Usługa Azure Web Application Firewall w usłudze Azure Front Door

Usługa Azure Web Application Firewall w usłudze Azure Front Door zapewnia scentralizowaną ochronę aplikacji internetowych. Zapora aplikacji internetowej (WAF) broni usług internetowych przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach. Zapewnia ona wysoką dostępność usługi dla użytkowników i pomaga spełnić wymagania dotyczące zgodności.

Usługa Azure Web Application Firewall w usłudze Azure Front Door to globalne i scentralizowane rozwiązanie. Jest ona wdrażana w lokalizacjach brzegowych sieci platformy Azure na całym świecie. Aplikacje internetowe obsługujące zaporę aplikacji internetowych sprawdzają każde przychodzące żądanie dostarczone przez usługę Azure Front Door na brzegu sieci.

Zapora aplikacji internetowej zapobiega złośliwym atakom blisko źródeł ataków przed wejściem do sieci wirtualnej. Ochrona globalna jest dostępna na dużą skalę bez poświęcania wydajności. Zasady zapory aplikacji internetowej łatwo łączą się z dowolnym profilem usługi Azure Front Door w ramach subskrypcji. Nowe reguły można wdrożyć w ciągu kilku minut, dzięki czemu można szybko reagować na zmieniające się wzorce zagrożeń.

Uwaga

W przypadku obciążeń internetowych zdecydowanie zalecamy korzystanie z ochrony przed atakami DDoS platformy Azure i zapory aplikacji internetowej w celu ochrony przed pojawiającymi się atakami DDoS. Inną opcją jest zastosowanie usługi Azure Front Door wraz z zaporą aplikacji internetowej. Usługa Azure Front Door oferuje ochronę na poziomie platformy przed atakami DDoS na poziomie sieci. Aby uzyskać więcej informacji, zobacz Punkt odniesienia zabezpieczeń dla usług platformy Azure.

Usługa Azure Front Door ma dwie warstwy:

• Standardowy
• Premium

Usługa Azure Web Application Firewall jest natywnie zintegrowana z usługą Azure Front Door Premium z pełnymi możliwościami. W przypadku usługi Azure Front Door Standard obsługiwane są tylko reguły niestandardowe.

Ochrona

Usługa Azure Web Application Firewall chroni:

• Aplikacje internetowe z luk w zabezpieczeniach internetowych i ataków bez modyfikacji kodu zaplecza.
• Aplikacje internetowe ze złośliwych botów z zestawem reguł reputacji adresów IP.
• Aplikacje przeciwko atakom DDoS. Aby uzyskać więcej informacji, zobacz Ochrona przed atakami DDoS aplikacji.

Zasady i reguły zapory aplikacji internetowej

Zasady zapory aplikacji internetowej można skonfigurować i skojarzyć te zasady z co najmniej jedną domeną usługi Azure Front Door w celu ochrony. Zasady zapory aplikacji internetowej składają się z dwóch typów reguł zabezpieczeń:

• Reguły niestandardowe utworzone przez klienta.
• Zarządzane zestawy reguł, które są kolekcją wstępnie skonfigurowanych zestawów reguł zarządzanych przez platformę Azure.

Gdy oba te reguły są obecne, reguły niestandardowe są przetwarzane przed przetworzeniem reguł w zarządzanym zestawie reguł. Reguła jest wykonywana z warunku dopasowania, priorytetu i akcji. Obsługiwane typy akcji to ALLOW, BLOCK, LOG i REDIRECT. Można utworzyć w pełni dostosowane zasady spełniające określone wymagania dotyczące ochrony aplikacji, łącząc reguły zarządzane i niestandardowe.

Reguły w ramach zasad są przetwarzane w kolejności priorytetów. Priorytet to unikatowa liczba całkowita, która definiuje kolejność reguł przetwarzania. Mniejsza wartość całkowita oznacza wyższy priorytet, a reguły te są oceniane przed regułami o wyższej wartości całkowitej. Po dopasowaniu reguły odpowiednia akcja zdefiniowana w regule jest stosowana do żądania. Po przetworzeniu takiego dopasowania reguły o niższych priorytetach nie są przetwarzane dalej.

Aplikacja internetowa dostarczana przez usługę Azure Front Door może mieć tylko jedno zasady zapory aplikacji internetowej skojarzone z nią jednocześnie. Można jednak mieć konfigurację usługi Azure Front Door bez żadnych skojarzonych z nią zasad zapory aplikacji internetowej. Jeśli istnieją zasady zapory aplikacji internetowej, są replikowane do wszystkich naszych lokalizacji brzegowych, aby zapewnić spójne zasady zabezpieczeń na całym świecie.

Tryby zapory aplikacji internetowej

Zasady zapory aplikacji internetowej można skonfigurować do uruchamiania w dwóch trybach:

• Wykrywanie: gdy zapora aplikacji internetowej jest uruchamiana w trybie wykrywania, monitoruje tylko żądanie i rejestruje żądanie oraz dopasowaną regułę zapory aplikacji internetowej do dzienników zapory aplikacji internetowej. Nie podejmuje żadnych innych działań. Możesz włączyć diagnostykę rejestrowania dla usługi Azure Front Door. W przypadku korzystania z portalu przejdź do sekcji Diagnostyka.
• Zapobieganie: W trybie zapobiegania zapora aplikacji internetowej wykonuje określoną akcję, jeśli żądanie pasuje do reguły. Jeśli dopasowanie zostanie znalezione, nie zostaną ocenione żadne dalsze reguły o niższym priorytetu. Wszystkie dopasowane żądania są również rejestrowane w dziennikach zapory aplikacji internetowej.

Akcje zapory aplikacji internetowej

Klienci zapory aplikacji internetowej mogą wybrać uruchamianie z jednej z akcji, gdy żądanie jest zgodne z warunkami reguły:

• Zezwalaj: żądanie przechodzi przez zaporę aplikacji internetowej i jest przekazywane do źródła. Żadne dalsze reguły o niższym priorytcie nie mogą blokować tego żądania.
• Blokuj: żądanie jest zablokowane, a zapora aplikacji internetowej wysyła odpowiedź do klienta bez przekazywania żądania do źródła.
• Dziennik: żądanie jest rejestrowane w dziennikach zapory aplikacji internetowej, a zapora aplikacji internetowej kontynuuje ocenianie reguł o niższym priorytcie.
• Przekierowanie: Zapora aplikacji internetowej przekierowuje żądanie do określonego identyfikatora URI. Określony identyfikator URI jest ustawieniem na poziomie zasad. Po skonfigurowaniu wszystkie żądania zgodne z akcją Przekierowanie są wysyłane do tego identyfikatora URI.
• Wynik anomalii: łączny wynik anomalii jest zwiększany przyrostowo po dopasowaniu reguły z tą akcją. Ta domyślna akcja dotyczy domyślnego zestawu reguł 2.0 lub nowszego. Nie ma zastosowania do zestawu reguł menedżera botów.

Reguły zapory aplikacji internetowej

Zasady zapory aplikacji internetowej mogą składać się z dwóch typów reguł zabezpieczeń:

• Reguły niestandardowe utworzone przez klienta i zarządzane zestawy reguł
• Wstępnie skonfigurowane zestawy reguł zarządzane przez platformę Azure

Reguły niestandardowe

Aby skonfigurować niestandardowe reguły zapory aplikacji internetowej, użyj następujących kontrolek:

• Lista dozwolonych adresów IP i lista zablokowanych: możesz kontrolować dostęp do aplikacji internetowych na podstawie listy adresów IP klienta lub zakresów adresów IP. Obsługiwane są zarówno typy adresów IPv4, jak i IPv6. Tę listę można skonfigurować tak, aby blokowała lub zezwalała na te żądania, w których źródłowy adres IP odpowiada adresowi IP na liście.
• Geograficzna kontrola dostępu: możesz kontrolować dostęp do aplikacji internetowych na podstawie kodu kraju skojarzonego z adresem IP klienta.
• Kontrola dostępu oparta na parametrach HTTP: reguły można opierać na dopasowaniach ciągów w parametrach żądania HTTP/HTTPS. Przykłady obejmują ciągi zapytań, args POST, identyfikator URI żądania, nagłówek żądania i treść żądania.
• Kontrola dostępu oparta na metodzie żądania: reguły są oparte na metodzie żądania HTTP żądania. Przykłady to GET, PUT lub HEAD.
• Ograniczenie rozmiaru: reguły można opierać na długości określonych części żądania, takich jak ciąg zapytania, identyfikator Uri lub Treść żądania.
• Reguły ograniczania szybkości: reguła ograniczania szybkości ogranicza nietypowo duży ruch z dowolnego adresu IP klienta. Można skonfigurować próg liczby żądań internetowych dozwolonych z adresu IP klienta w ciągu jednej minuty. Ta reguła różni się od reguły niestandardowej zezwalania/blokowania opartej na liście adresów IP, która zezwala na wszystkie żądania lub blokuje wszystkie żądania z adresu IP klienta. Limity szybkości można łączyć z innymi warunkami dopasowania, takimi jak dopasowania parametrów HTTP(S) dla szczegółowej kontroli szybkości.

Zestawy reguł zarządzanych przez platformę Azure

Zestawy reguł zarządzanych przez platformę Azure umożliwiają łatwe wdrażanie ochrony przed typowym zestawem zagrożeń bezpieczeństwa. Ponieważ platforma Azure zarządza tymi zestawami reguł, reguły są aktualizowane zgodnie z potrzebami w celu ochrony przed nowymi sygnaturami ataków. Domyślny zestaw reguł zarządzanych przez platformę Azure zawiera reguły dla następujących kategorii zagrożeń:

• Skrypty między witrynami
• Ataki w języku Java
• Włączenie plików lokalnych
• Ataki iniekcyjne w języku PHP
• Zdalne wykonywanie poleceń
• Włączenie plików zdalnych
• Fiksacja sesji
• Ochrona przed atakami polegającymi na iniekcji SQL
• Atakujący protokoły

Reguły niestandardowe są zawsze stosowane przed obliczeniu reguł w domyślnym zestawie reguł. Jeśli żądanie pasuje do reguły niestandardowej, zostanie zastosowana odpowiednia akcja reguły. Żądanie jest zablokowane lub przekazywane do zaplecza. Żadne inne reguły niestandardowe ani reguły w domyślnym zestawie reguł nie są przetwarzane. Możesz również usunąć domyślny zestaw reguł z zasad zapory aplikacji internetowej.

Aby uzyskać więcej informacji, zobacz Domyślne grupy reguł i reguły zapory aplikacji internetowej.

Zestaw reguł ochrony botów

Możesz włączyć zestaw reguł ochrony botów zarządzanych, aby wykonywać niestandardowe akcje na żądaniach ze znanych kategorii botów.

Obsługiwane są trzy kategorie botów:

• Złe: Złe boty obejmują boty ze złośliwych adresów IP i botów, które sfałszowały swoje tożsamości. Złośliwe adresy IP są pozyskiwane z kanału informacyjnego analizy zagrożeń firmy Microsoft i aktualizowane co godzinę. Program Intelligent Security Graph obsługuje usługę Microsoft Threat Intelligence i jest używany przez wiele usług, w tym Microsoft Defender dla Chmury.
• Dobre: Dobre boty obejmują zweryfikowane wyszukiwarki.
• Nieznane: Nieznane boty obejmują inne grupy botów, które zidentyfikowały się jako boty. Przykłady obejmują analizatory rynku, pobieranie kanałów informacyjnych i agentów zbierania danych. Nieznane boty są klasyfikowane za pośrednictwem opublikowanych agentów użytkowników bez żadnej innej weryfikacji.

Platforma zapory aplikacji internetowej zarządza i dynamicznie aktualizuje podpisy botów. Możesz ustawić akcje niestandardowe, aby blokować, zezwalać, rejestrować lub przekierowywać różne typy botów.

Jeśli ochrona bota jest włączona, żądania przychodzące zgodne z regułami bota są rejestrowane. Dostęp do dzienników zapory aplikacji internetowej można uzyskać z konta magazynu, centrum zdarzeń lub usługi Log Analytics. Aby uzyskać więcej informacji na temat sposobu rejestrowania żądań dzienników zapory aplikacji internetowej, zobacz Azure Web Application Firewall monitoring and logging (Monitorowanie i rejestrowanie zapory aplikacji internetowej platformy Azure).

Konfigurowanie

Wszystkie zasady zapory aplikacji internetowej można skonfigurować i wdrożyć przy użyciu witryny Azure Portal, interfejsów API REST, szablonów usługi Azure Resource Manager i programu Azure PowerShell. Zasady zapory aplikacji internetowej platformy Azure można również konfigurować na dużą skalę i zarządzać nimi przy użyciu integracji z usługą Firewall Manager. Aby uzyskać więcej informacji, zobacz Zarządzanie zasadami usługi Azure Web Application Firewall przy użyciu usługi Azure Firewall Manager.

Monitorowanie

Monitorowanie zapory aplikacji internetowej w usłudze Azure Front Door jest zintegrowane z usługą Azure Monitor w celu śledzenia alertów i łatwego monitorowania trendów ruchu. Aby uzyskać więcej informacji, zobacz Monitorowanie i rejestrowanie usługi Azure Web Application Firewall.

Następne kroki

• Dowiedz się więcej o usłudze Azure Web Application Firewall w usłudze aplikacja systemu Azure Gateway.
• Dowiedz się więcej o zabezpieczeniach sieci platformy Azure.