Editar

Compartilhar via


Perguntas frequentes sobre o Firewall de Aplicativo Web do Azure no Azure Front Door Service

Este artigo responde as perguntas comuns sobre o WAF (Firewall de Aplicativo Web) do Azure nos recursos e funcionalidades do Azure Front Door Service.

O que é o WAF do Azure?

O WAF do Azure é um firewall do aplicativo Web que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política de WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.

Uma política do WAF do Azure pode ser aplicada aos aplicativos Web hospedados no Gateway de Aplicativo ou no Azure Front Doors.

O que é WAF no Azure Front Door?

O Azure Front Door consiste em uma rede de distribuição de conteúdo e um aplicativo distribuído globalmente altamente escalonável. O Azure WAF, quando integrado ao Front Door, interrompe os ataques de aplicativos direcionados e negação de serviço na borda da rede do Azure, prestes a atingir fontes antes de entrarem em sua rede virtual, oferece proteção sem sacrificar o desempenho.

O Azure WAF dá suporte a HTTPS?

O Front Door oferece descarregamento de TLS. O WAF é nativamente integrado ao Front Door e pode inspecionar uma solicitação depois que ela é descriptografada.

O Azure WAF dá suporte a IPv6?

Sim. Você pode configurar a restrição de IP para IPv4 e IPv6. Para obter mais informações, confira Adoção do IPv6: aprimoramento do WAF do Azure no Front Door.

Quanto os conjuntos de regras gerenciadas estão atualizados?

Fazemos o nosso melhor para acompanhar as mudanças no cenário de ameaças. Depois que uma nova regra é atualizada, ela é adicionada ao Conjunto de Regras Padrão com um novo número de versão.

Qual é o tempo de propagação se eu alterar minha política do WAF?

A maioria das implantações de política do WAF é concluída em menos de 20 minutos. Você pode esperar que a política entre em vigor assim que a atualização for concluída em todas as localizações de borda globalmente.

As políticas de WAF podem ser diferentes para regiões diferentes?

Quando integrado com o Front Door, o WAF é um recurso global. A mesma configuração se aplica a todos os locais do Front Door.

Como fazer para limitar o acesso ao meu back-end apenas pelo Front Door?

Você pode configurar a Lista de Controle de Acesso de IP em seu back-end para permitir apenas intervalos de endereços IP de saída do Front Door que usam a marca de serviço do Azure Front Door e negar qualquer acesso direto da Internet. As marcas de serviço têm suporte para uso em sua rede virtual. Além disso, você pode verificar se o campo de cabeçalho HTTP X-Forwarded-Host é válido para seu aplicativo Web.

Quais opções do Azure WAF devo escolher?

Há duas opções ao aplicar políticas de WAF no Azure. O WAF com o Azure front door é uma solução de segurança de borda distribuída globalmente. O WAF com o Gateway de Aplicativo é uma solução regional e dedicada. Recomendamos que você escolha uma solução com base em seus requisitos gerais de desempenho e segurança. Para saber mais, confira Balanceamento de carga com o pacote de entrega de aplicativos do Azure.

Qual é a abordagem recomendada para habilitar o WAF no Front Door?

Quando você habilita o WAF em um aplicativo existente, é comum ter detecções de falso positivo em que as regras do WAF detectam o tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para os usuários, recomendamos o seguinte processo:

  • Habilite o WAF no modo Detecção para garantir que o WAF não bloqueie as solicitações enquanto você estiver trabalhando no processo. Esta etapa é recomendada para fins de teste no WAF.

    Importante

    Este processo descreve como habilitar o WAF em uma solução nova ou existente quando sua prioridade é minimizar os distúrbios aos usuários do aplicativo. Se você estiver sob ataque ou ameaça iminente, talvez queira implantar o WAF no modo Prevenção imediatamente e usar o processo de ajuste para monitorar e ajustar o WAF ao longo do tempo. Isso provavelmente fará com que parte do tráfego legítimo seja bloqueado, e é por isso que recomendamos fazer isso apenas quando você estiver sob ameaça.

  • Siga nossas diretrizes para ajustar o WAF. Esse processo requer que você habilite o log de diagnóstico, revise os logs regularmente e adicione exclusões de regras e outras mitigações.
  • Repita todo o processo, verificando os logs regularmente, até ter certeza de que nenhum tráfego legítimo esteja sendo bloqueado. Todo o processo pode levar várias semanas. O ideal é que você veja menos detecções de falsos positivos após cada alteração de ajuste.
  • Por fim, habilite o WAF no Modo de prevenção.
  • Mesmo depois de executar o WAF em produção, você deve continuar monitorando os logs para identificar qualquer outra detecção de falso positivo. A revisão regular dos logs também ajudará você a identificar as tentativas de ataque reais que foram bloqueadas.

Há suporte para os mesmos recursos do WAF em todas as plataformas integradas?

Atualmente, as regras ModSec CRS 3.0, CRS 3.1 e CRS 3.2 têm suporte com WAF apenas no Gateway de Aplicativo. As regras de limitação de taxa, filtragem geográfica e conjunto de regras padrão gerenciadas pelo Azure têm suporte apenas com WAF no Azure Front Door.

A proteção contra DDoS está integrada ao Front Door?

Distribuído globalmente nas bordas da rede do Azure, o Azure Front Door pode absorver e isolar geograficamente ataques de grande volume. Você pode criar uma política de WAF personalizada para bloquear e limitar automaticamente a taxa de ataques http(s) que têm assinaturas conhecidas. Além disso, é possível habilitar a Proteção de Rede contra DDoS na VNet em que os back-ends foram implantados. Os clientes da Proteção contra DDoS do Azure recebem benefícios adicionais, como proteção de custos, garantia de SLA e acesso a especialistas da equipe de resposta rápida a DDoS para obter ajuda imediata durante um ataque. Para saber mais, confira Proteção contra DDoS no Front door.

Por que solicitações adicionais acima do limite configurado para a regra de limite de taxa foram passadas para o meu servidor back-end?

Talvez você não veja solicitações imediatamente bloqueadas pelo limite de taxa quando as solicitações são processadas por diferentes servidores do Front Door. Para obter mais informações, consulte Limitação de taxa e servidores do Front Door.

A quais tipos de conteúdo o WAF dá suporte?

O WAF do Front Door dá suporte aos seguintes tipos de conteúdo:

  • DRS 2.0

    Regras gerenciadas

    • aplicativo/json
    • aplicativo/xml
    • Application/x-www-form-urlencoded
    • multipart/form-data

    Regras personalizadas

    • Application/x-www-form-urlencoded
  • DRS 1.x

    Regras gerenciadas

    • Application/x-www-form-urlencoded
    • texto/sem formatação

    Regras personalizadas

    • Application/x-www-form-urlencoded

Posso aplicar uma política de WAF do Front Door a hosts front-end em diferentes perfis do AFDX (Front Door Premium) que pertencem a assinaturas diferentes?

Não, você não pode. O perfil do AFD e a política de WAF precisam estar na mesma assinatura.

Próximas etapas