Najlepsze rozwiązania dotyczące usługi Azure Web Application Firewall w usłudze Azure Front Door

  • Artykuł

Ten artykuł zawiera podsumowanie najlepszych rozwiązań dotyczących korzystania z usługi Azure Web Application Firewall w usłudze Azure Front Door.

Ogólne najlepsze praktyki

W tej sekcji omówiono ogólne najlepsze rozwiązania.

Włączanie zapory aplikacji internetowej

W przypadku aplikacji internetowych zalecamy włączenie zapory aplikacji internetowej (WAF) i skonfigurowanie jej pod kątem używania reguł zarządzanych. W przypadku korzystania z zapory aplikacji internetowej i reguł zarządzanych przez firmę Microsoft aplikacja jest chroniona przed szeregiem ataków.

Dostrajanie zapory aplikacji internetowej

Reguły w zaporze aplikacji internetowej powinny być dostosowane do obciążenia. Jeśli zapora aplikacji internetowej nie zostanie dostrojona, może przypadkowo zablokować żądania, które powinny być dozwolone. Dostrajanie może obejmować tworzenie wykluczeń reguł w celu zmniejszenia liczby wykrywania wyników fałszywie dodatnich.

Podczas dostosowywania zapory aplikacji internetowej rozważ użycie trybu wykrywania. Ten tryb rejestruje żądania i akcje, które zwykle podejmuje zapora aplikacji internetowej, ale w rzeczywistości nie blokuje żadnego ruchu.

Aby uzyskać więcej informacji, zobacz Dostosowywanie usługi Azure Web Application Firewall dla usługi Azure Front Door.

Korzystanie z trybu zapobiegania

Po dostrojeniu zapory aplikacji internetowej skonfiguruj ją tak, aby była uruchamiana w trybie zapobiegania. Uruchamiając tryb zapobiegania, upewnij się, że zapora aplikacji internetowej blokuje żądania, które wykrywa, są złośliwe. Uruchamianie w trybie wykrywania jest przydatne podczas dostosowywania i konfigurowania zapory aplikacji internetowej, ale nie zapewnia ochrony.

Definiowanie konfiguracji zapory aplikacji internetowej jako kodu

Podczas dostrajania zapory aplikacji internetowej dla obciążenia aplikacji zazwyczaj tworzy się zestaw wykluczeń reguł w celu zmniejszenia liczby wyników wykrywania wyników fałszywie dodatnich. W przypadku ręcznego skonfigurowania tych wykluczeń przy użyciu witryny Azure Portal podczas uaktualniania zapory aplikacji internetowej do korzystania z nowszej wersji zestawu reguł należy ponownie skonfigurować te same wyjątki względem nowej wersji zestawu reguł. Ten proces może być czasochłonny i podatny na błędy.

Zamiast tego rozważ zdefiniowanie wykluczeń reguł zapory aplikacji internetowej i inną konfigurację jako kod, na przykład przy użyciu interfejsu wiersza polecenia platformy Azure, programu Azure PowerShell, Bicep lub narzędzia Terraform. Jeśli musisz zaktualizować wersję zestawu reguł zapory aplikacji internetowej, możesz łatwo użyć tych samych wykluczeń.

Najlepsze rozwiązania dotyczące zestawu reguł zarządzanych

W tej sekcji omówiono najlepsze rozwiązania dotyczące zestawów reguł.

Włączanie domyślnych zestawów reguł

Domyślne zestawy reguł firmy Microsoft są przeznaczone do ochrony aplikacji przez wykrywanie i blokowanie typowych ataków. Reguły są oparte na różnych źródłach, w tym typach ataków OWASP top-10 i informacjach z analizy zagrożeń firmy Microsoft.

Aby uzyskać więcej informacji, zobacz Zestawy reguł zarządzanych przez platformę Azure.

Włączanie reguł zarządzania botami

Boty są odpowiedzialne za znaczną część ruchu do aplikacji internetowych. Zestaw reguł ochrony botów zapory aplikacji internetowej kategoryzuje boty na podstawie tego, czy są dobre, złe, czy nieznane. Nieprawidłowe boty mogą być następnie blokowane, podczas gdy dobre boty, takie jak przeszukiwarki aparatu wyszukiwania, mogą być przekazywane do aplikacji.

Aby uzyskać więcej informacji, zobacz Zestaw reguł ochrony botów.

Korzystanie z najnowszych wersji zestawu reguł

Firma Microsoft regularnie aktualizuje zarządzane reguły, aby uwzględnić bieżący poziom zagrożenia. Upewnij się, że regularnie sprawdzasz dostępność aktualizacji zestawów reguł zarządzanych przez platformę Azure.

Aby uzyskać więcej informacji, zobacz Azure Web Application Firewall DRS rule groups and rules (Grupy reguł i reguły odzyskiwania po awarii w usłudze Azure Web Application Firewall).

Najlepsze rozwiązania dotyczące ograniczania szybkości

W tej sekcji omówiono najlepsze rozwiązania dotyczące ograniczania szybkości.

Dodawanie ograniczania szybkości

Zapora aplikacji internetowej usługi Azure Front Door umożliwia kontrolowanie liczby żądań dozwolonych z adresu IP każdego klienta w danym okresie. Dobrym rozwiązaniem jest dodanie ograniczania szybkości w celu zmniejszenia wpływu klientów przypadkowo lub celowo wysyłających duże ilości ruchu do usługi, na przykład podczas burzy ponawiania prób.

Aby uzyskać więcej informacji, zobacz następujące zasoby:

Używanie wysokiego progu dla limitów szybkości

Zazwyczaj dobrym rozwiązaniem jest ustawienie progu limitu szybkości na wysoki. Jeśli na przykład wiesz, że jeden adres IP klienta może wysyłać około 10 żądań do serwera co minutę, rozważ określenie progu wynoszącego 20 żądań na minutę.

Progi wysokich limitów szybkości unikają blokowania legalnego ruchu. Te progi nadal zapewniają ochronę przed bardzo dużą liczbą żądań, które mogą przeciążać infrastrukturę.

Najlepsze rozwiązania dotyczące filtrowania geograficznego

W tej sekcji omówiono najlepsze rozwiązania dotyczące filtrowania geograficznego.

Filtrowanie geograficznego ruchu

Wiele aplikacji internetowych jest przeznaczonych dla użytkowników w określonym regionie geograficznym. Jeśli ta sytuacja ma zastosowanie do aplikacji, rozważ zaimplementowanie filtrowania geograficznego w celu blokowania żądań spoza krajów lub regionów, z których oczekujesz odbierania ruchu.

Aby uzyskać więcej informacji, zobacz Co to jest filtrowanie geograficzne w domenie dla usługi Azure Front Door?.

Określ nieznaną lokalizację (ZZ)

Niektóre adresy IP nie są mapowane na lokalizacje w naszym zestawie danych. Jeśli nie można zamapować adresu IP do lokalizacji, zapora aplikacji internetowej przypisuje ruch do nieznanego kraju lub regionu ZZ. Aby uniknąć blokowania prawidłowych żądań z tych adresów IP, rozważ umożliwienie nieznanego kraju lub regionu (ZZ) za pośrednictwem filtru geograficznego.

Aby uzyskać więcej informacji, zobacz Co to jest filtrowanie geograficzne w domenie dla usługi Azure Front Door?.

Rejestrowanie

W tej sekcji omówiono rejestrowanie.

Dodawanie ustawień diagnostycznych w celu zapisania dzienników zapory aplikacji internetowej

Zapora aplikacji internetowej usługi Azure Front Door integruje się z usługą Azure Monitor. Ważne jest zapisanie dzienników zapory aplikacji internetowej do miejsca docelowego, takiego jak Log Analytics. Należy regularnie przeglądać dzienniki zapory aplikacji internetowej. Przeglądanie dzienników pomaga dostroić zasady zapory aplikacji internetowej w celu zmniejszenia wykrywania wyników fałszywie dodatnich i zrozumienia, czy aplikacja była przedmiotem ataków.

Aby uzyskać więcej informacji, zobacz Monitorowanie i rejestrowanie usługi Azure Web Application Firewall.

Wysyłanie dzienników do usługi Microsoft Sentinel

Microsoft Sentinel to system zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), który importuje dzienniki i dane z wielu źródeł, aby zrozumieć poziom zagrożenia dla aplikacji internetowej i ogólnego środowiska platformy Azure. Dzienniki zapory aplikacji internetowej usługi Azure Front Door należy zaimportować do usługi Microsoft Sentinel lub innego rozwiązania SIEM, aby właściwości dostępne z Internetu były uwzględniane w analizie. W przypadku usługi Microsoft Sentinel użyj łącznika zapory aplikacji internetowej platformy Azure, aby łatwo zaimportować dzienniki zapory aplikacji internetowej.

Aby uzyskać więcej informacji, zobacz Use Microsoft Sentinel with Azure Web Application Firewall (Używanie usługi Microsoft Sentinel z zaporą aplikacji internetowej platformy Azure).

Następne kroki

Dowiedz się, jak utworzyć zasady zapory aplikacji internetowej usługi Azure Front Door.