Azure Application Gateway での Azure Web Application Firewall (WAF) のベスト プラクティス

この記事では、Azure Application Gateway で Azure Web Application Firewall (WAF) を使用するためのベスト プラクティスについて説明します。

一般的なベスト プラクティス

WAF を有効にする

インターネットに接続するアプリケーションの場合は、Web アプリケーション ファイアウォール (WAF) を有効にして、マネージド ルールを使用するように構成することをお勧めします。 WAF と Microsoft マネージド ルールを使用すると、お使いのアプリケーションがさまざまな攻撃から保護されます。

WAF ポリシーを使用する

WAF ポリシーは、Application Gateway WAF を管理するための新しいリソースの種類です。 WAF 構成リソースを使用する古い WAF がある場合は、最新の機能を利用するために WAF ポリシーに移行する必要があります。

詳細については、次のリソースを参照してください。

• Azure Application Gateway WAF ポリシーへのアップグレード
• Azure PowerShell を使用して Web アプリケーション ファイアウォール ポリシーをアップグレードする
• Azure Firewall Manager を使用して Application Gateway WAF 構成を WAF ポリシーにアップグレードする

WAF を調整する

WAF のルールは、実際のワークロードに合わせて調整する必要があります。 WAF を調整しないと、許可されるべき要求が誤ってブロックされる可能性があります。 調整には、誤検出を減らすためのルール除外の作成が含まれる場合があります。

WAF を調整するときは、要求と WAF が通常実行するアクションをログに記録する 検出モードを使用することを検討しますが、実際にはトラフィックはブロックされません。

詳細については、「Azure Application Gateway の Web アプリケーション ファイアウォール (WAF) のトラブルシューティング」を参照してください。

防止モードを使う

WAF を調整したら、防止モードで実行するように WAF を構成する必要があります。 防止モードで実行することで、WAF が悪意のあるものとして検出した要求を実際にブロックします。 検出モードでの実行は、WAF のチューニングと構成中にテスト目的に役立ちますが、保護は提供されません。 トラフィックはログに記録されますが、 許可 や 拒否などのアクションは実行されません。

WAF 構成をコードとして定義する

アプリケーション ワークロードに合わせて WAF を調整するときは、通常、誤検出を減らすために一連のルール除外を作成します。 Azure portal を使用してこれらの除外を手動で構成する場合、WAF をアップグレードして新しいルールセット バージョンを使用する場合は、新しいルールセット バージョンに対して同じ例外を再構成する必要があります。 このプロセスは時間がかかり、エラーが発生しやすい場合があります。

代わりに、AZURE CLI、Azure PowerShell、Bicep、Terraform などを使用して、WAF ルールの除外やその他の構成をコードとして定義することを検討してください。 その後、WAF ルールセットのバージョンを更新する必要がある場合は、同じ除外を簡単に再利用できます。

マネージド ルールセットのベスト プラクティス

コア ルール セットを有効にする

Microsoft のコア ルール セットは、一般的な攻撃を検出してブロックすることで、アプリケーションを保護するように設計されています。 このルールは、OWASP の上位 10 件の攻撃の種類や Microsoft Threat Intelligence からの情報など、さまざまなソースに基づいています。

詳細については、「 Web アプリケーション ファイアウォール CRS ルール グループとルール」を参照してください。

ボット管理ルールを有効にする

ボットは、Web アプリケーションへのトラフィックのかなりの部分を占めています。 WAF のボット保護ルール セットは、ボットが良性、悪性、不明のいずれであるかに基づいて分類されます。 その後、悪性ボットはブロックできますが、検索エンジン クローラーなどの良性ボットはアプリケーションへの侵入を許可されます。

詳細については、 Azure Application Gateway での Azure Web アプリケーション ファイアウォールのボット保護の概要に関するページを参照してください。

最新のルールセット バージョンを使用する

Microsoft は、現在の脅威の状況を考慮して、マネージド ルールを定期的に更新しています。 Azure マネージド ルール セットの更新を定期的に確認してください。

詳細については、「 Web アプリケーション ファイアウォール CRS ルール グループとルール」を参照してください。

ジオフィルタリングのベスト プラクティス

ジオフィルター トラフィック

多くの Web アプリケーションは、特定の地理的リージョン内のユーザー向けに設計されています。 この状況がアプリケーションに適用される場合は、トラフィックの受信が予想される国/地域の外部からの要求をブロックする geo フィルタリングを実装することを検討してください。

詳細については、Geomatch カスタム ルールに関するページをご覧ください。

ロギング（記録）

診断設定を追加して WAF のログを保存する

Application Gateway の WAF は Azure Monitor と統合されます。 診断設定を有効にして、Log Analytics などの宛先に WAF ログを保存することが重要です。 WAF ログは定期的に確認する必要があります。 ログを確認すると、 WAF ポリシーを調整して誤検知の検出を減らし、アプリケーションが攻撃の対象になっているかどうかを理解するのに役立ちます。

詳細については、「 Azure Web アプリケーション ファイアウォールの監視とログ記録」を参照してください。

ログを Microsoft Sentinel に送信する

Microsoft Sentinel は、セキュリティ情報イベント管理 (SIEM) システムであり、複数のソースからログとデータをインポートして、ご使用の Web アプリケーションと Azure 環境全体の脅威の状況を把握します。 Application Gateway の WAF ログは、インターネットに接続するプロパティが分析に含まれるように、Microsoft Sentinel または別の SIEM にインポートする必要があります。 Microsoft Sentinel の場合、Azure WAF コネクタを使用して WAF ログを簡単にインポートできます。

詳細については、「 Azure Web アプリケーション ファイアウォールでの Microsoft Sentinel の使用」を参照してください。

次のステップ

Application Gateway で WAF を有効にする方法について説明します。