Web Application Firewall voor Azure Front Door
Azure Web Application Firewall in Azure Front Door biedt gecentraliseerde beveiliging voor uw webtoepassingen. Een WaF (Web Application Firewall) verdedigt uw webservices tegen veelvoorkomende aanvallen en beveiligingsproblemen. De firewall houdt uw service maximaal beschikbaar voor uw gebruikers en helpt u te voldoen aan de nalevingsvereisten.
Azure Web Application Firewall in Azure Front Door is een wereldwijde en gecentraliseerde oplossing. De service is wereldwijd geïmplementeerd op locaties aan de randen van het Azure-netwerk. Webtoepassingen met WAF controleren elke binnenkomende aanvraag die door Azure Front Door wordt geleverd aan de netwerkrand.
Een WAF voorkomt schadelijke aanvallen dicht bij de aanvalsbronnen voordat ze uw virtuele netwerk binnenkomen. U krijgt wereldwijde beveiliging op schaal zonder prestatieverlies. Een WAF-beleid kan eenvoudig worden gekoppeld aan elk Azure Front Door-profiel in uw abonnement. Nieuwe regels kunnen binnen enkele minuten worden geïmplementeerd, zodat u snel kunt reageren op veranderende bedreigingspatronen.
Notitie
Voor webworkloads raden we u ten zeerste aan azure DDoS-beveiliging en een webtoepassingsfirewall te gebruiken om te beschermen tegen opkomende DDoS-aanvallen. Een andere optie is om Azure Front Door samen met een webtoepassingsfirewall te gebruiken. Azure Front Door biedt beveiliging op platformniveau tegen DDoS-aanvallen op netwerkniveau. Zie de beveiligingsbasislijn voor Azure-services voor meer informatie.
Azure Front Door heeft twee lagen:
- Standaard
- Premium
Azure Web Application Firewall is systeemeigen geïntegreerd met Azure Front Door Premium met volledige mogelijkheden. Voor Azure Front Door Standard worden alleen aangepaste regels ondersteund.
Beveiliging
Azure Web Application Firewall beschermt het volgende:
- Webtoepassingen van beveiligingsproblemen op internet en aanvallen zonder wijzigingen in back-endcode.
- Webtoepassingen van schadelijke bots met de IP-reputatieregelset.
- Toepassingen tegen DDoS-aanvallen. Zie Application DDoS-beveiliging voor meer informatie.
WAF-beleid en -regels
U kunt een WAF-beleid configureren en dat beleid koppelen aan een of meer Azure Front Door-domeinen voor beveiliging. Een WAF-beleid bestaat uit twee typen beveiligingsregels:
- Aangepaste regels die de klant heeft gemaakt.
- Beheerde regelsets die een verzameling vooraf geconfigureerde sets met regels zijn die door Azure worden beheerd.
Als beide typen regels aanwezig zijn, worden aangepaste regels eerst verwerkt en daarna de regels in een beheerde regelset. Een regel bestaat uit een voorwaarde voor overeenkomst, een prioriteit en een actie. Ondersteunde actietypen zijn ALLOW, BLOCK, LOG en REDIRECT. U kunt een volledig aangepast beleid maken dat voldoet aan uw specifieke vereisten voor toepassingsbeveiliging door beheerde en aangepaste regels te combineren.
Regels in een beleid worden verwerkt in een prioriteitsvolgorde. Prioriteit is een uniek geheel getal dat de volgorde bepaalt van de te verwerken regels. Een kleinere geheel getalwaarde geeft een hogere prioriteit aan en deze regels worden geëvalueerd vóór regels met een hogere geheel getalwaarde. Nadat een regel is gekoppeld, wordt de bijbehorende actie die in de regel is gedefinieerd, toegepast op de aanvraag. Nadat een dergelijke overeenkomst is verwerkt, worden regels met lagere prioriteiten niet verder verwerkt.
Aan een webtoepassing die door Azure Front Door wordt geleverd, kan slechts één WAF-beleid tegelijk zijn gekoppeld. U kunt echter wel een Azure Front Door-configuratie hebben zonder dat er WAF-beleidsregels aan zijn gekoppeld. Als er een WAF-beleid aanwezig is, wordt dit gerepliceerd naar al onze randlocaties om over de hele wereld een consistent beveiligingsbeleid te garanderen.
WAF-modi
U kunt een WAF-beleid configureren voor uitvoering in twee modi:
- Detectie: Wanneer een WAF wordt uitgevoerd in de detectiemodus, bewaakt en registreert deze alleen de aanvraag en de overeenkomende WAF-regel in WAF-logboeken. Er worden geen andere acties uitgevoerd. U kunt diagnostische logboekregistratie inschakelen voor Azure Front Door. Wanneer u de portal gebruikt, gaat u naar de sectie Diagnostische gegevens.
- Preventie: In de preventiemodus voert een WAF de opgegeven actie uit als een aanvraag overeenkomt met een regel. Als er een overeenkomst wordt gevonden, worden er geen verdere regels met een lagere prioriteit geëvalueerd. Alle overeenkomende aanvragen worden ook in de WAF-logboeken vastgelegd.
WAF-acties
WAF-klanten kunnen ervoor kiezen om uit een van de acties te worden uitgevoerd wanneer een aanvraag overeenkomt met de voorwaarden van een regel:
- Toestaan: de aanvraag wordt doorgegeven via de WAF en wordt doorgestuurd naar de oorsprong. Deze aanvraag kan niet worden geblokkeerd door regels met een lagere prioriteit.
- Blokkeren: de aanvraag wordt geblokkeerd en de WAF verzendt een antwoord naar de client zonder de aanvraag door te sturen naar de oorsprong.
- Logboek: De aanvraag wordt geregistreerd in de WAF-logboeken en de WAF blijft regels met een lagere prioriteit evalueren.
- Omleiding: De WAF leidt de aanvraag om naar de opgegeven URI. De opgegeven URI is een instelling op beleidsniveau. Na de configuratie worden alle aanvragen die overeenkomen met de omleidingsactie verzonden naar die URI.
- Afwijkingsscore: de totale anomaliescore wordt incrementeel verhoogd wanneer een regel met deze actie overeenkomt. Deze standaardactie is voor standaardregelset 2.0 of hoger. Deze is niet van toepassing op de Regelset voor Bot Manager.
WAF-regels
Een WAF-beleid kan bestaan uit twee typen beveiligingsregels:
- Aangepaste regels, gemaakt door de klant en beheerde regelsets
- Vooraf geconfigureerde sets met regels die door Azure worden beheerd
Aangepaste regels
Gebruik de volgende besturingselementen om aangepaste regels voor een WAF te configureren:
- Ip-acceptatielijst en blokkeringslijst: u kunt de toegang tot uw webtoepassingen beheren op basis van een lijst met client-IP-adressen of IP-adresbereiken. Zowel IPv4- als IPv6-adrestypen worden ondersteund. Deze lijst kan worden geconfigureerd om aanvragen te blokkeren of toe te staan waarbij de bron-IP overeenkomt met een IP-adres in de lijst.
- Geografisch toegangsbeheer: U kunt de toegang tot uw webtoepassingen beheren op basis van de landcode die is gekoppeld aan het IP-adres van een client.
- Op HTTP-parameters gebaseerd toegangsbeheer: u kunt regels baseren op tekenreeksovereenkomsten in HTTP/HTTPS-aanvraagparameters. Voorbeelden hiervan zijn queryreeksen, POST-argumenten, aanvraag-URI, aanvraagheader en aanvraagbody.
- Toegangsbeheer op basis van aanvraagmethode: u baseert regels op de HTTP-aanvraagmethode van de aanvraag. Voorbeelden zijn GET, PUT of HEAD.
- Groottebeperking: u kunt regels baseren op de lengte van specifieke onderdelen van een aanvraag, zoals querytekenreeks, URI of Aanvraagbody.
- Regels voor snelheidsbeperking: een frequentiebeperkingsregel beperkt abnormaal hoog verkeer vanaf elk client-IP-adres. U kunt een drempelwaarde configureren voor het aantal webaanvragen dat is toegestaan vanaf een client-IP gedurende een duur van één minuut. Deze regel verschilt van een op IP-lijst gebaseerde regel voor toestaan/blokkeren die alle aanvragen van een client-IP toestaat of blokkeert. Frequentielimieten kunnen worden gecombineerd met andere overeenkomstvoorwaarden, zoals HTTP(S)-parameterovereenkomsten voor gedetailleerde snelheidsbeheer.
Door Azure beheerde regelsets
Door Azure beheerde regelsets bieden een eenvoudige manier om beveiliging te implementeren op basis van een gemeenschappelijke set beveiligingsbedreigingen. Omdat Azure deze regelsets beheert, worden de regels zo nodig bijgewerkt om u te beschermen tegen nieuwe aanvalshandtekeningen. De door Azure beheerde standaardregelset bevat regels voor de volgende bedreigingscategorieën:
- Script uitvoeren op meerdere sites
- Java-aanvallen
- Lokale bestandsopname
- PHP-injectieaanvallen
- Uitvoeren van opdrachten op afstand
- Externe bestandsopname
- Sessiefixatie
- Beveiliging tegen SQL-injecties
- Protocolaanvallers
Aangepaste regels worden altijd toegepast voordat regels in de standaardregelset worden geëvalueerd. Als een aanvraag overeenkomt met een aangepaste regel, wordt de bijbehorende regelactie toegepast. De aanvraag wordt geblokkeerd of doorgegeven aan de back-end. Er worden geen andere aangepaste regels verwerkt, evenmin als de regels in de standaardregelset. U kunt ook de standaardregelset uit uw WAF-beleid verwijderen.
Zie Voor meer informatie Web Application Firewall Standaardregelsetgroepen en -regels.
Regelset voor botbeveiliging
U kunt een regelset voor beheerde botbeveiliging inschakelen om aangepaste acties uit te voeren op aanvragen van alle botcategorieën.
Er worden drie botcategorieën ondersteund: Slecht, Goed en Onbekend. Bot-handtekeningen worden beheerd en dynamisch bijgewerkt door het WAF-platform.
- Slecht: slechte bots zijn bots met schadelijke IP-adressen en bots die hun identiteit hebben vervalst. Slechte bots bevatten schadelijke IP-adressen die afkomstig zijn van de Ip-indicatoren van inbreuk en IP-reputatiefeeds van de Microsoft Threat Intelligence-feed. Slechte bots bevatten ook bots die zichzelf identificeren als goede bots, maar hun IP-adressen behoren niet tot legitieme botuitgevers.
- Goed: Goede bots zijn vertrouwde gebruikersagenten. Goede botregels worden gecategoriseerd in meerdere categorieën om gedetailleerde controle te bieden over waF-beleidsconfiguratie. Deze categorieën omvatten geverifieerde zoekmachinebots (zoals Googlebot en Bingbot), gevalideerde bots voor koppelingscontrole, geverifieerde bots voor sociale media (zoals Facebookbot en LinkedInBot), geverifieerde advertentiebots, geverifieerde bots voor inhoudscontrole en gevalideerde diverse bots.
- Onbekend: onbekende bots zijn gebruikersagenten zonder extra validatie. Onbekende bots bevatten ook schadelijke IP-adressen die afkomstig zijn van de Medium Confidence IP Indicators of Compromise van de Microsoft Threat Intelligence-feed.
Bot-handtekeningen worden beheerd en dynamisch bijgewerkt door het WAF-platform. U kunt aangepaste acties instellen om verschillende typen bots te blokkeren, toestaan, vast te leggen in een logboek of om te leiden.
Als botbeveiliging is ingeschakeld, worden binnenkomende aanvragen die overeenkomen met botregels geblokkeerd, toegestaan of geregistreerd op basis van de geconfigureerde actie. Slechte bots worden geblokkeerd, goede bots zijn toegestaan en onbekende bots worden standaard geregistreerd. U kunt aangepaste acties instellen om verschillende typen bots te blokkeren, toe te staan, te registreren of te registreren. U kunt WAF-logboeken openen vanuit een opslagaccount, Event Hub, Log Analytics of logboeken verzenden naar een partneroplossing.
De regelset Bot Manager 1.1 is beschikbaar in de Premium-versie van Azure Front Door.
Zie Bot Manager 1.1 en JavaScript-uitdaging van Azure WAF voor meer informatie: Navigeren in het Bot Threat Terrain van Azure WAF.
Configuratie
U kunt alle WAF-beleidsregels configureren en implementeren met behulp van Azure Portal, REST API's, Azure Resource Manager-sjablonen en Azure PowerShell. U kunt ook Azure WAF-beleid op schaal configureren en beheren met behulp van Firewall Manager-integratie. Zie Azure Firewall Manager gebruiken voor het beheren van Azure Web Application Firewall-beleid voor meer informatie.
Controleren
Bewaking voor een WAF op Azure Front Door is geïntegreerd met Azure Monitor om waarschuwingen bij te houden en eenvoudig verkeerstrends te bewaken. Zie Bewaking en logboekregistratie van Azure Web Application Firewall voor meer informatie.
Volgende stappen
- Meer informatie over Azure Web Application Firewall op Azure-toepassing Gateway.
- Meer informatie over Azure-netwerkbeveiliging.