Azure in Azure Front Door
• Gestire i criteri di Web Application Firewall
• Ottimizzare il Web Application Firewall di Azure per Azure Front Door