Wat is Azure Web Application Firewall voor Azure Application Gateway?

  • Artikel

WaF (Azure Web Application Firewall) op Azure-toepassing Gateway beschermt uw webtoepassingen actief tegen veelvoorkomende aanvallen en beveiligingsproblemen. Naarmate webtoepassingen vaker doelen voor schadelijke aanvallen worden, worden deze aanvallen vaak misbruik gemaakt van bekende beveiligingsproblemen, zoals SQL-injectie en scripting op meerdere sites.

WAF op Application Gateway is gebaseerd op de Core Rule Set (CRS) van het Open Web Application Security Project (OWASP).

Alle volgende WAF-functies bestaan in een WAF-beleid. U kunt meerdere beleidsregels opstellen en deze kunnen worden gekoppeld aan een toepassingsgateway, aan individuele listeners of aan routeringsregels op een toepassingsgateway die op een pad zijn gebaseerd. Op deze manier kunt u indien nodig afzonderlijke beleidsregels hanteren voor elke site achter uw toepassingsgateway. Zie Een WAF-beleid maken voor meer informatie over WAF-beleid.

Notitie

Application Gateway heeft twee versies van de WAF-SKU: Application Gateway WAF_v1 en Application Gateway WAF_v2. WAF-beleidskoppelingen worden alleen ondersteund voor de Application Gateway WAF_v2 SKU.

Application Gateway WAF diagram

Application Gateway fungeert als een ADC-controller (Application Delivery controller). Application Gateway biedt TLS (Transport Layer Security), eerder bekend als SSL (Secure Sockets Layer), beëindiging, sessieaffiniteit op basis van cookies, round robin-taakverdeling, routering op basis van inhoud, de mogelijkheid om meerdere websites te hosten en beveiligingsverbeteringen.

Application Gateway verbetert de beveiliging via TLS-beleidsbeheer en end-to-end TLS-ondersteuning. Door WAF te integreren in Application Gateway, wordt de beveiliging van toepassingen versterkt. Deze combinatie verdedigt uw webtoepassingen actief tegen veelvoorkomende beveiligingsproblemen en biedt een centraal beheerbare, eenvoudig te configureren locatie.

Vergoedingen

In deze sectie worden de belangrijkste voordelen beschreven die WAF in Application Gateway biedt.

Beveiliging

  • Beveilig uw webtoepassing tegen kwetsbaarheden en aanvallen op het web zonder dat u de code voor de back-end hoeft aan te passen.

  • Beveilig meerdere webtoepassingen tegelijk. Een instantie van Application Gateway kan maximaal 40 websites hosten die worden beveiligd door een Web Application Firewall.

  • Maak aangepast WAF-beleid voor verschillende sites achter dezelfde WAF.

  • Bescherm uw webtoepassingen tegen schadelijke bots met de ip-reputatieregelset.

  • Bescherm uw toepassing tegen DDoS-aanvallen. Zie Application DDoS Protection voor meer informatie.

Controleren

  • Controleer op aanvallen tegen webtoepassingen door een real-time logboek van WAF te gebruiken. Het logboek is geïntegreerd met Azure Monitor om waarschuwingen van WAF bij te houden en gemakkelijk trends te ontdekken.

  • Application Gateway WAF is geïntegreerd met Microsoft Defender voor Cloud. Defender voor Cloud biedt een centraal overzicht van de beveiligingsstatus van al uw Azure-, hybride en multicloud-resources.

Aanpassing

  • Pas regels en regelgroepen van WAF aan om deze te laten voldoen aan de toepassingsvereisten en om fout-positieven te elimineren.

  • Koppel een WAF-beleid voor elke site achter uw WAF om sitespecifieke configuratie te bieden.

  • Stel aangepaste regels op om te voldoen aan de behoeften van uw toepassing.

Functies

  • SQL-injectiebeveiliging.
  • Beveiliging tegen cross-site scripting
  • Bescherming tegen andere veelvoorkomende webaanvallen, zoals opdrachtinjectie, HTTP-aanvraagsmokkel, HTTP-antwoord splitsen en externe bestandsopname.
  • Beveiliging tegen schendingen van het HTTP-protocol.
  • Beveiliging tegen afwijkingen in HET HTTP-protocol, zoals ontbrekende hostgebruikersagent en accepteren headers.
  • Beveiliging tegen crawlers en scanners.
  • Detectie van veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS).
  • Configureerbare limieten voor grootte van aanvraag met boven- en ondergrenzen.
  • Met uitsluitingslijsten kunt u bepaalde kenmerken van aanvragen weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie- of wachtwoordvelden.
  • Stel aangepaste regels op om te voldoen aan de specifieke behoeften van uw toepassingen.
  • Pas geografische filters toe op verkeer om bepaalde landen/regio's al dan niet toegang te geven tot uw toepassingen.
  • Beveilig uw toepassingen tegen bots met de regelset voor beperking voor bots.
  • Controleer de JSON- en XML-code in de hoofdtekst van de aanvraag

WAF-beleid en -regels

Als u een Web Application Firewall wilt inschakelen op Application Gateway, moet u een WAF-beleid maken. In dit beleid zijn alle beheerde regels, aangepaste regels, uitsluitingen en andere aanpassingen verzameld, zoals de uploadlimiet voor bestanden.

U kunt een WAF-beleid configureren en dit beleid aan een of meer toepassingsgateways koppelen voor beveiliging. Een WAF-beleid bestaat uit twee typen beveiligingsregels:

  • Aangepaste regels die u kunt maken

  • Beheerde regelsets die een verzameling vooraf geconfigureerde regels van Azure zijn

Als beide typen regels aanwezig zijn, worden aangepaste regels eerst verwerkt en daarna de regels in een beheerde regelset. Een regel bestaat uit een voorwaarde voor overeenkomst, een prioriteit en een actie. Ondersteunde actietypen zijn: ALLOW, BLOCK en LOG. U kunt een volledig aangepast beleid maken dat voldoet aan uw specifieke vereisten voor toepassingsbeveiliging door beheerde en aangepaste regels te combineren.

Regels in een beleid worden verwerkt in een prioriteitsvolgorde. Prioriteit is een uniek geheel getal dat de volgorde bepaalt van de te verwerken regels. Een lager geheel getal geeft een hogere prioriteit aan, en deze regels worden eerder geëvalueerd dan regels met een hoger geheel getal. Zodra een overeenkomst met een regel is gevonden, wordt op de aanvraag de actie toegepast die is gedefinieerd in de regel. Zodra een dergelijke overeenkomst is verwerkt, worden regels met lagere prioriteiten niet meer verwerkt.

Aan een door Application Gateway geleverde webtoepassing kan een WAF-beleid op globaal niveau gekoppeld zijn, maar dat kan ook per site of per URI.

Core Rule Sets

Application Gateway ondersteunt meerdere regelsets, waaronder CRS 3.2, CRS 3.1 en CRS 3.0. Met deze regels worden uw webtoepassingen beveiligd tegen schadelijke activiteiten.

Zie voor meer informatie Web Application Firewall CRS rule groups and rules (CRS-regelgroepen en -regels voor Web Application Firewall).

Aangepaste regels

Application Gateway biedt ook ondersteuning voor aangepaste regels. Met aangepaste regels kunt u uw eigen regels maken, die worden geëvalueerd voor elke aanvraag die via WAF wordt doorgegeven. Deze regels hebben een hogere prioriteit dan de rest van de regels in de beheerde regelsets. Als aan een set voorwaarden wordt voldaan, wordt er een actie uitgevoerd om een bewerking toe te staan of te blokkeren.

De geomatch-operator is nu beschikbaar voor aangepaste regels. Zie aangepaste regels voor geomatch voor meer informatie.

Zie Custom Rules for Application Gateway (Aangepaste regels voor Application Gateway) voor meer informatie over aangepaste regels.

Regelset voor botbeveiliging

U kunt een regelset voor beheerde botbeveiliging inschakelen om aangepaste acties uit te voeren op aanvragen van alle botcategorieën.

Er worden drie botcategorieën ondersteund:

  • Slecht

    Slechte bots bevatten bots van schadelijke IP-adressen en bots die hun identiteiten vervalsen. Slechte bots met schadelijke IP-adressen zijn afkomstig van de Microsoft Threat Intelligence-feed met hoge betrouwbaarheid IP-indicatoren voor inbreuk.

  • Goed

    Goede bots zijn gevalideerde zoekmachines zoals Googlebot, bingbot en andere vertrouwde gebruikersagenten.

  • Onbekende

    Onbekende bots worden geclassificeerd via gepubliceerde gebruikersagenten zonder meer validatie. Bijvoorbeeld market analyzer, feed fetchers en agents voor gegevensverzameling. Onbekende bots bevatten ook schadelijke IP-adressen die afkomstig zijn van de Medium Confidence IP Indicators of Compromise van de Microsoft Threat Intelligence-feed.

Het WAF-platform beheert en werkt bothandtekeningen dynamisch bij.

Screenshot of bot rule set.

U kunt Microsoft_BotManagerRuleSet_1.0 toewijzen met behulp van de optie Toewijzen onder Beheerde regelsets:

Screenshot of Assign managed rule sets.

Wanneer botbeveiliging is ingeschakeld, worden binnenkomende aanvragen die overeenkomen met botregels geblokkeerd, toegestaan of aangemeld op basis van de actie die u hebt geconfigureerd. Het blokkeert schadelijke bots, staat geverifieerde zoekmachinecrawlers toe, blokkeert onbekende verkenningen van zoekmachines en registreert standaard onbekende bots. U kunt aangepaste acties instellen om verschillende typen bots te blokkeren, toe te staan of te registreren.

U kunt WAF-logboeken openen vanuit een opslagaccount, Event Hub, Log Analytics of logboeken verzenden naar een partneroplossing.

WAF-modi

In Application Gateway WAF kunnen de volgende twee modi worden geconfigureerd:

  • Detectiemodus: bewaakt en registreert alle bedreigingswaarschuwingen. U kunt het vastleggen van diagnostische gegevens inschakelen voor Application Gateway via de sectie Diagnostische gegevens. U moet er ook voor zorgen dat het WAF-logboek is geselecteerd en ingeschakeld. In de detectiemodus worden binnenkomende verzoeken niet geblokkeerd door Web Application Firewall.
  • Preventiemodus: blokkeert indringers en aanvallen die door de regels worden gedetecteerd. De aanvaller krijgt een uitzondering '403 onbevoegde toegang' en de verbinding wordt verbroken. In de preventiemodus worden dergelijke aanvallen vastgelegd in de WAF-logboeken.

Notitie

Het is raadzaam om een nieuw geïmplementeerde WAF gedurende korte tijd in de detectiemodus uit te voeren in een productieomgeving. U hebt dan de mogelijkheid om firewall-logboeken te verzamelen, aan de hand waarvan u eventuele uitzonderingen of aangepaste regels kunt aanpassen voordat u verdergaat in de preventiemodus. Hierdoor kan het volume onverwacht geblokkeerd verkeer worden verminderd.

WAF-engines

De WAF-engine (Azure Web Application Firewall) is het onderdeel dat verkeer inspecteert en bepaalt of een aanvraag een handtekening bevat die een mogelijke aanval vertegenwoordigt. Wanneer u CRS 3.2 of hoger gebruikt, voert uw WAF de nieuwe WAF-engine uit, waardoor u betere prestaties en een verbeterde set functies krijgt. Wanneer u eerdere versies van de CRS gebruikt, wordt uw WAF uitgevoerd op een oudere engine. Nieuwe functies zijn alleen beschikbaar in de nieuwe Azure WAF-engine.

WAF-acties

U kunt kiezen welke actie wordt uitgevoerd wanneer een aanvraag overeenkomt met een regelvoorwaarde. De volgende acties worden ondersteund:

  • Toestaan: Aanvraag wordt doorgegeven via de WAF en wordt doorgestuurd naar de back-end. Deze aanvraag kan niet worden geblokkeerd door regels met een lagere prioriteit. Toegestane acties zijn alleen van toepassing op de Bot Manager-regelset en zijn niet van toepassing op de basisregelset.
  • Blokkeren: De aanvraag wordt geblokkeerd en WAF verzendt een antwoord naar de client zonder de aanvraag door te sturen naar de back-end.
  • Logboek: De aanvraag wordt geregistreerd in de WAF-logboeken en WAF blijft regels met een lagere prioriteit evalueren.
  • Anomaliescore: dit is de standaardactie voor crs-regelset waarbij de totale anomaliescore wordt verhoogd wanneer een regel met deze actie wordt vergeleken. Anomaliescores zijn niet van toepassing op de Bot Manager-regelset.

Modus Anomaliescore

OWASP heeft twee modi voor het bepalen of verkeer moet worden geblokkeerd: de traditionele modus en de modus Anomaliescore.

In de traditionele modus wordt verkeer dat voldoet aan een regel, als onafhankelijk beschouwd van andere regels waaraan wordt voldaan. Deze modus is eenvoudig te begrijpen. Maar het ontbreken van informatie over het aantal regels dat voldoet aan een specifieke aanvraag is een beperking. Daarom is de modus Anomaliescore geïntroduceerd. Dit is de standaard waarde voor OWASP 3.x.

In de modus Anomaliescore wordt verkeer dat voldoet aan een regel niet onmiddellijk geblokkeerd wanneer de firewall in de preventiemodus staat. Regels hebben een bepaalde ernst: Kritiek, Fout, Waarschuwing of Kennisgeving. Deze ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomalie- of afwijkingsscore wordt genoemd. Een regel met de ernst Waarschuwing draagt bijvoorbeeld 3 bij aan de score. Eén overeenkomst met een kritieke regel betekent dat de score wordt verhoogd met 5.

Ernst Weergegeven als
Kritiek 5
Error 4
Waarschuwing 3
Opmerking 2

Als de anomaliescore een drempel van 5 heeft bereikt, wordt het verkeer geblokkeerd. Dus één overeenkomst met een regel van de ernst Kritiek is voldoende voor de Application Gateway WAF om een aanvraag te blokkeren, zelfs in de preventiemodus. Maar bij één overeenkomst met een regel met het ernstniveau Waarschuwing, wordt de score alleen met 3 verhoogd, wat niet voldoende is om het verkeer te blokkeren.

Notitie

Het bericht dat wordt geregistreerd wanneer een WAF-regel overeenkomt met verkeer, bevat de actiewaarde 'Overeenkomend'. Als de totale anomaliescore van alle overeenkomende regels 5 of hoger is en het WAF-beleid wordt uitgevoerd in de preventiemodus, activeert de aanvraag een verplichte anomalieregel met de actiewaarde Geblokkeerd en wordt de aanvraag gestopt. Als het WAF-beleid echter wordt uitgevoerd in de detectiemodus, activeert de aanvraag de actiewaarde Gedetecteerd en wordt de aanvraag geregistreerd en doorgegeven aan de back-end. Raadpleeg Problemen met Web Application Firewall (WAF) voor Azure Application Gateway oplossen voor meer informatie.

Configuratie

U kunt alle WAF-beleidsregels configureren en implementeren met behulp van Azure Portal, REST API's, Azure Resource Manager-sjablonen en Azure PowerShell. U kunt ook Azure WAF-beleid op schaal configureren en beheren met behulp van Firewall Manager-integratie (preview). Zie Azure Firewall Manager gebruiken voor het beheren van Web Application Firewall-beleid (preview) voor meer informatie.

Bewaking van WAF

Het is belangrijk om de status van uw toepassingsgateway te controleren. U kunt dit ondersteunen door uw WAF en de toepassingen te integreren die worden beveiligd met Microsoft Defender voor Cloud-, Azure Monitor- en Azure Monitor-logboeken.

Diagram of Application Gateway WAF diagnostics

Azure Monitor

Logboeken van Application Gateway zijn geïntegreerd met Azure Monitor. Dit maak het mogelijk om diagnostische gegevens bij te houden, met inbegrip van WAF-meldingen en logboeken. Ga hiervoor naar het tabblad Diagnostische gegevens van de resource Application Gateway in de portal, of rechtstreeks vanuit de service Azure Monitor. Zie Diagnostische gegevens van Application Gateway voor meer informatie over het inschakelen van logboeken.

Microsoft Defender for Cloud

Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren. De service biedt meer inzicht in en controle over de veiligheid van uw Azure-resources. Application Gateway is geïntegreerd met Defender voor Cloud. Defender voor Cloud scant uw omgeving om onbeveiligde webtoepassingen te detecteren. Indien nodig worden er aanbevelingen naar Application Gateway WAF gestuurd om deze kwetsbare resources te beschermen. U maakt de firewalls rechtstreeks vanuit Defender voor Cloud. Deze WAF-exemplaren zijn geïntegreerd met Defender voor Cloud. Ze verzenden waarschuwingen en statusgegevens naar Defender voor Cloud voor rapportage.

Defender for Cloud overview window

Microsoft Sentinel

Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR-oplossing (Security Orchestration Automated Response). Microsoft Sentinel levert intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Met de ingebouwde werkmap voor firewallgebeurtenissen van Azure WAF kunt u een overzicht krijgen van de beveiligingsgebeurtenissen op uw WAF. Dit omvat gebeurtenissen, overeenkomende en geblokkeerde regels, en verder alles wat kan worden vastgelegd in de logboeken van de firewall. Meer informatie over logboekregistratie volgt.

Azure WAF firewall events workbook

Azure Monitor-werkmap voor WAF

Met deze werkmap kunt u aangepaste visualisaties van WAF-gebeurtenissen met betrekking tot beveiliging voor verschillende filterbare deelvensters inschakelen. De werkmap werkt met alle WAF-typen, waaronder Application Gateway, Front Door en CDN, en kan worden gefilterd op basis van het WAF-type of een specifiek WAF-exemplaar. Importeren via ARM-sjabloon of galeriesjabloon. Zie WAF-werkmap als u deze werkmap wilt implementeren.

Logboekregistratie

Application Gateway WAF biedt gedetailleerde rapporten voor elke bedreiging die wordt gedetecteerd. Logboekregistratie is geïntegreerd met Azure Diagnostics-logboeken. Waarschuwingen worden vastgelegd in de JSON-indeling. Deze logboeken kunnen worden geïntegreerd met Azure Monitor-logboeken.

Application Gateway diagnostics logs windows

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Prijzen voor de Application Gateway WAF-voorraadeenheid

De prijsmodellen verschillen voor de SKU's WAF_v1 en WAF_v2. Zie de pagina met prijzen van Application Gateway voor meer informatie.

Nieuwe functies

Zie Azure-updates om te ontdekken wat er nieuw is in Azure Web Application Firewall.

Volgende stappen