この記事では、Azure Front Door Service の Azure Web アプリケーション ファイアウォール (WAF) 機能に関する一般的な質問に回答します。
Azure WAF とは何ですか?
Azure WAF は Web アプリケーション ファイアウォールです。SQL インジェクション、クロスサイト スクリプティング、その他の Web エクスプロイトなどの一般的な脅威から Web アプリケーションを保護するのに役立ちます。 Web アプリケーションへのアクセスを制御するために、カスタム ルールとマネージド ルールの組み合わせからなる WAF ポリシーを定義できます。
Azure WAF ポリシーは、Application Gateway または Azure Front Door でホストされている Web アプリケーションに適用できます。
Azure Front Door の WAF とは何ですか?
Azure Front Door は、高度にスケーラブルでグローバルに分散したアプリケーションおよびコンテンツ配信ネットワークです。 Azure WAF を Front Door と統合すると、サービス拒否攻撃や標的型アプリケーション攻撃がユーザーの仮想ネットワークに侵入する前に攻撃元に近い Azure ネットワーク エッジで阻止し、パフォーマンスを犠牲にすることなく保護を提供できます。
Azure WAF では HTTPS がサポートされますか?
Front Door では TLS オフロードが提供されます。 WAF はネイティブに Front Door と統合され、暗号化解除された後にその要求を検査できます。
Azure WAF では IPv6 がサポートされますか?
はい。 IPv4 と IPv6 に IP 制限を構成できます。
マネージド ルール セットの更新頻度はどの程度ですか?
変化する脅威の状況に対応するために最善を尽くしています。 新しいルールが更新されると、新しいバージョン番号で既定のルール セットに追加されます。
WAF ポリシーを変更した場合、伝播されるのにどのくらい時間がかかりますか?
ほとんどの WAF ポリシーのデプロイは、20 分以内に完了します。 すべてのエッジ ロケーションでグローバルに更新が完了した直後にポリシーが有効になることを期待できます。
WAF のポリシーはリージョンごとに異なるものにできますか?
WAF は、Front Door と統合されると、グローバルなリソースになります。 同じ構成がすべての Front Door の場所に適用されます。
バックエンドへのアクセスを Front Door からのみに制限するにはどうすればよいですか?
Azure Front Door のサービス タグを使って Front Door の送信 IP アドレス範囲のみを許可し、インターネットからの直接アクセスを拒否するように、バックエンドで IP アクセス制御リストを構成できます。 仮想ネットワークで使用するためのサービス タグがサポートされています。 さらに、X-Forwarded-Host HTTP ヘッダー フィールドがご利用の Web アプリケーションに対して有効であることを確認できます。
どの Azure WAF オプションを選択すればよいですか?
Azure に WAF ポリシーを適用する場合、2 つの選択肢があります。 Azure Front Door を使用した WAF は、グローバルに分散したエッジ セキュリティ ソリューションです。 Application Gateway を使用した WAFは、リージョンの専用ソリューションです。 全体的なパフォーマンスとセキュリティの要件に基づいてソリューションを選択することをお勧めします。 詳細については、「Azure のアプリケーション配信スイートでの負荷分散」を参照してください。
Front Door での WAF の有効化に向けて推奨されるアプローチには、どのようなものがありますか?
既存のアプリケーションで WAF を有効にする場合、正当なトラフィックが WAF ルールによって脅威として検知されるという誤検知が発生するのは一般的なことです。 ユーザーへの影響のリスクを最小限に抑えるには、次のプロセスをお勧めします。
- このプロセスの実行中に WAF によって要求がブロックされないようにするには、検出モードで WAF を有効にします。 このステップは、WAF でのテスト目的に推奨されます。
重要
このプロセスでは、アプリケーションのユーザーにもたらされる支障を最小限に抑えることが最優先される場合に、新規または既存のソリューションで WAF を有効にする方法について説明します。 攻撃を受けている場合や、脅威が発生している場合は、代わりに、防止モードで WAF を直ちにデプロイし、チューニング プロセスを使用して時間をかけて WAF を監視および調整することをお勧めします。 これにより、正当なトラフィックの一部がブロックされてしまうおそれがあります。脅威を受けている場合にのみこれを行うようにお勧めするのは、このような理由からです。
- WAF のチューニングに関するガイダンスに従ってください。 このプロセスでは、診断ログを有効にし、ログを定期的に確認して、ルールの除外やその他の軽減策を追加する必要があります。
- このプロセス全体を繰り返し実行し、正当なトラフィックがブロックされていないことを確認できるまで、ログを定期的に確認します。 プロセス全体を実行するには、数週間かかることがあります。 チューニングを変更するたびに、誤検知が減ることが理想的です。
- 最後に、防止モードで WAF を有効にします。
- 運用環境で WAF を実行している場合でも、他の誤検知を特定するために、ログの監視を続ける必要があります。 また、ログを定期的に確認することで、ブロックされている本物の攻撃を特定しやすくなります。
すべての統合プラットフォームで同じ WAF 機能がサポートされますか?
現時点では、ModSec CRS 3.0、CRS 3.1、CRS 3.2 ルールは、Application Gateway の WAF でのみサポートされています。 レート制限および Azure 管理の既定のルール セットのルールは、Azure Front Door の WAF でのみサポートされています。
DDoS 保護は Front Door と統合されていますか?
Azure のネットワーク エッジにグローバルに分散された Azure Front Door は、大量の攻撃を受け止めて地理的に隔離することができます。 既知のシグネチャを持つ http(s) 攻撃を自動的にブロックおよびレート制限するためのカスタム WAF ポリシーを作成できます。 さらに、バックエンドがデプロイされている VNet で DDoS ネットワーク保護を有効にすることができます。 Azure DDoS Protection のお客様は、コスト保護、SLA 保証、攻撃の際に DDoS Rapid Response Team の専門家に相談してすぐに支援を受けるなど、追加の利点が得られます。 詳細については、「Front Door での DDoS Protection」を参照してください。
レート制限のルールに構成されているしきい値を超えた追加の要求が、バックエンド サーバーに渡されるのはなぜですか?
要求が別の Front Door サーバーによって処理された場合、要求がレート制限によって直ちにブロックされたことが示されないことがあります。 詳細については、レート制限と Front Door サーバーに関する記事を参照してください。
WAF はどのようなコンテンツ タイプをサポートしていますか。
Front Door の WAF では次のコンテンツ タイプがサポートされています。
DRS 2.0
マネージド ルール
- application/json
- application/xml
- application/x-www-form-urlencoded
- multipart/form-data
カスタム規則
- application/x-www-form-urlencoded
DRS 1.x
マネージド ルール
- application/x-www-form-urlencoded
- text/plain
カスタム規則
- application/x-www-form-urlencoded
別のサブスクリプションに属する別の Front Door Premium (AFDX) プロファイルのフロントエンド ホストに Front Door WAF ポリシーを適用できますか?
いいえ、できません。 AFD プロファイルと WAF ポリシーは、同じサブスクリプションに存在する必要があります。
次のステップ
- Azure Web アプリケーション ファイアウォールについて学習します。
- Azure Front Door の詳細を確認します。