Web application firewall e Criteri di Azure di Azure

Azure Web application firewall (WAF) combinato con Criteri di Azure può aiutare a applicare gli standard dell'organizzazione e valutare la conformità su larga scala per le risorse WAF. Criteri di Azure è uno strumento di governance che fornisce una visualizzazione aggregata per valutare lo stato complessivo dell'ambiente, con la possibilità di eseguire il drill-down sulla granularità per risorsa, per criterio. Criteri di Azure consente anche di portare le risorse alla conformità tramite correzioni bulk per le risorse esistenti e la correzione automatica per le nuove risorse.

Criteri di Azure per Web application firewall

Esistono più definizioni di Criteri di Azure predefinite per gestire le risorse WAF. Una suddivisione delle definizioni dei criteri e delle relative funzionalità è la seguente:

Abilitare Web application firewall (WAF)

• Azure Web application firewall deve essere abilitato per i punti di ingresso di Frontdoor di Azure: i servizi Frontdoor di Azure vengono valutati se è presente o meno un WAF. La definizione dei criteri ha tre effetti: Audit, Deny e Disable. Controlla le tracce quando un servizio Frontdoor di Azure non ha un WAF e consente agli utenti di visualizzare il servizio Frontdoor di Azure non conforme. Nega impedisce la creazione di un servizio Frontdoor di Azure se un WAF non è collegato. Disabilitato disattiva l'assegnazione dei criteri.

• Web application firewall (WAF) deve essere abilitato per gateway applicazione: i gateway applicazione vengono valutati se è presente un WAF nella creazione di risorse. La definizione dei criteri ha tre effetti: Audit, Deny e Disable. Controlla le tracce quando un gateway applicazione non ha un WAF e consente agli utenti di visualizzare le gateway applicazione non conformi. Nega impedisce la creazione di gateway applicazione se un WAF non è collegato. Disabilitato disattiva l'assegnazione dei criteri.

Modalità di rilevamento o prevenzione del mandato

• Web application firewall (WAF) deve usare la modalità specificata per il servizio Frontdoor di Azure: impone l'uso della modalità "Rilevamento" o "Prevenzione" per essere attiva in tutti i criteri di Web application firewall per il servizio Frontdoor di Azure. La definizione dei criteri ha tre effetti: Audit, Deny e Disable. Controlla le tracce quando un WAF non si adatta alla modalità specificata. Nega impedisce la creazione di un WAF se non è in modalità corretta. Disabilitato disattiva l'assegnazione dei criteri.

• Web application firewall (WAF) deve usare la modalità specificata per gateway applicazione: impone l'uso della modalità "Rilevamento" o "Prevenzione" per essere attiva su tutti i criteri di Web application firewall per gateway applicazione. La definizione dei criteri ha tre effetti: Audit, Deny e Disable. Controlla le tracce quando un WAF non si adatta alla modalità specificata. Nega impedisce la creazione di un WAF se non è in modalità corretta. Disabilitato disattiva l'assegnazione dei criteri.

Richiedere l'ispezione delle richieste

• Azure Web application firewall in Frontdoor di Azure deve avere l'abilitazione dell'ispezione del corpo della richiesta: assicurarsi che i web application firewall associati a Frontdoor di Azure dispongano dell'abilitazione dell'ispezione del corpo della richiesta. Questa funzionalità consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI.

• Azure Web application firewall in gateway applicazione di Azure deve avere l'abilitazione dell'ispezione del corpo della richiesta: assicurarsi che i web application firewall associati ai gateway applicazione Azure abbiano abilitato l'ispezione del corpo della richiesta. Questa funzionalità consente al WAF di controllare le proprietà all'interno del corpo HTTP che potrebbero non essere valutate nelle intestazioni HTTP, nei cookie o nell'URI.

Richiedi log delle risorse

• Frontdoor di Azure deve avere i log delle risorse abilitati: impone l'abilitazione dei log delle risorse e delle metriche nel servizio Frontdoor di Azure classico, incluso WAF. La definizione dei criteri ha due effetti: AuditIfNotExists e Disable. AuditIfNotExists tiene traccia quando un servizio Frontdoor non dispone di log delle risorse, metriche abilitate e notifica all'utente che il servizio non è conforme. Disabilitato disattiva l'assegnazione dei criteri.

• Azure Frontdoor Standard o Premium (Plus WAF) deve avere i log delle risorse abilitati: impone l'abilitazione dei log delle risorse e delle metriche nei servizi Standard e Premium di Azure Frontdoor, incluso WAF. La definizione dei criteri ha due effetti: AuditIfNotExists e Disable. AuditIfNotExists tiene traccia quando un servizio Frontdoor non dispone di log delle risorse, metriche abilitate e notifica all'utente che il servizio non è conforme. Disabilitato disattiva l'assegnazione dei criteri.

• gateway applicazione di Azure devono essere abilitati i log delle risorse: impone l'abilitazione dei log delle risorse e delle metriche in tutti i gateway applicazione, incluso WAF. La definizione dei criteri ha due effetti: AuditIfNotExists e Disable. AuditIfNotExists tiene traccia quando un gateway applicazione non dispone di log delle risorse, metriche abilitate e notifica all'utente che il gateway applicazione non è conforme. Disabilitato disattiva l'assegnazione dei criteri.

Configurazioni WAF consigliate

• I profili frontdoor di Azure devono usare il livello Premium che supporta le regole WAF gestite e il collegamento privato: impone che tutti i profili frontdoor di Azure siano nel livello Premium anziché nel livello standard. Frontdoor Premium di Azure è ottimizzato per la sicurezza e consente di accedere ai set di regole WAF più aggiornati e alle funzionalità come la protezione del bot.

• Abilitare la regola Limite frequenza per proteggere dagli attacchi DDoS in Frontdoor WAF di Azure: la limitazione della frequenza può aiutare a proteggere l'applicazione dagli attacchi DDoS. La regola di limite di velocità di Azure Web application firewall (WAF) per Frontdoor di Azure consente di proteggere da DDoS controllando il numero di richieste consentite da un determinato indirizzo IP client all'applicazione durante una durata del limite di frequenza.

• Eseguire la migrazione di WAF da WAF Config a criteri WAF in gateway applicazione: se si dispone di configurazione WAF anziché criteri WAF, è possibile passare al nuovo criterio WAF. i criteri Web application firewall (WAF) offrono un set più completo di funzionalità avanzate tramite la configurazione WAF, offrono una scalabilità superiore, prestazioni migliori e a differenza della configurazione WAF legacy, i criteri WAF possono essere definiti una volta e condivisi tra più gateway, listener e percorsi URL. In futuro, le funzionalità più recenti e i miglioramenti futuri sono disponibili solo tramite i criteri WAF.

Creare un Criteri di Azure

1. Nella home page di Azure digitare Criteri nella barra di ricerca e selezionare l'icona Criteri di Azure.

2. Nel servizio Criteri di Azure, in Creazione selezionare Assegnazioni.

3. Nella pagina Assegnazioni selezionare l'icona Assegna criteri nella parte superiore.

4. Nella scheda Assegna criteri di base aggiornare i campi seguenti:
   1. Ambito: selezionare le sottoscrizioni e i gruppi di risorse di Azure a cui si applicano i criteri.
   2. Esclusioni: selezionare qualsiasi risorsa dall'ambito da escludere dall'assegnazione dei criteri.
   3. Definizione dei criteri: selezionare la definizione dei criteri da applicare all'ambito con esclusioni. Digitare "Web application firewall" nella barra di ricerca per scegliere la Web application firewall Criteri di Azure pertinente.

5. Selezionare la scheda Parametri e aggiornare i parametri di assegnazione dei criteri. Per chiarire ulteriormente cosa fa il parametro, passare il puntatore del mouse sull'icona delle informazioni accanto al nome del parametro per ulteriori chiarimenti.

6. Selezionare Rivedi e crea per finalizzare l'assegnazione dei criteri. L'assegnazione dei criteri richiede circa 15 minuti fino a quando non è attiva per le nuove risorse.