Delen via

API's beveiligen die worden gehost in API Management met behulp van Azure Web Application Firewall

Er zijn steeds meer ondernemingen die zich houden aan de API-eerste benadering voor hun interne toepassingen en het aantal en de complexiteit van beveiligingsaanvallen tegen webtoepassingen is voortdurend in ontwikkeling. Voor deze situatie moeten ondernemingen een sterke beveiligingsstrategie gebruiken om API's te beschermen tegen verschillende aanvallen op webtoepassingen.

Azure Web Application Firewall (WAF) is een Azure Networking-product dat API's beschermt tegen verschillende OWASP top 10 webaanvallen, CVE's en kwaadaardige botaanvallen.

In dit artikel wordt beschreven hoe u Azure Web Application Firewall in Azure Front Door gebruikt om API's te beveiligen die worden gehost in Azure API Management

Een APIM-exemplaar maken en een API publiceren in APIM waarmee een mock-API-antwoord wordt gegenereerd

  1. Maak een APIM-exemplaar. Zie quickstart: Een nieuw Exemplaar van de Azure API Management-service maken met behulp van Azure Portal voor meer informatie.

    In de volgende schermopname ziet u dat er een APIM-exemplaar met de naam contoso-afd-apim-resource is gemaakt. Het kan tot 30 tot 40 minuten duren voordat een API Management-service is gemaakt en geactiveerd.

    Een schermopname van het APIM-exemplaar dat is gemaakt.

  2. Maak een API en genereer gesimuleerde API-antwoorden. Zie Zelfstudie: Mock-API-antwoorden voor meer informatie.

    Vervang de naam van de API van Test API die in de bovenstaande handleiding is gegeven door Book API.

    De Book-API voert een GET-bewerking uit voor _/test_ als het URL-pad voor de API. U kunt het antwoord voor de API instellen als 200 OK met inhoudstype als toepassing/json met tekst als {“Book”:” $100”}.

  3. Schakel het vereiste selectievakje Abonnement uit op het tabblad API-instellingen en selecteer Opslaan.

  4. Test de gesimuleerde antwoorden van de APIM-interface. U zou een 200 OK reactie moeten ontvangen.

Nu is de Book-API gemaakt. Een geslaagde aanroep van deze URL retourneert een 200 OK-antwoord en retourneert de prijs van een boek als $ 100.

Een Azure Front Door Premium-exemplaar maken met APIM gehoste API als de oorsprong

De door Microsoft beheerde standaardregelset is gebaseerd op de OWASP Core Rule Set en bevat Microsoft Threat Intelligence-regels.

Notitie

Beheerde regelset is niet beschikbaar voor Azure Front Door Standard-SKU. Zie de vergelijking van de Azure Front Door-laag voor meer informatie over de verschillende SKU's.

Gebruik de stappen die worden beschreven in de optie Snel maken om een Azure Front Door Premium-profiel te maken met een gekoppeld WAF-beveiligingsbeleid in dezelfde resourcegroep:

Snelstartgids: een Azure Front Door-profiel maken - Azure-portal

Gebruik de volgende instellingen bij het maken van het Azure Front Door-profiel:

  • Naam: myAzureFrontDoor
  • Eindpuntnaam: bookfrontdoor
  • Oorsprongstype: API Management
  • Hostnaam van oorsprong: contoso-afd-apim-resource.azure-api.net(contoso-afd-apim-resource)
  • WAF-beleid: Maak een nieuw WAF-beleid met de naam bookwafpolicy.

Alle andere instellingen blijven op standaardwaarden staan.

Azure Web Application Firewall inschakelen in de preventiemodus

Selecteer het Azure WAF-beleid 'bookwafpolicy' en zorg ervoor dat de beleidsmodus is ingesteld op 'Preventie' op het tabblad Overzicht van het beleid

De Detectiemodus van Azure WAF wordt gebruikt voor het testen en valideren van het beleid. Detectie blokkeert de aanroep niet, maar registreert alle gedetecteerde bedreigingen, terwijl de preventiemodus de aanroep blokkeert als er een aanval wordt gedetecteerd. Normaal gesproken test u het scenario voordat u overschakelt naar de preventiemodus. Voor deze oefening schakelen we over naar de preventiemodus.
Azure Web Application Firewall in Azure Front Door bevat meer informatie over verschillende WAF-beleidsmodi.

Beperk de toegang tot APIM uitsluitend via Azure Front Door.

Aanvragen die via de Front Door worden doorgestuurd, bevatten headers die specifiek zijn voor uw Front Door-configuratie. U kunt het beleid voor controleheaders configureren als een binnenkomend APIM-beleid om binnenkomende aanvragen te filteren op basis van de unieke waarde van de X-Azure-FDID HTTP-aanvraagheader die naar API Management wordt verzonden. Deze headerwaarde is de Azure Front Door-id, die beschikbaar is op de pagina AFD-overzicht.

  1. Kopieer de Front Door ID op de overzichtspagina van AFD.

  2. Open de APIM-pagina, selecteer de Book-API, selecteer Ontwerp en Alle bewerkingen. In het inkomende beleid, selecteer + Beleid toevoegen.

    Een schermopname die laat zien hoe u een inkomend beleid toevoegt.

  3. Ander beleid selecteren

  4. Selecteer Fragmenten weergeven en selecteer HTTP-header controleren.

    Voeg de volgende code toe aan het inkomende beleid voor HTTP-header X-Azure-FDID. Vervang de {FrontDoorId} door de AFD-identificatie die u in de eerste stap van deze sectie hebt gekopieerd.

    <check-header name="X-Azure-FDID" failed-check-httpcode="403" failed-check-error-message="Invalid request" ignore-case="false">
     <value>{FrontDoorId}</value>
</check-header>

  5. Selecteer Opslaan.

    Op dit moment is APIM-toegang alleen beperkt tot het Azure Front Door-eindpunt.

Controleer of de API-aanroep wordt gerouteerd via Azure Front Door en wordt beveiligd door Azure Web Application Firewall

  1. Haal het zojuist gemaakte Azure Front Door-eindpunt op vanuit Front Door Manager.

    Een schermopname van het AFD-eindpunt geselecteerd.

  2. Bekijk oorsprongsgroepen en controleer of de hostnaam van de oorsprong is contoso-afd-apim-resource.azure-api.net. Met deze stap wordt gecontroleerd of het APIM-exemplaar een oorsprong is in de zojuist geconfigureerde Azure Front Door Premium.

  3. Controleer in de sectie Beveiligingsbeleid of het WAF-beleid bookwafpolicy beheerd is.

  4. Selecteer bookwafpolicy en controleer of de bookwafpolicy beheerde regels heeft ingericht. De nieuwste versies van Microsoft_DefaultRueSet en Microsoft_BotManagerRuleSet worden ingericht, waardoor de oorsprong wordt beschermd tegen OWASP top 10 beveiligingsproblemen en aanvallen met schadelijke bots.

Op dit moment wordt de end-to-end-aanroep ingesteld en wordt de API beveiligd door Azure Web Application Firewall.

De installatie controleren

  1. Open de API via het Azure Front Door-eindpunt vanuit uw browser. De API moet het volgende antwoord retourneren:

    Een schermopname van API-toegang via HET AFD-eindpunt.

  2. Controleer of APIM niet rechtstreeks toegankelijk is via internet en alleen toegankelijk is via de AFD:

    Een schermopname van APIM is niet toegankelijk via internet.

  3. Probeer nu de AFD-eindpunt-URL aan te roepen via een OWASP Top 10-aanval of bot-aanval. U moet een bericht ontvangen REQUEST IS BLOCKED en de aanvraag wordt geblokkeerd. De API is beveiligd tegen webaanvallen door Azure Web Application Firewall.

Verwante inhoud