Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa Azure Web Application Firewall (WAF) zapewnia scentralizowaną ochronę aplikacji internetowych przed typowymi lukami w zabezpieczeniach, takimi jak wstrzyknięcie SQL, atak skryptami między witrynami i inne ataki z listy OWASP Top 10. Jako krytyczny składnik zabezpieczeń, który znajduje się między aplikacjami a potencjalnymi zagrożeniami, niezbędne jest prawidłowe zabezpieczenie wdrożenia zapory aplikacji internetowej (WAF) w celu zmaksymalizowania jej skuteczności i utrzymania całościowej postawy ochronnej.
Ten artykuł zawiera wskazówki dotyczące najlepszego zabezpieczania wdrożenia usługi Azure Web Application Firewall.
Bezpieczeństwo sieci
Zabezpieczenia sieci dla usługi Azure Web Application Firewall koncentrują się na ochronie aplikacji poprzez właściwe zarządzanie ruchem, blokowanie złośliwych adresów IP i odpowiednie konfigurowanie trybów WAF. Te mechanizmy kontroli pomagają zagwarantować, że tylko legalny ruch dociera do aplikacji przy zachowaniu kompleksowej ochrony przed atakami internetowymi.
Skonfiguruj WAF w trybie zapobiegania po okresie bazowym: rozpocznij w trybie wykrywania, aby zrozumieć wzorce ruchu i zidentyfikować fałszywe wykrycia, a następnie przełącz się na tryb zapobiegania, aby aktywnie blokować ataki. Tryb zapobiegania blokuje włamania i ataki wykryte przez reguły, wysyłając osobom atakującym wyjątek "403 nieautoryzowany dostęp". Zobacz tryby WAF w usłudze Application Gateway oraz tryby WAF w usłudze Front Door.
Reguły niestandardowe umożliwiają blokowanie złośliwych adresów IP: tworzenie reguł niestandardowych w celu zezwalania i blokowania ruchu na podstawie adresów IP, zakresów lub lokalizacji geograficznych. Zapewnia to szczegółową kontrolę nad tym, kto może uzyskiwać dostęp do aplikacji i pomaga zapobiegać atakom znanym złym aktorom. Zobacz grupy reguł CRS i reguły zapory aplikacji internetowej.
Dostosowywanie reguł WAF w celu zmniejszenia liczby wyników fałszywie dodatnich: Dostosuj zasady WAF specyficzne dla witryny oraz reguły i grupy reguł do wymagań Twojej aplikacji internetowej. Pomaga to wyeliminować fałszywe alarmy przy jednoczesnym zachowaniu ochrony przed prawdziwymi zagrożeniami. Skojarz unikatową politykę WAF platformy Azure dla każdej witryny, co pozwoli na konfigurację specyficzną dla danej witryny.
Włącz kompleksowe rejestrowanie i monitorowanie: włącz dzienniki diagnostyki i zapory aplikacji internetowej podczas działania w trybie wykrywania, aby monitorować i rejestrować wszystkie alerty zagrożeń. Zapewnia to wgląd w procesy oceny, dopasowywania i blokowania realizowane przez WAF (zapora aplikacji internetowej). Zobacz Omówienie rejestrowania.
Użyj tagów dla zorganizowanego zarządzania zabezpieczeniami sieci: zastosuj tagi do grup zabezpieczeń sieci skojarzonych z zaporą aplikacji sieciowej w podsieci usługi Azure Application Gateway oraz powiązanych zasobów zabezpieczeń sieci. Użyj pola "Opis" dla poszczególnych reguł SGZ (sieciowej grupy zabezpieczeń), aby określić potrzeby biznesowe i czas trwania. Zobacz Jak tworzyć i używać tagów.
Monitorowanie konfiguracji zasobów sieciowych: użyj dziennika aktywności platformy Azure, aby monitorować konfiguracje zasobów sieciowych i wykrywać zmiany ustawień sieci i zasobów związanych z wdrożeniami zapory aplikacji internetowej. Utwórz alerty w usłudze Azure Monitor, które wyzwalają zmiany w krytycznych ustawieniach sieci. Zobacz Jak wyświetlać i pobierać zdarzenia dziennika aktywności platformy Azure.
Zaimplementuj ograniczanie szybkości, aby zapobiec atakom DDoS: skonfiguruj reguły ograniczania szybkości, aby kontrolować liczbę żądań dozwolonych z każdego adresu IP klienta w określonym przedziale czasu. Ustaw wystarczająco wysokie progi limitu szybkości, aby uniknąć blokowania legalnego ruchu, jednocześnie chroniąc przed ponawianiem prób i atakami DDoS. Zobacz Co to jest ograniczanie szybkości dla usługi Azure Front Door?
Włącz ochronę botów w celu blokowania złośliwych botów: użyj zestawu reguł do zarządzania ochroną botów, aby identyfikować i blokować złośliwe boty, zezwalając na uprawnione boty, takie jak roboty wyszukiwarek. Reguły ochrony botów kategoryzują boty jako dobre, złe lub nieznane i mogą automatycznie blokować złośliwy ruch botów. Zobacz Konfigurację ochrony botów dla zapory sieciowej aplikacji internetowej.
Implementowanie filtrowania geograficznego dla aplikacji regionalnych: jeśli aplikacja obsługuje użytkowników z określonych regionów geograficznych, skonfiguruj filtrowanie geograficzne w celu blokowania żądań spoza oczekiwanych krajów lub regionów. Dołącz nieznaną lokalizację (ZZ), aby uniknąć blokowania prawidłowych żądań z niezamapowanych adresów IP. Zobacz Co to jest filtrowanie geograficzne w domenie dla usługi Azure Front Door?
Użyj najnowszych wersji zestawu reguł zarządzanych: regularnie aktualizuj do najnowszych wersji zestawu reguł zarządzanych przez platformę Azure w celu ochrony przed bieżącymi zagrożeniami. Firma Microsoft regularnie aktualizuje reguły zarządzane w oparciu o poziomy zagrożeń i typy ataków OWASP Top 10. Zobacz Grupy reguł i reguły DRS zapory aplikacji internetowej platformy Azure.
Zarządzanie tożsamościami
Zarządzanie tożsamością w usłudze Azure Web Application Firewall zapewnia, że dostęp administracyjny do zasobów Azure Web Application Firewall jest prawidłowo zarządzany i monitorowany. Obejmuje to utrzymywanie spisów kont administracyjnych, używanie scentralizowanych systemów tożsamości oraz wdrażanie mechanizmów silnego uwierzytelniania dla wszystkich zarządzających wdrożeniem zapory aplikacji webowych (WAF).
Użyj usługi Azure Active Directory do scentralizowanego uwierzytelniania: użyj Azure AD jako centralnego systemu uwierzytelniania i autoryzacji w zarządzaniu zasobami WAF. Usługa Azure AD chroni dane za pomocą silnego szyfrowania i zapewnia spójne zarządzanie tożsamościami w środowisku platformy Azure. Zobacz Jak utworzyć i skonfigurować instancję Azure AD.
Utrzymanie spisu kont administracyjnych: użyj wbudowanych ról usługi Azure AD, które można poddawać zapytaniom i muszą być jawnie przypisane. Użyj modułu PowerShell usługi Azure AD, aby wykonywać zapytania i odkrywać konta, które są członkami grup administracyjnych z dostępem do zasobów WAF. Zobacz Jak uzyskać rolę katalogu w usłudze Azure AD przy użyciu programu PowerShell.
Włącz uwierzytelnianie wieloskładnikowe na potrzeby dostępu administracyjnego: wymagaj uwierzytelniania wieloskładnikowego od wszystkich użytkowników z dostępem administracyjnym do zasobów WAF. Spowoduje to dodanie niezwykle dodatkowej warstwy zabezpieczeń, nawet jeśli zabezpieczenia haseł zostaną naruszone. Postępuj zgodnie z zaleceniami dotyczącymi zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud. Zobacz Jak włączyć uwierzytelnianie wieloskładnikowe na platformie Azure.
Używanie dedykowanych kont administracyjnych ze standardowymi procedurami: opracuj standardowe procedury operacyjne dotyczące korzystania z dedykowanych kont administracyjnych, które mają dostęp do instancji zapory aplikacji internetowej Azure WAF. Użyj funkcji zarządzania tożsamościami i dostępem w usłudze Microsoft Defender for Cloud, aby monitorować liczbę kont administracyjnych. Zobacz Omówienie tożsamości i dostępu w usłudze Microsoft Defender dla chmury.
Zarządzanie dostępem tylko z zatwierdzonych lokalizacji: skonfiguruj zasady dostępu warunkowego z nazwanymi lokalizacjami, aby ograniczyć dostęp do zasobów zapory aplikacji internetowej. Utwórz logiczne grupowania zakresów adresów IP lub krajów i regionów oraz ogranicz dostęp do poufnych zasobów do skonfigurowanych nazwanych lokalizacji. Zobacz Co to jest warunek lokalizacji w dostępie warunkowym usługi Azure Active Directory.
Monitorowanie i zgłaszanie alertów dotyczących podejrzanych działań związanych z kontem: monitorowanie aktywności tożsamości i dostępu przy użyciu raportów zabezpieczeń usługi Azure AD i usługi Microsoft Defender for Cloud. Skonfiguruj alerty dotyczące podejrzanych lub niebezpiecznych działań i zintegruj się z usługą Microsoft Sentinel na potrzeby zaawansowanego wykrywania zagrożeń. Zobacz Jak identyfikować użytkowników usługi Azure AD oflagowanych w związku z ryzykownym działaniem.
Dostęp uprzywilejowany
Uprzywilejowane mechanizmy kontroli dostępu dla usługi Azure Web Application Firewall koncentrują się na ograniczaniu i monitorowaniu dostępu administracyjnego do zasobów zapory aplikacji internetowej. Te środki pomagają zapobiegać nieautoryzowanym zmianom konfiguracji zabezpieczeń i zapewnić prawidłowe śledzenie i inspekcję operacji uprzywilejowanych.
Użyj Azure RBAC do kontrolowania dostępu do zasobów: Kontroluj dostęp do zasobów Azure WAF, korzystając z kontroli dostępu opartej na rolach. Zastosuj zasadę najniższych uprawnień, przypisując tylko minimalne niezbędne uprawnienia do użytkowników i usług. Zobacz Jak skonfigurować Azure RBAC.
Używaj stacji roboczych z uprzywilejowanym dostępem do zadań administracyjnych: używaj dedykowanych stacji roboczych ze wzmocnionymi zabezpieczeniami i skonfigurowanym uwierzytelnianiem wieloskładnikowym do logowania się i konfigurowania zapory aplikacji internetowej platformy Azure i powiązanych zasobów. Zmniejsza to ryzyko naruszenia zabezpieczeń administracyjnych za pośrednictwem stacji roboczych użytkownika standardowego. Zobacz Dowiedz się więcej o stacjach roboczych z dostępem uprzywilejowanym.
Regularnie przeglądaj i uzgadniaj dostęp użytkowników: użyj przeglądów dostępu Azure Identity, aby efektywnie zarządzać członkostwem w grupach, dostępem do aplikacji dla przedsiębiorstw i przypisaniami ról dla zasobów WAF. Regularnie przeglądaj dostęp użytkowników, aby upewnić się, że tylko aktywni użytkownicy mają stały dostęp. Zobacz How to use Azure Identity Access Reviews (Jak używać przeglądów dostępu do tożsamości platformy Azure).
Monitorowanie dostępu do dezaktywowanych poświadczeń: Zintegruj źródła dzienników aktywności logowania, inspekcji oraz zdarzeń ryzyka w usłudze Azure AD z Microsoft Sentinel lub innymi narzędziami SIEM. Utwórz ustawienia diagnostyczne dla kont użytkowników usługi Azure AD i wyślij dzienniki inspekcji i logowania do obszaru roboczego usługi Log Analytics na potrzeby monitorowania. Zobacz Jak zintegrować dzienniki aktywności platformy Azure z usługą Azure Monitor.
Konfigurowanie automatycznych odpowiedzi na podejrzane działania: użyj funkcji ryzyka i usługi Identity Protection usługi Azure AD, aby skonfigurować automatyczne odpowiedzi na wykryte podejrzane akcje związane z tożsamościami użytkowników. Importowanie danych do usługi Microsoft Sentinel do dalszej analizy i reakcji. Zobacz Jak skonfigurować i włączyć zasady ryzyka usługi Identity Protection.
Rejestrowanie i wykrywanie zagrożeń
Kompleksowe rejestrowanie i wykrywanie zagrożeń są niezbędne do utrzymania wglądu w stan zabezpieczeń zapory aplikacji internetowej. Te możliwości ułatwiają wykrywanie zagrożeń, badanie incydentów i utrzymanie zgodności poprzez zbieranie i analizowanie zdarzeń związanych z bezpieczeństwem w Twoim wdrożeniu WAF (Web Application Firewall).
Włącz scentralizowane zarządzanie dziennikami za pomocą usługi Microsoft Sentinel: Skonfiguruj dzienniki WAF Azure do wysyłania do usługi Microsoft Sentinel lub rozwiązania SIEM innej firmy. Obejmuje to dzienniki Azure Activity, Diagnostic i dzienniki WAF w czasie rzeczywistym, które zapewniają wgląd w dane oceniane, dopasowywane i blokowane przez WAF. Zobacz Łączenie danych z zapory aplikacji internetowej firmy Microsoft z usługą Microsoft Sentinel.
Włącz kompleksowe rejestrowanie inspekcji: włącz rejestrowanie dla zasobów zapory aplikacji internetowej platformy Azure, aby przechwycić dzienniki inspekcji, zabezpieczeń i diagnostyki. Zapora sieciowa aplikacji internetowych Azure (Azure WAF) udostępnia szczegółowe raportowanie dla każdego wykrytego zagrożenia za pośrednictwem skonfigurowanych dzienników diagnostycznych, w tym źródła zdarzeń, daty, użytkownika, znacznika czasu i adresów. Zobacz Omówienie rejestrowania.
Skonfiguruj zasady przechowywania dzienników: wysyłaj dzienniki zapory WAF Azure do niestandardowego konta magazynu, konfiguruj zasady przechowywania zgodnie z wymaganiami dotyczącymi zgodności organizacji. Użyj usługi Azure Monitor, aby odpowiednio ustawić okres przechowywania obszaru roboczego usługi Log Analytics. Zobacz Konfigurowanie monitorowania dla konta magazynu.
Regularnie monitoruj i przeglądaj dzienniki: sprawdź dzienniki zapory aplikacji sieciowej, które zapewniają szczegółowe raporty dotyczące każdego wykrytego zagrożenia. Rekomendacje usługi Microsoft Defender for Cloud umożliwiają wykrywanie niechronionych aplikacji internetowych i ochronę narażonych zasobów. Skorzystaj z wbudowanego skoroszytu WAF usługi Microsoft Sentinel dla przeglądu zdarzeń bezpieczeństwa. Zobacz Jak włączyć ustawienia diagnostyczne dla usługi Azure Application Gateway.
Tworzenie alertów dla nietypowych działań: włącz ustawienia diagnostyczne dziennika aktywności Azure oraz ustawienia diagnostyczne Zapory Aplikacji Internetowej (WAF), wysyłając dzienniki do workspace Log Analytics. Utwórz alerty dla anomalnych działań na podstawie metryk WAF, takich jak przypadki, gdy zablokowane żądania przekraczają zdefiniowane progi. Zobacz Jak tworzyć alerty na platformie Azure.
Użyj zatwierdzonych źródeł do synchronizacji czasu: Stwórz reguły sieciowe dla usługi zapory sieciowej aplikacji internetowej Azure, aby umożliwić dostęp do serwerów NTP przy użyciu odpowiednich portów i protokołów, takich jak port 123 przez UDP, zapewniając tym samym dokładne znaczniki czasu w dziennikach i zdarzeniach.
Włącz ochronę poufnych danych za pomocą czyszczenia dzienników: skonfiguruj reguły czyszczenia dzienników, aby usunąć poufne informacje, takie jak hasła, adresy IP i dane osobowe z dzienników WAF. Chroni to dane klientów przy zachowaniu widoczności zabezpieczeń. Zobacz Co to jest ochrona danych wrażliwych przy użyciu zapory aplikacji sieciowych Azure? i Ochrona danych wrażliwych przy użyciu zapory aplikacji sieciowych Azure.
Skonfiguruj ustawienia diagnostyczne na potrzeby kompleksowego rejestrowania: Włącz ustawienia diagnostyczne dla swoich zasobów WAF, aby zapisać dzienniki w Log Analytics, na koncie magazynu lub w centrum zdarzeń. Regularny przegląd dzienników ułatwia dostrajanie polityk zapory aplikacji internetowych i zrozumienie wzorców ataków na aplikacje. Zobacz Monitorowanie i rejestrowanie usługi Azure Web Application Firewall.
Ochrona danych
Ochrona danych w systemie Azure Web Application Firewall polega na zabezpieczaniu poufnych informacji przetwarzanych przez tego firewalla aplikacji internetowej, wdrażaniu odpowiedniego szyfrowania i utrzymywaniu właściwych kontroli dostępu. Te środki pomagają chronić aplikacje i dane, które obsługują przed nieautoryzowanym dostępem i ujawnieniem.
Tagowanie zasobów obsługujących poufne informacje: użyj tagów do identyfikowania i śledzenia zapory aplikacji internetowej platformy Azure oraz powiązanych zasobów, które przechowują lub przetwarzają poufne informacje. Pomaga to w raportowaniu zgodności i zapewnia zastosowanie odpowiednich mechanizmów kontroli zabezpieczeń. Zobacz Jak tworzyć i używać tagów.
Implementowanie izolacji środowiska: użyj oddzielnych subskrypcji i grup zarządzania dla różnych domen zabezpieczeń, takich jak środowiska programistyczne, testowe i produkcyjne. Zapobiega to narażeniu danych między środowiskami i umożliwia sterowanie zabezpieczeniami specyficznymi dla środowiska. Zobacz Jak utworzyć dodatkowe subskrypcje platformy Azure.
Upewnij się, że dane są szyfrowane podczas przesyłania: sprawdź, czy klienci łączący się z wystąpieniami Azure WAF i powiązanymi zasobami mogą negocjować protokół TLS 1.2 lub nowszy. Postępuj zgodnie z zaleceniami usługi Microsoft Defender for Cloud dotyczącymi szyfrowania danych w spoczynku i podczas przesyłu. Zobacz Omówienie szyfrowania podczas przesyłania za pomocą platformy Azure.
Użyj szyfrowania danych w spoczynku dla zasobów WAF: zastosuj szyfrowanie danych w spoczynku dla wszystkich zasobów Azure, w tym zapory aplikacyjnej Azure i powiązanych zasobów. Firma Microsoft zaleca umożliwienie platformie Azure zarządzania kluczami szyfrowania, ale możesz zarządzać własnymi kluczami, gdy istnieją określone wymagania. Zobacz Rozumienie szyfrowania danych w spoczynku w Azure.
Monitorowanie zmian w zasobach krytycznych: skonfiguruj zaporę aplikacji internetowej platformy Azure do uruchamiania w trybie zapobiegania po ustanowieniu punktów odniesienia i użyj usługi Azure Monitor do tworzenia alertów w przypadku wystąpienia zmian krytycznych zasobów lub konfiguracji zapory aplikacji internetowej. Zobacz Tryby zapory aplikacji webowych w usłudze Application Gateway.
Włącz inspekcję treści żądań: skonfiguruj zasady zapory aplikacji internetowej w celu sprawdzenia treści żądań HTTP, a nie tylko nagłówków, plików cookie i identyfikatorów URI. To pozwala zaporze aplikacji internetowej wykrywać zagrożenia ukryte w danych POST oraz w ładunkach JSON. Zobacz Azure Web Application Firewall i Azure Policy.
Użyj kluczy zarządzanych przez klienta na potrzeby rozszerzonego szyfrowania: rozważ użycie kluczy zarządzanych przez klienta przechowywanych w usłudze Azure Key Vault, aby spełnić wymagania dotyczące szyfrowania, które przekraczają klucze zarządzane przez platformę. Zapewnia to dodatkową kontrolę nad cyklem życia klucza szyfrowania i dostępem. Zobacz Jak skonfigurować klucze szyfrowania zarządzane przez klienta.
Zarządzanie zasobami
Efektywne zarządzanie zasobami pomaga zachować widoczność i kontrolę nad zasobami zapory aplikacji internetowej. Obejmuje to automatyczne odnajdywanie, odpowiednie tagowanie, regularną inwentaryzację i wymuszanie zasad w celu zapewnienia bezpieczeństwa i zgodności wdrożenia WAF.
Użyj automatycznego odnajdywania zasobów: Użyj usługi Azure Resource Graph, aby wykonywać zapytania i odnajdywać wszystkie zasoby związane z zaporą aplikacji internetowych (WAF), w tym zasoby obliczeniowe, pamięć masową, sieć, porty i protokoły w ramach subskrypcji. Upewnij się, że masz odpowiednie uprawnienia do odczytu i możesz wyliczyć wszystkie subskrypcje i zasoby platformy Azure. Zobacz How to create queries with Azure Resource Graph (Jak tworzyć zapytania za pomocą usługi Azure Resource Graph).
Utrzymywanie metadanych zasobów za pomocą tagów: stosowanie tagów do polityk WAF Azure i powiązanych zasobów w celu logicznego organizowania dostępu i zarządzania. Tagi mogą być skojarzone z zasobami i stosowane w celu organizowania dostępu do tych zasobów w ramach subskrypcji. Zobacz Jak tworzyć tagi i używać ich.
Organizowanie i śledzenie zasobów systematycznego: Używaj tagowania, grup zarządzania i oddzielnych subskrypcji w celu organizowania i śledzenia Azure WAF oraz powiązanych zasobów. Regularnie uzgadniaj spis i upewnij się, że nieautoryzowane zasoby są usuwane z subskrypcji w odpowiednim czasie. Zobacz Jak tworzyć grupy zarządzania.
Definiowanie i utrzymywanie zatwierdzonego spisu zasobów: utwórz spis zatwierdzonych zasobów, w tym ich konfiguracje na podstawie potrzeb organizacji. Użyj usługi Azure Policy, aby ograniczyć typy zasobów, które można utworzyć w ramach subskrypcji i upewnić się, że wszystkie obecne zasoby są zatwierdzone. Zobacz Jak skonfigurować usługę Azure Policy i zarządzać nią.
Monitorowanie niezatwierdzonych zasobów: użyj usługi Azure Policy, aby nałożyć ograniczenia na typy zasobów i monitorować niezatwierdzone zasoby WAF platformy Azure w Twoich subskrypcjach. Użyj usługi Azure Resource Graph, aby wysyłać zapytania i odkrywać zasoby, upewniając się, że wszystkie usługi Azure WAF i powiązane zasoby w twoim środowisku są zatwierdzone. Zobacz How to create queries with Azure Graph (Jak tworzyć zapytania za pomocą usługi Azure Graph).
Ogranicz dostęp do usługi Azure Resource Manager: użyj dostępu warunkowego platformy Azure, aby ograniczyć możliwość interakcji użytkowników z usługą Azure Resource Manager, konfigurując pozycję "Blokuj dostęp" dla aplikacji "Microsoft Azure Management". Pomaga to zapobiec nieautoryzowanym zmianom zasobów WAF. Zobacz How to configure Conditional Access to block access to Azure Resources Manager (Jak skonfigurować dostęp warunkowy w celu blokowania dostępu do usługi Azure Resources Manager).
Zgodność z zasadami i ład
Zgodność z zasadami i zarządzanie zapewniają, że wdrożenia zapory aplikacyjnej spełniają standardy organizacyjne i przepisy prawne. Te mechanizmy kontroli pomagają zachować spójne konfiguracje zabezpieczeń w całym środowisku i zapewnić automatyczne monitorowanie i wymuszanie zgodności.
Użyj usługi Azure Policy, aby wymusić wdrożenie zapory aplikacji internetowej: zaimplementuj definicje usługi Azure Policy, aby wymagać wdrożenia zapory aplikacji internetowej w zasobach usług Azure Front Door i Application Gateway. Skonfiguruj zasady inspekcji, odmowy lub automatycznego korygowania niezgodnych zasobów. Zobacz Azure Web Application Firewall i Azure Policy.
Wymuszanie zgodności trybu zapory aplikacji internetowej: użyj usługi Azure Policy, aby wymusić, że wszystkie zasady zapory aplikacji internetowej działają w trybie zapobiegania po początkowym dostrajaniu. Zapewnia to spójną ochronę w całym środowisku i zapobiega przypadkowemu wdrożeniu WAF w trybie wykrywania. Zobacz Azure Web Application Firewall i Azure Policy.
Wymaganie zgodności z rejestrowaniem zasobów: wprowadź zasady, które nakazują włączenie dzienników zasobów i metryk we wszystkich usługach z włączoną ochroną WAF. Zapewnia to spójne rejestrowanie pod kątem wymagań dotyczących monitorowania zabezpieczeń i zgodności w całej organizacji. Zobacz Azure Web Application Firewall i Azure Policy.
Egzekwowanie użycia warstwy Premium w celu ulepszenia zabezpieczeń: Użyj usługi Azure Policy, aby wymusić warstwę Premium usługi Azure Front Door dla wszystkich profilów, zapewniając dostęp do zaawansowanych funkcji WAF, takich jak zarządzane zestawy reguł, ochrona przed botami i możliwości prywatnych linków. Zobacz Azure Web Application Firewall i Azure Policy.
Zdefiniuj konfigurację zapory aplikacji internetowej jako kod: Zaimplementuj infrastrukturę jako praktyki dotyczące kodu przy użyciu szablonów usługi ARM, Bicep lub Terraform, aby zachować spójne konfiguracje zapory aplikacji internetowej w różnych środowiskach. Takie podejście upraszcza zarządzanie wykluczeniem reguł i zmniejsza dryf w konfiguracji. Zobacz Najlepsze rozwiązania dotyczące usługi Azure Web Application Firewall w usłudze Azure Front Door.
Implementowanie zautomatyzowanego monitorowania zgodności: Użyj Microsoft Defender w chmurze i Azure Policy, aby ciągle monitorować zgodność WAF i otrzymywać zalecenia dotyczące niechronionych aplikacji internetowych. Skonfiguruj automatyczne alerty dla naruszeń zasad i odchyleń od zgodności. Zobacz Azure Web Application Firewall i Azure Policy.