次の方法で共有


Azure Front Door 上の Azure Web Application Firewall で機密データをマスクする方法

Web Application Firewall (WAF) のログ スクラブ ツールは、WAF ログから機密データを削除するのに役立ちます。 これは、機密データを含む要求の特定の部分を識別するカスタム ルールを作成できるルール エンジンを使用することで機能します。 情報が識別されると、ツールはその情報をログからスクラブし、******* で置き換えます。

ログ スクラブ機能が有効にされても、Microsoft は重要なセキュリティ機能をサポートするために自社の内部ログに IP アドレスを引き続き保持します。

次の表は、機密データの保護に使用できるログ スクラブ ルールの例を示しています。

変数を一致させる 演算子 セレクター スクラブされる内容
要求のヘッダー名 等しい keytoblock {"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"****"}
要求の Cookie 名 等しい cookietoblock {"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"****"}
要求本文の POST 引数名 1 等しい var {"matchVariableName":"PostParamValue:var","matchVariableValue":"****"}
要求本文の JSON 引数名 1 等しい JsonValue {"matchVariableName":"JsonValue:key","matchVariableValue":"****"}
クエリ文字列の引数名 等しい foo {"matchVariableName":"QueryParamValue:foo","matchVariableValue":"****"}
要求 IP アドレス 2 いずれかと等しい ヌル {"matchVariableName":"ClientIP","matchVariableValue":"****"}
要求 URI いずれかと等しい ヌル {"matchVariableName":"URI","matchVariableValue":"****"}

1 要求が要求本文をスキャンするルールをトリガーし、コンテンツ タイプが application/x-www-form-urlencoded または application/jsonの場合、WAF は PII の潜在的なストレージを防ぐために、ログからすべての要求の詳細をスクラブします。

2 要求 IP アドレスと要求 URI ルールは、任意のオペレーターと 等しい 操作のみをサポートし、WAF ログに表示される要求者の IP アドレスのすべてのインスタンスをスクラブします。

詳しくは、Azure Front Door の機密データ保護での Azure Web Application Firewall に関する記事をご覧ください

機密データ保護を有効にする

次の情報を使用して機密データ保護を有効にして構成します。

機密データ保護を有効にするには:

  1. 既存の Front Door WAF ポリシーを開きます。
  2. [設定] で、[機密データ] を選択します。
  3. [機密データ] ページで、[ログ スクラブの有効化] を選択します。

機密データ保護のログ スクラブ ルールを構成するには:

  1. [ログ スクラブ ルール] で、[一致変数] を選択します。
  2. [演算子] を選択します (該当する場合)。
  3. [セレクター] を入力します (該当する場合)。
  4. [保存] を選択します。

さらにルールを追加するには同じことを繰り返します。

機密データ保護を確認する

機密データ保護ルールを確認するには、Front Door ファイアウォールのログを開き、機密フィールドの代わりに ****** を検索します。