Che cos'è Azure web application firewall nel gateway applicazione di Azure?

Web Application Firewall (WAF) di Azure nel gateway applicazione di Azure offre protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni. Le applicazioni Web sono sempre più vittime di attacchi che sfruttano le più comuni e note vulnerabilità. Gli attacchi SQL injection e quelli tramite scripting intersito sono tra i più comuni.

WAF in gateway applicazione si basa sul set di regole di base (CRS) dal progetto Open Web Application Security (OWASP).

Tutte le funzionalità WAF elencate di seguito esistono all'interno di un criterio WAF. È possibile creare più criteri, che possono essere associati a un gateway applicazione, a singoli listener o a regole di routing basate su percorso in un gateway applicazione. In questo modo, se necessario, è possibile avere criteri distinti per ogni sito dietro il gateway applicazione. Per altre informazioni sui criteri WAF, vedere Creare un criterio WAF.

Nota

gateway applicazione include due versioni dello sku WAF: gateway applicazione WAF_v1 e gateway applicazione WAF_v2. Le associazioni di criteri WAF sono supportate solo per lo sku gateway applicazione WAF_v2.

Diagramma di WAF nel gateway applicazione

Il gateway applicazione funziona da controller per la distribuzione di applicazioni (ADC, Application Delivery Controller). Offre TLS (Transport Layer Security), noto in precedenza come SSL (Secure Sockets Layer), terminazione, affinità di sessione basata su cookie, distribuzione del carico round robin, routing basato sul contenuto, possibilità di ospitare più siti Web e miglioramenti della sicurezza.

I miglioramenti della sicurezza offerti dal gateway applicazione includono la gestione dei criteri di TLS e il supporto di TLS end-to-end. La sicurezza delle applicazioni è rafforzata dall'integrazione di WAF nel gateway applicazione. La combinazione protegge le applicazioni Web da vulnerabilità comuni. Fornisce inoltre una posizione centrale di facile configurazione da gestire.

Vantaggi

Questa sezione descrive i vantaggi principali offerti da WAF nel gateway applicazione.

Protezione

  • Protezione dell'applicazione Web dalle vulnerabilità e dagli attacchi del Web, senza alcuna modifica del codice di back-end.

  • Protezione contemporanea di più applicazioni Web. Un'istanza del gateway applicazione può ospitare fino a 40 siti Web protetti da Web Application Firewall.

  • Creazione di criteri di WAF personalizzati per siti diversi dietro lo stesso firewall WAF

  • Protezione delle applicazioni Web da bot dannosi con il set di regole IP Reputation

Monitoraggio

  • Monitoraggio degli attacchi contro le applicazioni Web tramite il log in tempo reale di WAF. Il log è integrato in Monitoraggio di Azure per tenere traccia degli avvisi di WAF e monitorare con facilità le tendenze.

  • L'gateway applicazione WAF è integrato con Microsoft Defender per Cloud. Defender for Cloud offre una visualizzazione centrale dello stato di sicurezza di tutte le risorse azure, ibride e multicloud.

Personalizzazione

  • Personalizzazione di regole e gruppi di regole di WAF in base ai requisiti delle applicazioni ed eliminazione di falsi positivi.

  • Associazione di un criterio di WAF per ogni sito dietro WAF per consentire la configurazione specifica per sito

  • Creazione di regole personalizzate per soddisfare le esigenze dell'applicazione

Funzionalità

  • Protezione dagli attacchi SQL injection.
  • Protezione da attacchi tramite script da altri siti.
  • Protezione da altri attacchi Web comuni, come command injection, HTTP Request Smuggling, HTTP Response Splitting e Remote File Inclusion.
  • Protezione dalle violazioni del protocollo HTTP.
  • Protezione contro eventuali anomalie del protocollo HTTP, ad esempio user agent host mancante e accept header.
  • Protezione da crawler e scanner.
  • Rilevamento di errori di configurazione comuni dell'applicazione, ad esempio Apache e IIS.
  • Limiti inferiori e superiori configurabili per le dimensioni delle richieste.
  • Elenchi di esclusione che consentono di omettere determinati attributi delle richieste da una valutazione di WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione o per i campi delle password.
  • Creazione di regole personalizzate per soddisfare le esigenze delle applicazioni.
  • Traffico con filtro basato sull'area geografica per consentire o impedire a determinati paesi/aree geografiche di accedere alle applicazioni.
  • Protezione delle applicazioni dai bot con il set di regole di mitigazione dei bot.
  • Analisi del codice JSON e XML nel corpo della richiesta

Regole e criteri di WAF

Per abilitare web application firewall nel gateway applicazione, è necessario creare un criterio di WAF. Questo criterio include tutte le regole gestite, le regole personalizzate, le esclusioni e altre personalizzazioni, come il limite per il caricamento di file.

È possibile configurare un criterio di WAF e associarlo a uno o più gateway applicazione per la protezione. I criteri di WAF sono costituiti da due tipi di regole di sicurezza:

  • Regole personalizzate che vengono create

  • Set di regole gestite, ovvero una raccolta di set di regole preconfigurate gestite da Azure

Quando sono presenti entrambi i tipi, le regole personalizzate vengono elaborate prima di quelle incluse in un set di regole gestito. Una regola è costituita da una condizione di corrispondenza, una priorità e un'azione. I tipi di azione supportati sono: ALLOW, BLOCK e LOG. È possibile creare criteri completamente personalizzati che soddisfino specifici requisiti di protezione delle applicazioni combinando regole gestite e personalizzate.

Le regole all'interno dei criteri vengono elaborate in ordine di priorità. La priorità è un numero intero univoco che definisce l'ordine di elaborazione delle regole. Un valore intero più basso indica una priorità più alta e quindi le regole con valori di priorità più bassi vengono elaborate prima di quelle con valori più alti. Una volta trovata una corrispondenza per una regola, alla richiesta viene applicata l'azione definita in tale regola. Dopo l'elaborazione di una corrispondenza di questo tipo, le regole con priorità più bassa non vengono elaborate ulteriormente.

Un'applicazione Web distribuita dal gateway applicazione può essere associata a un criterio di WAF a livello globale, a livello di singolo sito o a livello di singolo URI.

Set di regole principali

gateway applicazione supporta più set di regole, tra cui CRS 3.2, CRS 3.1 e CRS 3.0. Queste regole proteggono le applicazioni Web da attività dannose.

Per altre informazioni, vedere Regole e gruppi di regole CRS di Web Application Firewall.

Regole personalizzate

Il gateway applicazione supporta anche regole personalizzate, ossia regole che è possibile creare e che vengono valutate per ogni richiesta che passa attraverso WAF. Queste regole hanno una priorità più elevata rispetto alle altre dei set di regole gestiti. Se viene soddisfatto un set di condizioni, viene intrapresa un'azione per consentire o bloccare le richieste.

L'operatore geomatch è ora disponibile per le regole personalizzate. Per altre informazioni, vedere regole personalizzate di geomatch .

Per altre informazioni, vedere Regole personalizzate per il gateway applicazione.

Set di regole di protezione bot

È possibile abilitare una regola di protezione del bot gestita impostata per eseguire azioni personalizzate su richieste da tutte le categorie di bot.

Sono supportate tre categorie di bot:

  • Non valido

    I bot dannosi includono bot da indirizzi IP dannosi e bot che hanno falsificato le proprie identità. I bot malintenzionati con indirizzi IP dannosi vengono generati dal feed di Microsoft Threat Intelligence con attendibilità elevata degli indicatori IP di compromissione.

  • Buono

    I bot validi includono motori di ricerca convalidati, ad esempio Googlebot, bingbot e altri agenti utente attendibili.

  • Unknown

    I bot sconosciuti sono classificati tramite agenti utente pubblicati senza convalida aggiuntiva. Ad esempio, analizzatore del mercato, recupero dei feed e agenti di raccolta dati. I bot sconosciuti includono anche indirizzi IP dannosi che vengono generati da Indicatori IP di attendibilità media del feed di Microsoft Threat Intelligence.

Le firme dei bot vengono gestite e aggiornate dinamicamente dalla piattaforma WAF.

Screenshot del set di regole del bot.

È possibile assegnare Microsoft_BotManagerRuleSet_1.0 usando l'opzione Assegna in Set di regole gestite:

Screenshot di Assegna set di regole gestite.

Se la protezione bot è abilitata, le richieste in ingresso che corrispondono alle regole del bot vengono bloccate, consentite o registrate in base all'azione configurata. I bot dannosi vengono bloccati, i ricerca per indicizzazione del motore di ricerca verificati sono consentiti, i ricerca per indicizzazione del motore di ricerca sconosciuti vengono bloccati e i bot sconosciuti vengono registrati per impostazione predefinita. È possibile impostare azioni personalizzate per bloccare, consentire o registrare diversi tipi di bot.

È possibile accedere ai log WAF da un account di archiviazione, da hub eventi, log analytics o inviare log a una soluzione partner.

Modalità di WAF

WAF nel gateway applicazione può essere configurato per l'esecuzione nelle due modalità seguenti:

  • Modalità di rilevamento: monitora e registra tutti gli avvisi sulle minacce. Attivare la registrazione diagnostica per il gateway applicazione usando la sezione Diagnostica. È anche necessario assicurarsi che il log di WAF sia selezionato e attivato. Quando viene eseguito in modalità di rilevamento, Web Application Firewall non blocca le richieste in ingresso.
  • Modalità di prevenzione: blocca le intrusioni e gli attacchi rilevati dalle regole. L'autore dell'attacco riceve un'eccezione di "accesso non autorizzato 403" e la connessione viene chiusa. La modalità di prevenzione registra tali attacchi nei log di WAF.

Nota

Negli ambienti di produzione è consigliabile eseguire una nuova distribuzione di WAF in modalità di rilevamento per un breve periodo di tempo. In questo modo è possibile ottenere i log del firewall e aggiornare eventuali eccezioni o regole personalizzate prima della transizione alla modalità di prevenzione. Ciò consente di ridurre la possibilità che il traffico venga bloccato in modo imprevisto.

Motori WAF

Il motore waF (Web application firewall) di Azure è il componente che controlla il traffico e determina se una richiesta include una firma che rappresenta un potenziale attacco. Quando si usa CRS 3.2 o versione successiva, il WAF esegue il nuovo motore WAF, che offre prestazioni più elevate e un set di funzionalità migliorato. Quando si usano versioni precedenti del CRS, il WAF viene eseguito su un motore precedente. Le nuove funzionalità saranno disponibili solo nel nuovo motore WAF di Azure.

Azioni di WAF

I clienti WAF possono scegliere quale azione viene eseguita quando una richiesta corrisponde a una condizione di regole. Di seguito è riportato l'elenco delle azioni supportate.

  • Consenti: la richiesta passa attraverso il WAF e viene inoltrata al back-end. Nessuna regola con priorità più bassa può bloccare questa richiesta. Le azioni consentite sono applicabili solo al set di regole di Bot Manager e non sono applicabili al set di regole di base.
  • Block: la richiesta viene bloccata e WAF invia una risposta al client senza inoltrare la richiesta al back-end.
  • Log: la richiesta viene registrata nei log WAF e WAF continua a valutare le regole di priorità inferiori.
  • Punteggio anomalie: questa è l'azione predefinita per il set di regole CRS in cui viene incrementato il punteggio totale di anomalie quando viene corrispondente una regola con questa azione. L'assegnazione di punteggi anomali non è applicabile per il set di regole di Bot Manager.

Modalità di assegnazione di punteggi di anomalia

OWASP prevede due modalità per decidere se bloccare o meno il traffico: la modalità tradizionale e la modalità di assegnazione di punteggi di anomalia.

In modalità tradizionale, il traffico che corrisponde a qualsiasi regola viene considerato in modo indipendente da qualsiasi altra regola corrispondente. Questa modalità è facile da comprendere. Ma la mancanza di informazioni sul numero di regole che corrispondono a una specifica richiesta costituisce una limitazione. Per questo motivo, è stata introdotta la modalità di assegnazione di punteggi di anomalia. Si tratta dell'impostazione predefinita per OWASP 3.x.

In questa modalità, il traffico che corrisponde a qualsiasi regola non viene immediatamente bloccato se il firewall è in modalità di prevenzione. Le regole hanno uno specifico livello di gravità: critico, errore, avviso o notifica. Questo livello determina un valore numerico per la richiesta, ossia il punteggio di anomalia. Ad esempio, una regola di tipo avviso aggiunge 3 al punteggio. Una regola di livello critico aggiunge 5.

Gravità valore
Critico 5
Errore 4
Avviso 3
Notifica 2

Per bloccare il traffico, il punteggio di anomalia deve raggiungere la soglia 5. Quindi, una singola corrispondenza con una regola di livello critico è sufficiente perché WAF nel gateway applicazione blocchi una richiesta, anche in modalità di prevenzione. Invece una singola corrispondenza con una regola di tipo avviso si limita a incrementare di 3 il punteggio di anomalia, quindi non è sufficiente per bloccare il traffico.

Nota

Il messaggio registrato quando una regola WAF corrisponde al traffico include il valore di azione "Matched". Se il punteggio totale di anomalie di tutte le regole corrispondenti è 5 o superiore e il criterio WAF è in esecuzione in modalità prevenzione, la richiesta attiverà una regola di anomalia obbligatoria con il valore di azione "Bloccato" e la richiesta verrà arrestata. Tuttavia, se il criterio WAF è in esecuzione in modalità rilevamento, la richiesta attiverà il valore di azione "Rilevato" e la richiesta verrà registrata e passata al back-end. Per altre informazioni, vedere Risolvere i problemi di Web application firewall (WAF) per il gateway applicazione di Azure.

Configurazione

È possibile configurare e distribuire tutti i criteri WAF usando le API REST portale di Azure, i modelli di Resource Manager di Azure e Azure PowerShell. È anche possibile configurare e gestire i criteri WAF di Azure su larga scala usando l'integrazione di Firewall Manager (anteprima). Per altre informazioni, vedere Usare Firewall di Azure Manager per gestire i criteri di Web application firewall (anteprima).

Monitoraggio di WAF

Il monitoraggio dello stato del gateway applicazione è un'attività importante. Il monitoraggio dell'integrità del WAF e delle applicazioni protette è supportato dall'integrazione con Microsoft Defender per i log cloud, Monitoraggio di Azure e Monitoraggio di Azure.

Diagramma della diagnostica di WAF nel gateway applicazione

Monitoraggio di Azure

I log del gateway applicazione sono integrati con Monitoraggio di Azure. Ciò consente di tenere traccia delle informazioni diagnostiche, inclusi i log e gli avvisi di WAF. È possibile accedere a questa funzionalità nella scheda Diagnostica della risorsa Gateway applicazione nel portale o direttamente tramite Monitoraggio di Azure. Per altre informazioni sull'abilitazione dei log, vedere Diagnostica del gateway applicazione.

Microsoft Defender for Cloud

Defender for Cloud consente di prevenire, rilevare e rispondere alle minacce. Offre maggiore visibilità e controllo sulla sicurezza delle risorse di Azure. gateway applicazione è integrato con Defender for Cloud. Defender for Cloud analizza l'ambiente per rilevare applicazioni Web non protette. e può consigliare a WAF nel gateway applicazione di proteggere queste risorse vulnerabili. È possibile creare i firewall direttamente da Defender for Cloud. Queste istanze WAF sono integrate con Defender for Cloud. Inviano avvisi e informazioni sull'integrità a Defender for Cloud per la creazione di report.

Finestra panoramica di Defender for Cloud

Microsoft Sentinel

Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel offre analisi della sicurezza intelligente e intelligence sulle minacce per l'intera azienda, fornendo un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.

Con la cartella di lavoro predefinita degli eventi del firewall Azure WAF, è possibile ottenere una panoramica degli eventi di sicurezza in WAF. Sono inclusi eventi, regole corrispondenti e bloccanti e tutto quello che viene registrato nei log del firewall. Per altre informazioni sulla registrazione, vedere di seguito.

Cartella di lavoro di eventi del firewall Azure WAF

Cartella di lavoro di Monitoraggio di Azure per WAF

Questa cartella di lavoro consente la visualizzazione personalizzata degli eventi di WAF pertinenti per la sicurezza in diversi pannelli filtrabili. È compatibile con tutti i tipi di WAF, tra cui gateway applicazione, Frontdoor e rete CDN, e può essere filtrata in base al tipo di WAF o a una specifica istanza di WAF. Importarla tramite un modello di Resource Manager o un modello di raccolta. Per distribuire questa cartella di lavoro, vedere Cartella di lavoro di WAF.

Registrazione

WAF nel gateway applicazione fornisce report dettagliati su ogni minaccia rilevata. La registrazione è integrata con i log di Diagnostica di Azure. Gli avvisi vengono registrati nel formato JSON. Questi log possono essere integrati con i log di Monitoraggio di Azure.

Finestre dei log di diagnostica del gateway applicazione

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Prezzi dello SKU WAF del gateway applicazione

I modelli di determinazione dei prezzi sono diversi per gli SKU WAF_v1 e WAF_v2. Per altre informazioni, vedere la pagina relativa ai prezzi del gateway applicazione.

Novità

Per informazioni sulle novità di Azure web application firewall, vedere aggiornamenti di Azure.

Passaggi successivi