Wat is Azure Web Application Firewall voor Azure Application Gateway?

  • Artikel
  • 12 minuten om te lezen

Azure Web Application Firewall (WAF) voor Azure Application Gateway biedt gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen. Webtoepassingen zijn in toenemende mate het doel van aanvallen die gebruikmaken van algemeen bekende beveiligingsproblemen. SQL-injectie en cross-site scripting zijn twee van de meest voorkomende aanvallen.

WAF op Application Gateway is gebaseerd op de CRS (Core Rule Set) van het Open Web Application Security Project (OWASP).

Alle waf-functies die hieronder worden vermeld, bevinden zich in een WAF-beleid. U kunt meerdere beleidsregels opstellen en deze kunnen worden gekoppeld aan een toepassingsgateway, aan individuele listeners of aan routeringsregels op een toepassingsgateway die op een pad zijn gebaseerd. Op deze manier kunt u indien nodig afzonderlijke beleidsregels hanteren voor elke site achter uw toepassingsgateway. Zie Een WAF-beleid maken voor meer informatie over WAF-beleid.

Notitie

Application Gateway heeft twee versies van de WAF-sKU: Application Gateway WAF_v1 en Application Gateway WAF_v2. WAF-beleidskoppelingen worden alleen ondersteund voor de Application Gateway WAF_v2 SKU.

WAF-diagram van Application Gateway

Application Gateway fungeert als een ADC-controller (Application Delivery controller). Application Gateway biedt TLS (Transport Layer Security), eerder bekend als SSL (Secure Sockets Layer), beëindiging, sessieaffiniteit op basis van cookies, round robin-taakverdeling, routering op basis van inhoud, de mogelijkheid om meerdere websites te hosten en beveiligingsverbeteringen.

Beveiligingsverbeteringen die door Application Gateway worden geboden, zijn onder andere TLS-beleidsbeheer en ondersteuning voor end-to-end TLS. De beveiliging van toepassingen wordt versterkt door integratie van WAF in Application Gateway. Met deze combinatie worden uw webtoepassingen beschermd tegen veelvoorkomende beveiligingsproblemen. En het biedt een eenvoudig te configureren centrale beheerlocatie.

Voordelen

In deze sectie worden de belangrijkste voordelen beschreven die WAF in Application Gateway biedt.

Beveiliging

  • Beveilig uw webtoepassing tegen kwetsbaarheden en aanvallen op het web zonder dat u de code voor de back-end hoeft aan te passen.

  • Beveilig meerdere webtoepassingen tegelijk. Een instantie van Application Gateway kan maximaal 40 websites hosten die worden beveiligd door een Web Application Firewall.

  • Stel aangepaste WAF-beleidsregels op voor verschillende sites achter dezelfde WAF.

  • Uw webtoepassingen beveiligen tegen schadelijke bots met de ip-reputatieregelset

Bewaking

  • Controleer op aanvallen tegen webtoepassingen door een real-time logboek van WAF te gebruiken. Het logboek is geïntegreerd met Azure Monitor om waarschuwingen van WAF bij te houden en gemakkelijk trends te ontdekken.

  • De Application Gateway WAF is geïntegreerd met Microsoft Defender for Cloud. Defender for Cloud biedt een centraal overzicht van de beveiligingsstatus van al uw Azure-, hybride en multicloudresources.

Aanpassing

  • Pas regels en regelgroepen van WAF aan om deze te laten voldoen aan de toepassingsvereisten en om fout-positieven te elimineren.

  • Koppel een WAF-beleid voor elke site achter uw WAF om sitespecifieke configuratie te bieden.

  • Stel aangepaste regels op om te voldoen aan de behoeften van uw toepassing.

Functies

  • Beveiliging tegen SQL-injectie.
  • Beveiliging tegen cross-site scripting
  • Beveiliging tegen andere veelvoorkomende aanvallen via het web, zoals opdrachtinjectie, het smokkelen van HTTP-aanvragen, het uitsplitsen van HTTP-antwoorden en het insluiten van externe bestanden.
  • Beveiliging tegen schendingen van het HTTP-protocol.
  • Beveiliging tegen afwijkingen van het HTTP-protocol, zoals het ontbreken van een gebruikersagent voor de host en Accept-headers.
  • Beveiliging tegen crawlers en scanners.
  • Detectie van veelvoorkomende onjuiste configuraties van toepassingen (bijvoorbeeld Apache en IIS).
  • Configureerbare limieten voor grootte van aanvraag met boven- en ondergrenzen.
  • Met uitsluitingslijsten kunt u bepaalde kenmerken van aanvragen weglaten uit een WAF-evaluatie. Een bekend voorbeeld is door Active Directory ingevoegde tokens die worden gebruikt voor verificatie- of wachtwoordvelden.
  • Stel aangepaste regels op om te voldoen aan de specifieke behoeften van uw toepassingen.
  • Pas geografische filters toe op verkeer om bepaalde landen/regio's al dan niet toegang te geven tot uw toepassingen.
  • Beveilig uw toepassingen tegen bots met de regelset voor beperking voor bots.
  • Controleer de JSON- en XML-code in de hoofdtekst van de aanvraag

WAF-beleid en -regels

Als u een Web Application Firewall wilt inschakelen op Application Gateway, moet u een WAF-beleid maken. In dit beleid zijn alle beheerde regels, aangepaste regels, uitsluitingen en andere aanpassingen verzameld, zoals de uploadlimiet voor bestanden.

U kunt een WAF-beleid configureren en dit beleid aan een of meer toepassingsgateways koppelen voor beveiliging. Een WAF-beleid bestaat uit twee typen beveiligingsregels:

  • Aangepaste regels die u kunt maken

  • Beheerde regelsets; een verzameling door Azure beheerde, vooraf geconfigureerde set regels

Als beide typen regels aanwezig zijn, worden aangepaste regels eerst verwerkt en daarna de regels in een beheerde regelset. Een regel bestaat uit een voorwaarde voor overeenkomst, een prioriteit en een actie. Dit zijn de ondersteunde actietypen: ALLOW, BLOCK en LOG. U kunt een volledig aangepast beleid maken dat voldoet aan uw specifieke vereisten voor toepassingsbeveiliging door beheerde en aangepaste regels te combineren.

Regels in een beleid worden verwerkt in een prioriteitsvolgorde. Prioriteit is een uniek geheel getal dat de volgorde bepaalt van de te verwerken regels. Een lager geheel getal geeft een hogere prioriteit aan, en deze regels worden eerder geëvalueerd dan regels met een hoger geheel getal. Zodra een overeenkomst met een regel is gevonden, wordt op de aanvraag de actie toegepast die is gedefinieerd in de regel. Zodra een dergelijke overeenkomst is verwerkt, worden regels met lagere prioriteiten niet meer verwerkt.

Aan een door Application Gateway geleverde webtoepassing kan een WAF-beleid op globaal niveau gekoppeld zijn, maar dat kan ook per site of per URI.

Core Rule Sets

Application Gateway ondersteunt meerdere regelsets, waaronder CRS 3.2, CRS 3.1 en CRS 3.0. Met deze regels worden uw webtoepassingen beveiligd tegen schadelijke activiteiten.

Zie voor meer informatie Web Application Firewall CRS rule groups and rules (CRS-regelgroepen en -regels voor Web Application Firewall).

Aangepaste regels

Application Gateway biedt ook ondersteuning voor aangepaste regels. Met aangepaste regels kunt u uw eigen regels maken, die worden geëvalueerd voor elke aanvraag die via WAF wordt doorgegeven. Deze regels hebben een hogere prioriteit dan de rest van de regels in de beheerde regelsets. Als aan een set voorwaarden wordt voldaan, wordt er een actie uitgevoerd om een bewerking toe te staan of te blokkeren.

De geomatch-operator is nu beschikbaar voor aangepaste regels. Zie aangepaste regels voor geomatch voor meer informatie.

Zie Custom Rules for Application Gateway (Aangepaste regels voor Application Gateway) voor meer informatie over aangepaste regels.

Regelset voor botbeveiliging

U kunt een regelset voor beheerde botbeveiliging inschakelen om aangepaste acties uit te voeren op aanvragen uit alle botcategorieën.

Er worden drie botcategorieën ondersteund:

  • Slecht

    Slechte bots zijn bots met schadelijke IP-adressen en bots die hun identiteit hebben vervalst. Slechte bots met schadelijke IP-adressen zijn afkomstig uit de ip-indicatoren van inbreuk van de Microsoft Threat Intelligence-feed.

  • Goed

    Goede bots zijn onder andere gevalideerde zoekmachines zoals Googlebot, bingbot en andere vertrouwde gebruikersagenten.

  • Onbekend

    Onbekende bots worden geclassificeerd via gepubliceerde gebruikersagenten zonder verdere validatie. Bijvoorbeeld market analyzer, feed fetchers en agents voor gegevensverzameling. Onbekende bots bevatten ook schadelijke IP-adressen die afkomstig zijn van de Microsoft Threat Intelligence-feed met gemiddelde betrouwbaarheid IP-indicatoren van inbreuk.

Bot-handtekeningen worden beheerd en dynamisch bijgewerkt door het WAF-platform.

Schermopname van de regelset voor de bot.

U kunt Microsoft_BotManagerRuleSet_1.0 toewijzen met behulp van de optie Toewijzen onder Beheerde regelsets:

Schermopname van Beheerde regelsets toewijzen.

Als Bot Protection is ingeschakeld, worden binnenkomende aanvragen die overeenkomen met botregels geblokkeerd, toegestaan of geregistreerd op basis van de geconfigureerde actie. Schadelijke bots worden geblokkeerd, geverifieerde zoekprogrammacrawlers zijn toegestaan, onbekende zoekprogrammacrawlers worden geblokkeerd en onbekende bots worden standaard geregistreerd. U kunt aangepaste acties instellen om verschillende typen bots te blokkeren, toe te staan of te registreren.

U kunt WAF-logboeken openen vanuit een opslagaccount, Event Hub, Log Analytics of logboeken verzenden naar een partneroplossing.

WAF-modi

In Application Gateway WAF kunnen de volgende twee modi worden geconfigureerd:

  • Detectiemodus: Hiermee worden alle waarschuwingen voor bedreigingen gecontroleerd en vastgelegd. U kunt het vastleggen van diagnostische gegevens inschakelen voor Application Gateway via de sectie Diagnostische gegevens. U moet er ook voor zorgen dat het WAF-logboek is geselecteerd en ingeschakeld. In de detectiemodus worden binnenkomende verzoeken niet geblokkeerd door Web Application Firewall.
  • Preventiemodus: Blokkeert indringers en aanvallen die door de regels zijn gedetecteerd. De aanvaller krijgt een uitzondering '403 onbevoegde toegang' en de verbinding wordt verbroken. In de preventiemodus worden dergelijke aanvallen vastgelegd in de WAF-logboeken.

Notitie

Het is raadzaam om een nieuw geïmplementeerde WAF gedurende korte tijd in de detectiemodus uit te voeren in een productieomgeving. U hebt dan de mogelijkheid om firewall-logboeken te verzamelen, aan de hand waarvan u eventuele uitzonderingen of aangepaste regels kunt aanpassen voordat u verdergaat in de preventiemodus. Hierdoor kan het volume onverwacht geblokkeerd verkeer worden verminderd.

WAF-engines

De WAF-engine (Web Application Firewall) van Azure is het onderdeel dat verkeer inspecteert en bepaalt of een aanvraag een handtekening bevat die een potentiële aanval vertegenwoordigt. Wanneer u CRS 3.2 of hoger gebruikt, voert uw WAF de nieuwe WAF-engine uit, waardoor u betere prestaties en een verbeterde set functies krijgt. Wanneer u eerdere versies van de CRS gebruikt, wordt uw WAF uitgevoerd op een oudere engine. Nieuwe functies zijn alleen beschikbaar op de nieuwe Azure WAF-engine.

WAF-acties

WAF-klanten kunnen kiezen welke actie wordt uitgevoerd wanneer een aanvraag overeenkomt met een regelvoorwaarden. Hieronder vindt u een lijst met ondersteunde acties.

  • Toestaan: de aanvraag gaat door de WAF en wordt doorgestuurd naar de back-end. Deze aanvraag kan niet worden geblokkeerd door regels met een lagere prioriteit. Toegestane acties zijn alleen van toepassing op de regelset botbeheer en zijn niet van toepassing op de basisregelset.
  • Blokkeren: De aanvraag wordt geblokkeerd en WAF stuurt een reactie naar de client zonder de aanvraag door te sturen naar de back-end.
  • Logboek: De aanvraag wordt vastgelegd in de WAF-logboeken en WAF blijft regels met een lagere prioriteit evalueren.
  • Anomaliescore: dit is de standaardactie voor CRS-regelset waarbij de totale anomaliescore wordt verhoogd wanneer een regel met deze actie wordt vergeleken. Anomaliescores zijn niet van toepassing op de Bot Manager-regelset.

Modus Anomaliescore

OWASP heeft twee modi om te bepalen of verkeer moet worden geblokkeerd: traditionele modus en Anomaliescore.

In de traditionele modus wordt verkeer dat voldoet aan een regel, als onafhankelijk beschouwd van andere regels waaraan wordt voldaan. Deze modus is eenvoudig te begrijpen. Maar het ontbreken van informatie over het aantal regels dat voldoet aan een specifieke aanvraag is een beperking. Daarom is de modus Anomaliescore geïntroduceerd. Dit is de standaard waarde voor OWASP 3.x.

In de modus Anomaliescore wordt verkeer dat voldoet aan een regel niet onmiddellijk geblokkeerd wanneer de firewall in de preventiemodus staat. Regels hebben een bepaalde ernst: Kritiek, Fout, Waarschuwing of Kennisgeving. Deze ernst is van invloed op een numerieke waarde voor de aanvraag, die de anomalie- of afwijkingsscore wordt genoemd. Een regel met de ernst Waarschuwing draagt bijvoorbeeld 3 bij aan de score. Eén overeenkomst met een kritieke regel betekent dat de score wordt verhoogd met 5.

Severity Waarde
Kritiek 5
Fout 4
Waarschuwing 3
Kennisgeving 2

Als de anomaliescore een drempel van 5 heeft bereikt, wordt het verkeer geblokkeerd. Dus één overeenkomst met een regel van de ernst Kritiek is voldoende voor de Application Gateway WAF om een aanvraag te blokkeren, zelfs in de preventiemodus. Maar bij één overeenkomst met een regel met het ernstniveau Waarschuwing, wordt de score alleen met 3 verhoogd, wat niet voldoende is om het verkeer te blokkeren.

Notitie

Het bericht dat wordt geregistreerd wanneer een WAF-regel overeenkomt met verkeer, bevat de actiewaarde 'Overeenkomend'. Als de totale anomaliescore van alle overeenkomende regels 5 of hoger is en het WAF-beleid wordt uitgevoerd in de preventiemodus, activeert de aanvraag een verplichte anomalieregel met de actiewaarde 'Geblokkeerd' en wordt de aanvraag gestopt. Als het WAF-beleid echter wordt uitgevoerd in de detectiemodus, activeert de aanvraag de actiewaarde Gedetecteerd en wordt de aanvraag geregistreerd en doorgegeven aan de back-end. Raadpleeg Problemen met Web Application Firewall (WAF) voor Azure Application Gateway oplossen voor meer informatie.

Configuration

U kunt alle WAF-beleidsregels configureren en implementeren met behulp van de Azure Portal, REST API's, Azure Resource Manager-sjablonen en Azure PowerShell. U kunt Azure WAF-beleid ook op schaal configureren en beheren met behulp van Firewall Manager-integratie (preview). Zie Azure Firewall Manager gebruiken om Web Application Firewall beleid te beheren (preview) voor meer informatie.

Bewaking van WAF

Het bewaken van de status van uw toepassingsgateway is belangrijk. Het bewaken van de status van uw WAF en de toepassingen die het beveiligt, wordt ondersteund door integratie met Microsoft Defender voor cloud-, Azure Monitor- en Azure Monitor-logboeken.

Diagram van diagnostische gegevens van Application Gateway WAF

Azure Monitor

Logboeken van Application Gateway zijn geïntegreerd met Azure Monitor. Dit maak het mogelijk om diagnostische gegevens bij te houden, met inbegrip van WAF-meldingen en logboeken. Ga hiervoor naar het tabblad Diagnostische gegevens van de resource Application Gateway in de portal, of rechtstreeks vanuit de service Azure Monitor. Zie Diagnostische gegevens van Application Gateway voor meer informatie over het inschakelen van logboeken.

Microsoft Defender for Cloud

Defender voor Cloud helpt u bedreigingen te voorkomen, te detecteren en erop te reageren. De service biedt meer inzicht in en controle over de veiligheid van uw Azure-resources. Application Gateway is geïntegreerd met Defender for Cloud. Defender for Cloud scant uw omgeving om niet-beveiligde webtoepassingen te detecteren. Indien nodig worden er aanbevelingen naar Application Gateway WAF gestuurd om deze kwetsbare resources te beschermen. U maakt de firewalls rechtstreeks vanuit Defender for Cloud. Deze WAF-exemplaren zijn geïntegreerd met Defender for Cloud. Ze verzenden waarschuwingen en statusinformatie naar Defender for Cloud voor rapportage.

Overzichtsvenster defender for Cloud

Microsoft Sentinel

Microsoft Sentinel is een schaalbare, cloudeigen SIEM-oplossing (Security Information Event Management) en SOAR (Security Orchestration Automated Response). Microsoft Sentinel biedt intelligente beveiligingsanalyses en bedreigingsinformatie in de hele onderneming en biedt één oplossing voor waarschuwingsdetectie, zichtbaarheid van bedreigingen, proactieve opsporing en reactie op bedreigingen.

Met de ingebouwde werkmap voor firewallgebeurtenissen van Azure WAF kunt u een overzicht krijgen van de beveiligingsgebeurtenissen op uw WAF. Dit omvat gebeurtenissen, overeenkomende en geblokkeerde regels, en verder alles wat kan worden vastgelegd in de logboeken van de firewall. Hieronder vindt u meer informatie over logboekregistratie.

Werkmap voor Azure WAF-firewallgebeurtenissen

Azure Monitor-werkmap voor WAF

Met deze werkmap kunt u aangepaste visualisaties van WAF-gebeurtenissen met betrekking tot beveiliging voor verschillende filterbare deelvensters inschakelen. De werkmap werkt met alle WAF-typen, waaronder Application Gateway, Front Door en CDN, en kan worden gefilterd op basis van het WAF-type of een specifiek WAF-exemplaar. Importeren via ARM-sjabloon of galeriesjabloon. Zie WAF-werkmap als u deze werkmap wilt implementeren.

Logboekregistratie

Application Gateway WAF biedt gedetailleerde rapporten voor elke bedreiging die wordt gedetecteerd. Logboekregistratie is geïntegreerd met Azure Diagnostics-logboeken. Waarschuwingen worden vastgelegd in de JSON-indeling. Deze logboeken kunnen worden geïntegreerd met Azure Monitor-logboeken.

Vensters met diagnostische logboeken van Application Gateway

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Prijzen voor de Application Gateway WAF-voorraadeenheid

De prijsmodellen verschillen voor de SKU's WAF_v1 en WAF_v2. Ga naar de pagina Prijzen voor Application Gateway voor meer informatie.

Nieuwe functies

Zie Azure-updates om te ontdekken wat er nieuw is in Azure Web Application Firewall.

Volgende stappen