Web Application Firewall di Azure in Frontdoor di Azure

  • Articolo

Web application firewall di Azure in Frontdoor di Azure offre una protezione centralizzata per le applicazioni Web. Un web application firewall (WAF) protegge i servizi Web da exploit e vulnerabilità comuni. Mantiene una disponibilità elevata del servizio per gli utenti e consente di soddisfare i requisiti di conformità.

Web application firewall di Azure in Frontdoor di Azure è una soluzione globale e centralizzata. distribuita nei percorsi di rete perimetrale di Azure in tutto il mondo. Le applicazioni Web abilitate per WAF controllano ogni richiesta in ingresso recapitata da Frontdoor di Azure nel perimetro di rete.

Un WAF impedisce attacchi dannosi vicini alle origini di attacco prima che entrino nella rete virtuale. offrendo protezione globale su larga scala senza compromettere le prestazioni. Un criterio WAF collega facilmente a qualsiasi profilo frontdoor di Azure nella sottoscrizione. È possibile implementare rapidamente nuove regole, in modo da rispondere con tempestività ai mutevoli modelli di minacce.

Screenshot that shows Azure Web Application Firewall.

Nota

Per i carichi di lavoro Web, è consigliabile usare la protezione DDoS di Azure e un web application firewall per proteggersi dagli attacchi DDoS emergenti. Un'altra opzione consiste nell'usare Frontdoor di Azure insieme a un web application firewall. Frontdoor di Azure offre protezione a livello di piattaforma dagli attacchi DDoS a livello di rete. Per altre informazioni, vedere Baseline di sicurezza per i servizi di Azure.

Frontdoor di Azure ha due livelli:

  • Standard
  • Premium

Web application firewall di Azure è integrato in modo nativo con Frontdoor di Azure Premium con funzionalità complete. Per Frontdoor di Azure Standard sono supportate solo le regole personalizzate.

Protezione

Web application firewall di Azure protegge:

  • Applicazioni Web da vulnerabilità e attacchi Web senza modifiche al codice back-end.
  • Applicazioni Web da bot dannosi con il set di regole di reputazione IP.
  • Applicazioni contro gli attacchi DDoS. Per altre informazioni, vedere Protezione DDoS dell'applicazione.

Regole e criteri di WAF

È possibile configurare un criterio WAF e associarlo a uno o più domini frontdoor di Azure per la protezione. I criteri di WAF sono costituiti da due tipi di regole di sicurezza:

  • Regole personalizzate create dal cliente.
  • Set di regole gestite che rappresentano una raccolta di set di regole preconfigurati gestiti da Azure.

Quando sono presenti entrambi i tipi, le regole personalizzate vengono elaborate prima di quelle incluse in un set di regole gestito. Una regola è costituita da una condizione di corrispondenza, una priorità e un'azione. I tipi di azione supportati sono ALLOW, BLOCK, LOG e REDIRECT. È possibile creare criteri completamente personalizzati che soddisfino specifici requisiti di protezione delle applicazioni combinando regole gestite e personalizzate.

Le regole all'interno dei criteri vengono elaborate in ordine di priorità. La priorità è un numero intero univoco che definisce l'ordine di elaborazione delle regole. Un valore intero più piccolo indica una priorità più alta e tali regole vengono valutate prima delle regole con un valore intero superiore. Dopo la corrispondenza di una regola, l'azione corrispondente definita nella regola viene applicata alla richiesta. Dopo l'elaborazione di una corrispondenza di questo tipo, le regole con priorità più basse non vengono elaborate ulteriormente.

Un'applicazione Web fornita da Frontdoor di Azure può avere un solo criterio WAF associato alla porta alla volta. Tuttavia, è possibile avere una configurazione frontdoor di Azure senza criteri WAF associati. Se presenti, i criteri di WAF vengono replicati in tutti i percorsi perimetrali per assicurare la coerenza nei criteri di sicurezza in tutto il mondo.

Modalità di WAF

È possibile configurare un criterio WAF da eseguire in due modalità:

  • Rilevamento: quando un WAF viene eseguito in modalità di rilevamento, monitora e registra solo la richiesta e la regola WAF corrispondente ai log WAF. Non esegue altre azioni. È possibile attivare la diagnostica di registrazione per Frontdoor di Azure. Se si usa il portale, andare alla sezione Diagnostica.
  • Prevenzione: in modalità di prevenzione, un WAF esegue l'azione specificata se una richiesta corrisponde a una regola. Se viene trovata una corrispondenza, le eventuali altre regole con priorità più bassa non vengono valutate. Tutte le richieste corrispondenti vengono anche registrate nei log di WAF.

Azioni di WAF

I clienti WAF possono scegliere di eseguire da una delle azioni quando una richiesta corrisponde alle condizioni di una regola:

  • Consenti: la richiesta passa attraverso il WAF e viene inoltrata all'origine. Nessuna regola con priorità più bassa può bloccare questa richiesta.
  • Blocca: la richiesta viene bloccata e WAF invia una risposta al client senza inoltrare la richiesta all'origine.
  • Log: la richiesta viene registrata nei log WAF e WAF continua a valutare le regole con priorità inferiore.
  • Reindirizzamento: WAF reindirizza la richiesta all'URI specificato. L'URI specificato è un'impostazione a livello di criterio. Dopo la configurazione, tutte le richieste che corrispondono all'azione di reindirizzamento vengono inviate a tale URI.
  • Punteggio anomalie: il punteggio di anomalia totale viene aumentato in modo incrementale quando viene trovata una corrispondenza con una regola con questa azione. Questa azione predefinita è per il set di regole predefinito 2.0 o versione successiva. Non è applicabile per il set di regole di Bot Manager.

Regole di WAF

I criteri di WAF sono costituiti da due tipi di regole di sicurezza:

  • Regole personalizzate, create dal cliente e dai set di regole gestite
  • Set di regole preconfigurati gestiti da Azure

Regole create in modo personalizzato

Per configurare regole personalizzate per un WAF, usare i controlli seguenti:

  • Elenco indirizzi IP consentiti e elenco di indirizzi IP bloccati: è possibile controllare l'accesso alle applicazioni Web in base a un elenco di indirizzi IP client o intervalli di indirizzi IP. Entrambi i tipi di indirizzi IPv4 e IPv6 sono supportati. Questo elenco può essere configurato in modo da bloccare o consentire le richieste in cui l'indirizzo IP di origine corrisponde a un indirizzo IP nell'elenco.
  • Controllo degli accessi in base all'area geografica: è possibile controllare l'accesso alle applicazioni Web in base al codice paese associato all'indirizzo IP di un client.
  • Controllo degli accessi in base ai parametri HTTP: è possibile basare le regole sulle corrispondenze tra stringhe nei parametri di richiesta HTTP/HTTPS. Gli esempi includono stringhe di query, argomenti POST, URI della richiesta, intestazione richiesta e corpo della richiesta.
  • Controllo degli accessi in base al metodo di richiesta: si basano le regole sul metodo di richiesta HTTP della richiesta. Gli esempi includono GET, PUT o HEAD.
  • Vincolo di dimensioni: è possibile basare le regole sulle lunghezze di parti specifiche di una richiesta, ad esempio stringa di query, Uri o Corpo della richiesta.
  • Regole di limitazione della frequenza: una regola di limitazione della frequenza limita in modo anomalo il traffico proveniente da qualsiasi indirizzo IP client. È possibile configurare una soglia per il numero di richieste Web consentite da un INDIRIZZO IP client durante una durata di un minuto. Questa regola è diversa da una regola personalizzata di consenti/blocchi basata su elenco IP che consente a tutti o blocca tutte le richieste da un INDIRIZZO IP client. I limiti di frequenza possono essere combinati con altre condizioni di corrispondenza, ad esempio le corrispondenze dei parametri HTTP(S) per il controllo della frequenza granulare.

Set di regole gestiti da Azure

I set di regole gestiti da Azure consentono di distribuire in modo semplice la protezione da un set comune di minacce alla sicurezza. Poiché Azure gestisce questi set di regole, le regole vengono aggiornate in base alle esigenze per proteggersi dalle nuove firme di attacco. Il set di regole predefinito gestito da Azure include regole per le categorie di minacce seguenti:

  • Scripting intersito
  • Attacchi Java
  • Inclusione di file locali
  • Attacchi PHP injection
  • Attacchi di tipo Remote Command Execution
  • Inclusione di file remoti
  • Fissazione sessione
  • Protezione dagli attacchi SQL injection
  • Aggressori protocollo

Le regole personalizzate vengono sempre applicate prima della valutazione delle regole del set predefinito. Se una richiesta corrisponde a una regola personalizzata, viene applicata l'azione della regola corrispondente. La richiesta viene bloccata o passata al back-end. Non vengono elaborate altre regole personalizzate o le regole include nel set predefinito. È anche possibile rimuovere il set di regole predefinito dai criteri di WAF.

Per altre informazioni, vedere Web Application Firewall Default Rule Set rule groups and rules.For more information, see Web Application Firewall Default Rule Set rule groups and rules.

Set di regole di protezione bot

È possibile abilitare un set di regole gestito di protezione dai bot per eseguire azioni personalizzate sulle richieste provenienti da categorie note di bot.

Sono supportate tre categorie di bot:

  • Bad: i bot non valido includono bot da indirizzi IP dannosi e bot che hanno falsificato le proprie identità. Gli indirizzi IP dannosi provengono dal feed di Microsoft Threat Intelligence e vengono aggiornati ogni ora. Intelligent Security Graph supporta Microsoft Threat Intelligence e viene usato da più servizi, tra cui Microsoft Defender per il cloud.
  • Good: i bot validi includono motori di ricerca convalidati.
  • Sconosciuto: i bot sconosciuti includono altri gruppi di bot identificati come bot. Gli esempi includono analizzatori di mercato, recuperatori di feed e agenti di raccolta dati. I bot sconosciuti vengono classificati tramite agenti utente pubblicati senza alcuna altra convalida.

La piattaforma WAF gestisce e aggiorna dinamicamente le firme del bot. È possibile impostare azioni personalizzate per bloccare, consentire, registrare o reindirizzare diversi tipi di bot.

Screenshot that shows a bot protection rule set.

Se la protezione del bot è abilitata, vengono registrate le richieste in ingresso che corrispondono alle regole del bot. È possibile accedere ai log waf da un account di archiviazione, da un hub eventi o da Log Analytics. Per altre informazioni sul modo in cui waf registra le richieste, vedere Monitoraggio e registrazione di Web Application Firewall di Azure.

Configurazione

È possibile configurare e distribuire tutti i criteri WAF usando le portale di Azure, le API REST, i modelli di Azure Resource Manager e Azure PowerShell. È anche possibile configurare e gestire i criteri waf di Azure su larga scala usando l'integrazione di Gestione firewall. Per altre informazioni, vedere Usare Firewall di Azure Manager per gestire i criteri di Web application firewall di Azure.

Monitoraggio

Il monitoraggio di un WAF in Frontdoor di Azure è integrato con Monitoraggio di Azure per tenere traccia degli avvisi e monitorare facilmente le tendenze del traffico. Per altre informazioni, vedere Monitoraggio e registrazione di Web Application Firewall di Azure.

Passaggi successivi