Udostępnij za pośrednictwem


Co to jest usługa Azure Web Application Firewall w usłudze aplikacja systemu Azure Gateway?

Zapora aplikacji internetowej platformy Azure w usłudze aplikacja systemu Azure Gateway aktywnie chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach. Ponieważ aplikacje internetowe stają się częstszymi celami złośliwych ataków, ataki te często wykorzystują dobrze znane luki w zabezpieczeniach, takie jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami.

Zapora aplikacji internetowej w usłudze Application Gateway jest oparta na podstawowym zestawie reguł (CRS) z projektu Open Web Application Security Project (OWASP).

Wszystkie poniższe funkcje zapory aplikacji internetowej istnieją wewnątrz zasad zapory aplikacji internetowej. Można utworzyć wiele zasad i można je skojarzyć z usługą Application Gateway, do poszczególnych odbiorników lub do reguł routingu opartego na ścieżkach w usłudze Application Gateway. W razie potrzeby można mieć oddzielne zasady dla każdej lokacji za usługą Application Gateway. Aby uzyskać więcej informacji na temat zasad zapory aplikacji internetowej, zobacz Tworzenie zasad zapory aplikacji internetowej.

Uwaga

Usługa Application Gateway ma dwie wersje jednostki SKU zapory aplikacji internetowej: usługa Application Gateway WAF_v1 i usługa Application Gateway WAF_v2. Skojarzenia zasad zapory aplikacji internetowej są obsługiwane tylko dla jednostki SKU usługi Application Gateway WAF_v2.

Diagram zapory aplikacji internetowej usługi Application Gateway

Usługa Application Gateway działa jako kontroler dostarczania aplikacji (ADC). Oferuje ona protokół Transport Layer Security (TLS), wcześniej znany jako Secure Sockets Layer (SSL), zakończenie, koligację sesji opartą na plikach cookie, dystrybucję obciążenia okrężnego, routing oparty na zawartości, możliwość hostowania wielu witryn internetowych i ulepszeń zabezpieczeń.

Usługa Application Gateway zwiększa bezpieczeństwo dzięki zarządzaniu zasadami TLS i kompleksowej obsłudze protokołu TLS. Integrując zaporę aplikacji internetowej z usługą Application Gateway, wzmacnia ona zabezpieczenia aplikacji. Ta kombinacja aktywnie broni aplikacji internetowych przed typowymi lukami w zabezpieczeniach i oferuje centralnie zarządzaną, łatwą do skonfigurowania lokalizację.

Świadczenia

W tej sekcji opisano podstawowe korzyści zapewniane przez zaporę aplikacji internetowej w usłudze Application Gateway.

Ochrona

  • Chroń aplikacje internetowe przed lukami w zabezpieczeniach internetowych i atakami bez modyfikacji kodu zaplecza.

  • Chronić wiele aplikacji internetowych w tym samym czasie. Wystąpienie usługi Application Gateway może hostować maksymalnie 40 witryn internetowych chronionych przez zaporę aplikacji internetowej.

  • Utwórz niestandardowe zasady zapory aplikacji internetowej dla różnych witryn znajdujących się za tą samą zaporą aplikacji internetowej.

  • Chroń aplikacje internetowe przed złośliwymi botami za pomocą zestawu reguł reputacji adresów IP.

  • Ochrona aplikacji przed atakami DDoS. Aby uzyskać więcej informacji, zobacz Application DDoS Protection (Ochrona przed atakami DDoS aplikacji).

Monitorowanie

  • Monitorowanie ataków na aplikacje internetowe przy użyciu dziennika zapory aplikacji internetowych w czasie rzeczywistym. Dziennik jest zintegrowany z usługą Azure Monitor , aby śledzić alerty zapory aplikacji internetowej i łatwo monitorować trendy.

  • Zapora aplikacji internetowej usługi Application Gateway jest zintegrowana z Microsoft Defender dla Chmury. Defender dla Chmury zapewnia centralny widok stanu zabezpieczeń wszystkich zasobów platformy Azure, hybrydowego i wielochmurowego.

Dostosowanie

  • Dostosuj reguły zapory aplikacji internetowej i grupy reguł, aby odpowiadały wymaganiom aplikacji i wyeliminować wyniki fałszywie dodatnie.

  • Kojarzenie zasad zapory aplikacji internetowej dla każdej lokacji za zaporą aplikacji internetowej w celu umożliwienia konfiguracji specyficznej dla lokacji

  • Tworzenie niestandardowych reguł odpowiadających potrzebom aplikacji

Funkcje

  • Ochrona przed wstrzyknięciem kodu SQL.
  • Ochrona skryptów między witrynami.
  • Ochrona przed innymi typowymi atakami internetowymi, takimi jak wstrzykiwanie poleceń, przemyt żądań HTTP, dzielenie odpowiedzi HTTP i dołączanie plików zdalnych.
  • Ochrona przed naruszeniami protokołu HTTP.
  • Ochrona przed anomaliami protokołu HTTP, takimi jak brak agenta użytkownika hosta i akceptowanie nagłówków.
  • Ochrona przed przeszukiwarkami i skanerami.
  • Wykrywanie typowych błędów konfiguracji aplikacji (na przykład Apache i IIS).
  • Konfigurowalne limity rozmiaru żądania z dolną i górną granicą.
  • Listy wykluczeń umożliwiają pominięcie niektórych atrybutów żądania z oceny zapory aplikacji internetowej. Typowym przykładem są wstawiane tokeny usługi Active Directory, które są używane do uwierzytelniania lub pól haseł.
  • Utwórz reguły niestandardowe, aby odpowiadały konkretnym potrzebom aplikacji.
  • Filtrowanie geograficznego ruchu, aby zezwolić na dostęp do aplikacji lub zablokować dostęp do niektórych krajów/regionów.
  • Ochrona aplikacji przed botami za pomocą zestawu reguł ograniczania ryzyka botów.
  • Sprawdzanie kodu JSON i XML w treści żądania

Zasady i reguły zapory aplikacji internetowej

Aby włączyć zaporę aplikacji internetowej w usłudze Application Gateway, należy utworzyć zasady zapory aplikacji internetowej. Te zasady polegają na tym, że istnieją wszystkie reguły zarządzane, reguły niestandardowe, wykluczenia i inne dostosowania, takie jak limit przekazywania plików.

Zasady zapory aplikacji internetowej można skonfigurować i skojarzyć te zasady z co najmniej jedną bramą aplikacji na potrzeby ochrony. Zasady zapory aplikacji internetowej składają się z dwóch typów reguł zabezpieczeń:

  • Reguły niestandardowe, które tworzysz

  • Zarządzane zestawy reguł, które są kolekcją wstępnie skonfigurowanych zestawów reguł zarządzanych przez platformę Azure

Gdy oba te reguły są obecne, reguły niestandardowe są przetwarzane przed przetworzeniem reguł w zarządzanym zestawie reguł. Reguła jest wykonywana z warunku dopasowania, priorytetu i akcji. Obsługiwane typy akcji to: ALLOW, BLOCK i LOG. Można utworzyć w pełni dostosowane zasady spełniające określone wymagania dotyczące ochrony aplikacji, łącząc reguły zarządzane i niestandardowe.

Reguły w ramach zasad są przetwarzane w kolejności priorytetów. Priorytet to unikatowa liczba całkowita, która definiuje kolejność reguł przetwarzania. Mniejsza wartość całkowita oznacza wyższy priorytet, a reguły te są oceniane przed regułami o wyższej wartości całkowitej. Po dopasowaniu reguły odpowiednia akcja zdefiniowana w regule jest stosowana do żądania. Po przetworzeniu takiego dopasowania reguły o niższych priorytetach nie są przetwarzane dalej.

Aplikacja internetowa dostarczana przez usługę Application Gateway może mieć skojarzone z nią zasady zapory aplikacji internetowej na poziomie globalnym, na poziomie poszczególnych witryn lub na poziomie poszczególnych identyfikatorów URI.

Podstawowe zestawy reguł

Usługa Application Gateway obsługuje wiele zestawów reguł, w tym CRS 3.2, CRS 3.1 i CRS 3.0. Te reguły chronią aplikacje internetowe przed złośliwym działaniem.

Aby uzyskać więcej informacji, zobacz Reguły i grupy reguł CRS zapory aplikacji internetowej.

Reguły niestandardowe

Usługa Application Gateway obsługuje również reguły niestandardowe. Za pomocą reguł niestandardowych można utworzyć własne reguły, które są oceniane dla każdego żądania przekazywanego przez zaporę aplikacji internetowej. Te reguły mają wyższy priorytet niż pozostałe reguły w zarządzanych zestawach reguł. Jeśli zestaw warunków zostanie spełniony, zostanie podjęta akcja zezwalania lub blokowania.

Operator geomatch jest teraz dostępny dla reguł niestandardowych. Aby uzyskać więcej informacji, zobacz reguły niestandardowe dotyczące niezgodności geograficznej.

Aby uzyskać więcej informacji na temat reguł niestandardowych, zobacz Reguły niestandardowe dla usługi Application Gateway.

Zestaw reguł ochrony botów

Możesz włączyć zestaw reguł ochrony zarządzanych botów w celu wykonania niestandardowych akcji dotyczących żądań ze wszystkich kategorii botów.

Obsługiwane są trzy kategorie botów:

  • Nieprawidłowe

    Złe boty to boty ze złośliwymi adresami IP i botami, które sfałszowały swoje tożsamości. Złe boty obejmują złośliwe adresy IP, które pochodzą z kanału informacyjnego analizy zagrożeń firmy Microsoft o wysokim poziomie zaufania Wskaźniki adresów IP dotyczące kanałów informacyjnych reputacji kompromisu i adresów IP. Złe boty obejmują również boty, które identyfikują się jako dobre boty, ale ich adresy IP nie należą do uprawnionych wydawców botów.

  • Dobrze

    Dobre boty są zaufanymi agentami użytkowników. Dobre reguły botów są podzielone na wiele kategorii, aby zapewnić szczegółową kontrolę nad konfiguracją zasad zapory aplikacji internetowej. Te kategorie obejmują:

    • zweryfikowane boty wyszukiwarki (takie jak Googlebot i Bingbot)
    • zweryfikowane boty sprawdzania linków
    • zweryfikowane boty mediów społecznościowych (takie jak Facebookbot i LinkedInBot)
    • zweryfikowane boty reklamowe
    • zweryfikowane boty sprawdzania zawartości
    • zweryfikowane różne boty
  • Nieznane

    Nieznane boty to agenci użytkowników bez dodatkowej weryfikacji. Nieznane boty obejmują również złośliwe adresy IP pochodzące z kanału informacyjnego analizy zagrożeń firmy Microsoft średniej ufności wskaźniki IP naruszenia.

Platforma zapory aplikacji internetowej aktywnie zarządza i dynamicznie aktualizuje podpisy bota.

Możesz przypisać Microsoft_BotManagerRuleSet_1.0, używając opcji Przypisz w obszarze Zarządzane zestawy reguł:

Zrzut ekranu przedstawiający przypisywanie zarządzanych zestawów reguł.

Po włączeniu ochrony bota blokuje, zezwala lub rejestruje przychodzące żądania zgodne z regułami bota na podstawie skonfigurowanej akcji. Blokuje złośliwe boty, umożliwia zweryfikowane przeszukiwarki aparatu wyszukiwania, blokuje domyślnie nieznane przeszukiwarki aparatu wyszukiwania i rejestruje nieznane boty. Istnieje możliwość ustawienia akcji niestandardowych w celu blokowania, zezwalania lub rejestrowania różnych typów botów.

Dostęp do dzienników zapory aplikacji internetowej można uzyskać z poziomu konta magazynu, centrum zdarzeń, analizy dzienników lub wysyłania dzienników do rozwiązania partnerskiego.

Aby uzyskać więcej informacji na temat ochrony bota usługi Application Gateway, zobacz Azure Web Application Firewall on aplikacja systemu Azure Gateway bot protection overview (Omówienie ochrony botów w usłudze Azure Web Application Firewall w usłudze aplikacja systemu Azure Gateway).

Tryby zapory aplikacji internetowej

Zapora aplikacji internetowej usługi Application Gateway można skonfigurować do uruchamiania w następujących dwóch trybach:

  • Tryb wykrywania: monitoruje i rejestruje wszystkie alerty zagrożeń. W sekcji Diagnostyka włączysz diagnostykę rejestrowania dla usługi Application Gateway. Należy również upewnić się, że wybrano i włączono dziennik zapory aplikacji internetowej. Zapora aplikacji internetowej nie blokuje żądań przychodzących, gdy działa w trybie wykrywania.
  • Tryb zapobiegania: blokuje włamania i ataki wykrywane przez reguły. Osoba atakująca otrzymuje wyjątek "403 nieautoryzowany dostęp" i połączenie jest zamknięte. Tryb zapobiegania rejestruje takie ataki w dziennikach zapory aplikacji internetowej.

Uwaga

Zaleca się uruchomienie nowo wdrożonej zapory aplikacji internetowej w trybie wykrywania przez krótki czas w środowisku produkcyjnym. Zapewnia to możliwość uzyskania dzienników zapory i zaktualizowania wszelkich wyjątków lub niestandardowych reguł przed przejściem do trybu zapobiegania. Może to pomóc zmniejszyć występowanie nieoczekiwanego zablokowanego ruchu.

Aparaty zapory aplikacji internetowej

Aparat zapory aplikacji internetowej platformy Azure to składnik, który sprawdza ruch i określa, czy żądanie zawiera podpis reprezentujący potencjalny atak. W przypadku korzystania z crS 3.2 lub nowszego zapora aplikacji internetowej uruchamia nowy aparat zapory aplikacji internetowej, co zapewnia większą wydajność i ulepszony zestaw funkcji. W przypadku korzystania z wcześniejszych wersji crS zapora aplikacji internetowej działa na starszym aurze. Nowe funkcje są dostępne tylko dla nowego aparatu zapory aplikacji internetowej platformy Azure.

Akcje zapory aplikacji internetowej

Możesz wybrać, która akcja jest uruchamiana, gdy żądanie pasuje do warunku reguły. Obsługiwane są następujące akcje:

  • Zezwalaj: żądanie przechodzi przez zaporę aplikacji internetowej i jest przekazywane do zaplecza. Żadne dalsze reguły o niższym priorytcie nie mogą blokować tego żądania. Zezwalaj na akcje mają zastosowanie tylko do zestawu reguł menedżera botów i nie mają zastosowania do podstawowego zestawu reguł.
  • Blokuj: żądanie jest zablokowane, a zapora aplikacji internetowej wysyła odpowiedź do klienta bez przekazywania żądania do zaplecza.
  • Dziennik: żądanie jest rejestrowane w dziennikach zapory aplikacji internetowej, a zapora aplikacji internetowej kontynuuje ocenianie reguł o niższym priorytcie.
  • Wynik anomalii: jest to domyślna akcja dla zestawu reguł CRS, w którym łączny wynik anomalii jest zwiększany po dopasowaniu reguły z tą akcją. Ocenianie anomalii nie ma zastosowania do zestawu reguł usługi Bot Manager.

Tryb oceniania anomalii

Program OWASP ma dwa tryby podejmowania decyzji, czy blokować ruch: tryb tradycyjny i tryb oceniania anomalii.

W trybie tradycyjnym ruch zgodny z dowolną regułą jest uznawany niezależnie od innych dopasowań reguł. Ten tryb jest łatwy do zrozumienia. Jednak brak informacji o tym, ile reguł pasuje do określonego żądania, jest ograniczeniem. W związku z tym wprowadzono tryb oceniania anomalii. Jest to ustawienie domyślne dla programu OWASP 3.x.

W trybie oceniania anomalii ruch zgodny z dowolną regułą nie jest natychmiast blokowany, gdy zapora jest w trybie zapobiegania. Reguły mają pewną ważność: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ta ważność ma wpływ na wartość liczbową żądania, która jest nazywana wynikiem anomalii. Na przykład jedno dopasowanie reguły ostrzeżenia przyczynia się do wyniku 3. Jedno dopasowanie reguły krytycznej współtworzy 5.

Ważność Wartość
Krytyczne 5
Błąd 100
Ostrzeżenie 3
Uwaga 2

Istnieje próg 5 dla wyniku anomalii w celu zablokowania ruchu. Dlatego pojedyncze dopasowanie reguły krytycznej wystarczy, aby zapora aplikacji internetowej usługi Application Gateway zablokowała żądanie, nawet w trybie zapobiegania. Jednak jedna reguła ostrzeżenia tylko zwiększa wynik anomalii o 3, co nie wystarczy, aby zablokować ruch.

Uwaga

Komunikat rejestrowany, gdy reguła zapory aplikacji internetowej pasuje do ruchu, zawiera wartość akcji "Dopasowane". Jeśli łączny wynik anomalii wszystkich pasowanych reguł wynosi 5 lub więcej, a zasady zapory aplikacji internetowej są uruchomione w trybie zapobiegania, żądanie wyzwoli obowiązkową regułę anomalii z wartością akcji "Zablokowane", a żądanie zostanie zatrzymane. Jeśli jednak zasady zapory aplikacji internetowej są uruchomione w trybie wykrywania, żądanie wyzwoli wartość akcji "Wykryto", a żądanie zostanie zarejestrowane i przekazane do zaplecza. Aby uzyskać więcej informacji, zobacz Rozwiązywanie problemów z zaporą aplikacji internetowej dla usługi aplikacja systemu Azure Gateway.

Konfigurowanie

Wszystkie zasady zapory aplikacji internetowej można skonfigurować i wdrożyć przy użyciu witryny Azure Portal, interfejsów API REST, szablonów usługi Azure Resource Manager i programu Azure PowerShell. Możesz również skonfigurować zasady zapory aplikacji internetowej platformy Azure i zarządzać nimi na dużą skalę przy użyciu integracji z usługą Firewall Manager (wersja zapoznawcza). Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami zapory aplikacji internetowej przy użyciu usługi Azure Firewall Manager (wersja zapoznawcza).

Monitorowanie zapory aplikacji internetowej

Ważne jest, aby monitorować kondycję bramy aplikacji. Możesz to obsługiwać, integrując zaporę aplikacji internetowej i aplikacje chronione za pomocą dzienników Microsoft Defender dla Chmury, usługi Azure Monitor i usługi Azure Monitor.

Diagram diagnostyki zapory aplikacji internetowej usługi Application Gateway

Azure Monitor

Dzienniki usługi Application Gateway są zintegrowane z usługą Azure Monitor. Umożliwia to śledzenie informacji diagnostycznych, w tym alertów zapory aplikacji internetowej i dzienników. Dostęp do tej funkcji można uzyskać na karcie Diagnostyka w zasobie usługi Application Gateway w portalu lub bezpośrednio za pośrednictwem usługi Azure Monitor. Aby dowiedzieć się więcej na temat włączania dzienników, zobacz Diagnostyka usługi Application Gateway.

Microsoft Defender for Cloud

Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie. Zapewnia ona zwiększony wgląd w zabezpieczenia zasobów platformy Azure i kontrolę nad nimi. Usługa Application Gateway jest zintegrowana z Defender dla Chmury. Defender dla Chmury skanuje środowisko w celu wykrywania niechronionych aplikacji internetowych. Może ona zalecić zaporę aplikacji internetowej usługi Application Gateway, aby chronić te wrażliwe zasoby. Zapory są tworzone bezpośrednio z Defender dla Chmury. Te wystąpienia zapory aplikacji internetowej są zintegrowane z Defender dla Chmury. Wysyłają alerty i informacje o kondycji do Defender dla Chmury na potrzeby raportowania.

okno przeglądu Defender dla Chmury

Microsoft Sentinel

Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie do zarządzania zdarzeniami zabezpieczeń (SIEM) i automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie, zapewniając jedno rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.

Za pomocą wbudowanego skoroszytu zdarzeń zapory aplikacji internetowej platformy Azure możesz zapoznać się z omówieniem zdarzeń zabezpieczeń w zaporze aplikacji internetowej. Obejmuje to zdarzenia, dopasowane i zablokowane reguły oraz wszystkie inne informacje, które są rejestrowane w dziennikach zapory. Więcej informacji na temat rejestrowania znajduje się poniżej.

Zrzut ekranu przedstawiający zdarzenia zapory aplikacji internetowej.

Skoroszyt usługi Azure Monitor dla zapory aplikacji internetowej

Ten skoroszyt umożliwia niestandardową wizualizację zdarzeń zapory aplikacji internetowej związanych z zabezpieczeniami w kilku panelach, które można filtrować. Współdziała ona ze wszystkimi typami zapory aplikacji internetowej, w tym usługą Application Gateway, usługą Front Door i usługą CDN, i może być filtrowana na podstawie typu zapory aplikacji internetowej lub określonego wystąpienia zapory aplikacji internetowej. Zaimportuj za pomocą szablonu usługi ARM lub szablonu galerii. Aby wdrożyć ten skoroszyt, zobacz Skoroszyt zapory aplikacji internetowej.

Rejestrowanie

Zapora aplikacji internetowej usługi Application Gateway udostępnia szczegółowe raporty dotyczące każdego wykrytego zagrożenia. Rejestrowanie jest zintegrowane z dziennikami Diagnostyka Azure. Alerty są rejestrowane w formacie .json. Te dzienniki można zintegrować z dziennikami usługi Azure Monitor.

Okna dzienników diagnostycznych usługi Application Gateway

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Cena jednostki SKU zapory aplikacji sieci Web w usłudze Application Gateway

Modele cenowe różnią się w przypadku jednostek SKU WAF_v1 i WAF_v2. Aby dowiedzieć się więcej, zobacz stronę cennika usługi Application Gateway.

Co nowego

Aby dowiedzieć się, co nowego w usłudze Azure Web Application Firewall, zobacz Aktualizacje platformy Azure.

Następne kroki