Uso del WAF del Gateway applicazione per proteggere le applicazioni
Aggiungere la protezione Web application firewall (WAF) per le app pubblicate con il proxy dell'applicazione Microsoft Entra.
Per ulteriori informazioni su Web Application Firewall, vedere Che cos'è Web Application Firewall di Azure sul gateway applicazione di Azure?.
Passaggi per la distribuzione
Questo articolo illustra la procedura per esporre in modo sicuro un'applicazione Web su Internet usando il proxy dell'applicazione Microsoft Entra con Azure WAF nel gateway applicazione.
Configurare il gateway applicazione di Azure per inviare il traffico all'applicazione interna
Alcuni passaggi della configurazione del gateway applicazione vengono omessi in questo articolo. Per una guida dettagliata sulla creazione e la configurazione di un gateway applicazione, vedere Avvio rapido: Indirizzare il traffico Web con il gateway applicazione di Azure - Interfaccia di amministrazione di Microsoft Entra.
1. Creare un listener HTTPS con connessione privata
Creare un listener in modo che gli utenti possano accedere privatamente all'applicazione Web quando sono connessi alla rete aziendale.
2. Creare un pool back-end con i server Web
In questo esempio, nei server back-end è installato Internet Information Services (IIS).
3. Creare un’impostazione back-end
Un'impostazione back-end determina il modo in cui le richieste raggiungono i server del pool back-end.
4. Creare una regola di gestione che collega il listener, il pool back-end e l'impostazione back-end creata nei passaggi precedenti
5. Abilitare WAF nel gateway applicazione e impostarlo sulla modalità prevenzione
Configurare l'applicazione per l'accesso remoto tramite il proxy dell'applicazione in Microsoft Entra ID
Entrambe le macchine virtuali del connettore, il gateway applicazione e i server back-end vengono distribuiti nella stessa rete virtuale in Azure. La configurazione si applica anche alle applicazioni e ai connettori distribuiti in locale.
Per istruzioni dettagliate su come aggiungere la propria applicazione al proxy dell’applicazione in Microsoft Entra ID, vedere Esercitazione: Aggiungere un'applicazione locale per l'accesso remoto tramite proxy di applicazione in Microsoft Entra ID. Per altre informazioni sulle considerazioni sulle prestazioni relative ai connettori di rete privata, vedere Ottimizzare il flusso del traffico con il proxy dell'applicazione Microsoft Entra.
In questo esempio lo stesso URL è stato configurato come URL interno ed esterno. I client remoti accedono all'applicazione tramite Internet sulla porta 443, tramite il proxy dell'applicazione. Un client connesso alla rete aziendale accede privatamente all'applicazione. L'accesso avviene tramite il gateway applicazione direttamente sulla porta 443. Per un passaggio dettagliato sulla configurazione di domini personalizzati nel proxy dell'applicazione, vedere Configurare domini personalizzati con il proxy dell'applicazione Microsoft Entra.
Viene creata una zona DNS (Private Domain Name System) di Azure con un record A. Il record A punta www.fabrikam.one all'indirizzo IP front-end del gateway applicazione. Il record garantisce che le macchine virtuali del connettore inviino richieste al gateway applicazione.
Testare l'applicazione
Dopo aver aggiunto un utente per il test, è possibile testare l'applicazione accedendo a https://www.fabrikam.one. All'utente viene richiesto di eseguire l'autenticazione in Microsoft Entra ID e, al termine dell'autenticazione, accede all'applicazione.
Simulare un attacco
Per verificare se il WAF blocca le richieste dannose, è possibile simulare un attacco usando una firma di base SQL injection. Ad esempio: “https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Una risposta HTTP 403 conferma che il WAF ha bloccato la richiesta.
I log del Firewall del gateway applicazione forniscono altri dettagli sulla richiesta e sul motivo per cui il WAF lo blocca.
