Melhores práticas para o Firewall de Aplicativo Web do Azure no Azure Front Door

Esse artigo resume as melhores práticas para usar o Firewall de Aplicativo Web do Azure no Azure Front Door.

Práticas recomendadas gerais

Essa seção discute as melhores práticas gerais.

Habilitar o WAF

Para aplicativos voltados para a Internet, recomendamos que você habilite um firewall do aplicativo Web (WAF) e configure-o para usar regras gerenciadas. Quando você usa um WAF e regras gerenciadas pela Microsoft, o aplicativo fica protegido contra uma série de ataques.

Ajustar o WAF

As regras do WAF devem ser ajustadas para a carga de trabalho. Se você não ajustar o WAF, ele pode bloquear acidentalmente as solicitações que devem ser permitidas. O ajuste pode envolver a criação de exclusões de regra, para reduzir as detecções de falso positivo.

Enquanto você ajusta seu WAF, considere usar o modo de detecção. Esse modo registra as solicitações e as ações que o WAF normalmente executaria, mas na verdade não bloqueia nenhum tráfego.

Para obter mais informações, confira Ajuste do Firewall de Aplicativo Web do Azure para o Azure Front Door.

Usar o modo de prevenção

Depois de ajustar seu WAF, configure-o para executar no modo de prevenção. Ao executar no modo de prevenção, você garante que o WAF bloqueia as solicitações que ele detecta como mal-intencionadas. A execução no modo de detecção é útil enquanto você ajusta e configura seu WAF, mas não oferece proteção.

Definir a configuração do WAF como código

Ao ajustar o WAF para a carga de trabalho do aplicativo, você normalmente cria um conjunto de exclusões de regras para reduzir as detecções de falsos positivos. Se você configurar manualmente essas exclusões usando o portal do Azure, ao atualizar seu WAF para usar uma versão mais recente do conjunto de regras, precisará reconfigurar as mesmas exceções em relação à nova versão do conjunto de regras. Esse processo pode ser demorado e propenso a erros.

Em vez disso, considere definir suas exclusões de regra do WAF e outras configurações como código, usando a CLI do Azure, Azure PowerShell, Bicep ou Terraform. Quando você precisar atualizar sua versão do conjunto de regras do WAF, poderá reutilizar facilmente as mesmas exclusões.

Melhores práticas de conjunto de regras gerenciadas

Essa seção discute as melhores práticas para os conjuntos de regras.

Habilitar conjuntos de regras padrão

Os conjuntos de regras padrão da Microsoft foram projetados para proteger seu aplicativo detectando e bloqueando ataques comuns. As regras são baseadas em várias fontes, incluindo os 10 principais tipos de ataque do OWASP e informações da Inteligência Contra Ameaças da Microsoft.

Para saber mais, confira Conjuntos de regras do Azure.

Habilitar regras de gerenciamento de bot

Os bots são responsáveis por uma proporção substancial do tráfego para os aplicativos Web. O conjunto de regras de proteção contra bots do WAF categoriza os bots com base em se eles são válidos, inválidos ou desconhecidos. Os bots inválidos podem ser bloqueados, enquanto os bots válidos, como rastreadores do mecanismo de pesquisa, são permitidos para o aplicativo.

Para obter mais informações, confira Conjuntos de regras contra bots.

Use as versões mais recentes do conjunto de regras

A Microsoft atualiza regularmente as regras gerenciadas, para levar em conta o cenário de ameaças atual. Verifique regularmente se há atualizações nos conjuntos de regras gerenciados pelo Azure.

Para obter mais informações, confira Grupos de regras e regras DRS do Firewall de Aplicativo Web do Azure.

Melhores práticas de limitação de taxa

Essa seção discute as melhores práticas para limitação de taxa.

Adicionar limitação de taxa

O WAF do Azure Front Door permite que você controle o número de solicitações permitidas do endereço IP de cada cliente durante um período de tempo. É uma boa prática adicionar limitação de taxa para reduzir o efeito de clientes que enviam acidentalmente ou intencionalmente grandes quantidades de tráfego para seu serviço, como durante uma tempestade de novas tentativas.

Para saber mais, consulte os recursos a seguir:

• Qual é a limitação de taxa para o Azure Front Door?.
• Configure uma regra de limite de taxa do Firewall de Aplicativo Web do Azure usando o Azure PowerShell.
• Por que as solicitações adicionais acima do limite configurado para minha regra de limite de taxa foram passadas para meu servidor de back-end?

Usar um limite alto para limites de taxa

Normalmente, é uma boa prática definir seu limite de taxa como alto. Por exemplo, se você souber que um único endereço IP do cliente pode enviar cerca de 10 solicitações para o servidor a cada minuto, considere especificar um limite de 20 solicitações por minuto.

Limites de limite de taxa altos evitam o bloqueio de tráfego legítimo. Esses limites ainda fornecem proteção contra um número muito alto de solicitações que podem sobrecarregar sua infraestrutura.

Melhores práticas de filtragem geográfica

Essa seção discute as melhores práticas para filtragem geográfica.

Filtragem geográfica de tráfego

Muitos aplicativos Web são criados para usuários em uma região geográfica específica. Se essa situação se aplicar ao seu aplicativo, considere a implementação de filtragem geográfica para bloquear solicitações vindas de fora dos países ou regiões das quais você espera receber tráfego.

Para obter mais informações, confira O que é filtragem geográfica em um domínio do Azure Front Door?.

Especificar o local desconhecido (ZZ)

Alguns endereços IP não são mapeados para locais em nosso conjunto de dados. Quando um endereço IP não pode ser mapeado para um local, o WAF atribui o tráfego ao país ou região desconhecido (ZZ). Para evitar o bloqueio de solicitações válidas desses endereços IP, considere permitir o país ou região desconhecido (ZZ) por meio de seu filtro geográfico.

Para obter mais informações, confira O que é filtragem geográfica em um domínio do Azure Front Door?.

Registro em log

Essa seção discute o registro em log.

Adicionar configurações de diagnóstico para salvar os logs do WAF

O WAF do Azure Front Door integra-se ao Azure Monitor. É importante salvar os logs do WAF em um destino como o Log Analytics. Você deve examinar os logs do WAF regularmente. A revisão de logs ajuda você a ajustar suas políticas de WAF para reduzir as detecções de falsos positivos e entender se seu aplicativo foi alvo de ataques.

Para obter mais informações, confira Registro em Log e Monitoramento do Firewall de Aplicativo Web do Azure.

Enviar logs para o Microsoft Sentinel

O Microsoft Sentinel é um sistema de SIEM (gerenciamento de eventos e informações de segurança), que importa logs e dados de várias fontes para entender o cenário de ameaças do aplicativo Web e o ambiente geral do Azure. Os logs do WAF do Azure Front Door devem ser importados para o Microsoft Sentinel ou outro SIEM para que suas propriedades voltadas para a Internet sejam incluídas em sua análise. No Microsoft Sentinel, use o conector de WAF do Azure para importar facilmente os logs do WAF.

Para obter mais informações, confira Uso do Microsoft Sentinel com o Firewall de Aplicativo Web do Azure.

Próximas etapas

Saiba como criar uma política de WAF do Azure Front Door.