Jak maskować poufne dane w usłudze Azure Web Application Firewall

Narzędzie do czyszczenia dzienników zapory aplikacji internetowej (WAF) pomaga usunąć poufne dane z dzienników zapory aplikacji internetowej. Działa przy użyciu aparatu reguł, który umożliwia tworzenie niestandardowych reguł w celu identyfikowania określonych części żądania zawierającego poufne dane. Po zidentyfikowaniu narzędzie usuwa te informacje z dzienników i zastępuje je ciągiem *******.

Uwaga

Po włączeniu funkcji czyszczenia dzienników firma Microsoft nadal przechowuje adresy IP w naszych dziennikach wewnętrznych w celu obsługi krytycznych funkcji zabezpieczeń.

W poniższej tabeli przedstawiono przykłady reguł czyszczenia dzienników, których można użyć do ochrony poufnych danych:

Dopasuj zmienną	Operator	Selektor	Co zostaje szorowane
Nazwy nagłówków żądania	Równa się	X-Forwarded-for	REQUEST_HEADERS:x-forwarded-for.","data":"******"
Żądania nazw plików cookie	Równa się	cookie1	"Dopasowane dane: ****** znalezione w REQUEST_COOKIES:cookie1: ******"
Żądanie nazw Arg	Równa się	arg1	"requestUri":"/?arg1=******"
Żądanie po nazwach Arg	Równa się	Post1	"data":"Dopasowane dane: ****** znalezione w usłudze ARGS:post1: ******"
Żądanie nazw Arg w formacie JSON	Równa się	Jsonarg	"data":"Dopasowane dane: ****** znalezione w usłudze ARGS:jsonarg: ******"
Żądanie adresu IP*	Równa się dowolnemu	NULL	"clientIp":"******"

* Reguły żądań adresów IP obsługują tylko dowolny operator i czyści wszystkie wystąpienia adresu IP osoby żądającej, która jest wyświetlana w dziennikach zapory aplikacji internetowej.

Aby uzyskać więcej informacji, zobacz Co to jest ochrona poufnych danych zapory aplikacji internetowej platformy Azure?

Włączanie ochrony poufnych danych

Skorzystaj z poniższych informacji, aby włączyć i skonfigurować ochronę danych poufnych.

Portal

Aby włączyć ochronę poufnych danych:

1. Otwórz istniejące zasady zapory aplikacji internetowej usługi Application Gateway.
2. W obszarze Ustawienia wybierz pozycję Poufne dane.
3. Na stronie Poufne dane wybierz pozycję Włącz czyszczenie dzienników.

Aby skonfigurować reguły kontroli dzienników na potrzeby ochrony danych poufnych:

1. W obszarze Reguły czyszczenia dzienników wybierz zmienną Dopasowywanie.
2. Wybierz operator (jeśli ma to zastosowanie).
3. Wpisz selektor (jeśli dotyczy).
4. Wybierz pozycję Zapisz.

Powtórz, aby dodać więcej reguł.

Program PowerShell

Użyj następujących poleceń programu Azure PowerShell, aby utworzyć i skonfigurować reguły kontroli dzienników na potrzeby ochrony danych poufnych:

$logScrubbingRule1 = New-AzApplicationGatewayFirewallPolicyLogScrubbingRule `
  -State <String> -MatchVariable <String> `
  -SelectorMatchOperator <String> -Selector <String>

$logScrubbingRuleConfig = New-AzApplicationGatewayFirewallPolicyLogScrubbingConfiguration `
  -State <String> -ScrubbingRule $logScrubbingRule1

Interfejs wiersza polecenia

Użyj następujących poleceń interfejsu wiersza polecenia, aby utworzyć i skonfigurować reguły kontroli dzienników na potrzeby ochrony danych poufnych:

az network application-gateway waf-policy policy-setting update -g <MyResourceGroup> --policy-name <MyPolicySetting> --log-scrubbing-state <Enabled/Disabled> --scrubbing-rules "[{state:<Enabled/Disabled>,match-variable:<MatchVariable>,selector-match-operator:<Operator>,selector:<Selector>}]"

Weryfikowanie ochrony poufnych danych

Aby zweryfikować reguły ochrony danych poufnych, otwórz dziennik zapory usługi Application Gateway i wyszukaj ****** je zamiast poufnych pól.

Następne kroki

• Używanie usługi Log Analytics do sprawdzania dzienników zapory aplikacji internetowej usługi Application Gateway