Compartilhar via


O que é o Firewall do aplicativo Web do Azure no Gateway de Aplicativo do Azure?

O WAF (Firewall de Aplicativo Web) do Azure no Gateway de Aplicativo do Azure protege ativamente seus aplicativos Web contra explorações e vulnerabilidades comuns. À medida que os aplicativos Web se tornam alvos mais frequentes para ataques mal-intencionados, esses ataques geralmente exploram vulnerabilidades conhecidas, como injeção de SQL e scripts entre sites.

O WAF no Gateway de Aplicativo é baseado no CRS (Conjunto de Regras Principais) do OWASP (Open Web Application Security Project).

Todos os recursos do WAF a seguir existem dentro de uma política do WAF. Você poderá criar várias políticas e elas poderão ser associadas a um Gateway de Aplicativo, a ouvintes individuais ou a regras de roteamento baseadas em caminhos em um Gateway de Aplicativo. Dessa forma, você pode ter políticas separadas para cada site por trás do seu Gateway de Aplicativo, se necessário. Para saber mais sobre as políticas do WAF, confira Criar uma política do WAF.

Observação

O Gateway de Aplicativo tem duas versões do SKU do WAF: Gateway de Aplicativo WAF_v1 e Gateway de Aplicativo WAF_v2. As associações de política do WAF só têm suporte para o SKU do Gateway de Aplicativo WAF_v2.

Diagrama do WAF do Gateway de Aplicativo

O Gateway de Aplicativo opera como um controlador de entrega de aplicativos (ADC). Ele oferece o protocolo TLS, anteriormente conhecido como protocolo SSL, o encerramento, a afinidade de sessão baseada em cookies, a distribuição de carga round robin, o roteamento baseado em conteúdo, a capacidade de hospedar vários sites e os aprimoramentos de segurança.

O Gateway de Aplicativo aprimora a segurança por meio do gerenciamento de política do TLS e do suporte do TLS de ponta a ponta. Ao integrar o WAF ao Gateway de Aplicativo, ele configura a segurança do aplicativo. Essa combinação defende ativamente seus aplicativos Web contra vulnerabilidades comuns e oferece um local centralmente gerenciável e fácil de configurar.

Benefícios

Esta seção descreve os principais benefícios oferecidos pelo WAF no Gateway de Aplicativo.

Proteção

  • Protege seus aplicativos Web de vulnerabilidades e ataques da Web sem modificar o código de back-end.

  • Protege vários aplicativos Web ao mesmo tempo. Uma instância do Gateway de Aplicativo pode hospedar até 40 sites que são protegidos por um firewall do aplicativo Web.

  • Criar políticas personalizadas do WAF para diferentes sites por trás do mesmo WAF.

  • Proteja seus aplicativos Web contra bots mal-intencionados com o conjunto de regras de Reputação de IP.

  • Proteja seu aplicativo contra ataque de negação de serviço distribuído (DDoS). Para saber mais, consulte Proteção contra DDoS para Aplicativos.

Monitoramento

  • Monitore ataques contra seu aplicativo Web usando um log de WAF em tempo real. O log é integrado ao Azure Monitor a fim de acompanhar os alertas de WAF e monitorar facilmente as tendências.

  • O WAF do Gateway de Aplicativo é integrado ao Microsoft Defender para Nuvem. O Defender para Nuvem fornece uma visão central do estado de segurança de todos os recursos do Azure, híbridos e de várias nuvens.

Personalização

  • Personalize as regras e os grupos de regras de WAF a fim de atender as necessidades do seu aplicativo e eliminar falsos positivos.

  • Associar uma política de WAF para cada site por trás do seu WAF a fim de permitir uma configuração específica do site

  • Criar regras personalizadas para atender às necessidades do seu aplicativo

Recursos

  • Proteção contra injeção de SQL.
  • Proteção contra script entre site.
  • Proteção contra ataques comuns na Web, como injeção de comandos, solicitações HTTP indesejadas, divisão de resposta HTTP e inclusão de arquivo remoto.
  • Proteção contra violações de protocolo HTTP.
  • Proteção contra anomalias de protocolo HTTP, como ausência de cabeçalhos de agente de usuário do host e de aceitação.
  • Proteção contra rastreadores e scanners.
  • Detecção de configurações incorretas de aplicativos comuns (por exemplo, Apache e IIS).
  • Limites de tamanho de solicitação configuráveis com limites inferiores e superiores.
  • As listas de exclusões permitem a você omitir certos atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos do Active Directory que são usados para autenticação ou campos de senha.
  • Crie regras personalizadas para atender às necessidades específicas dos seus aplicativos.
  • Filtre o tráfego pela geografia para permitir ou impedir que determinados países/regiões tenham acesso a seus aplicativos.
  • Proteja seus aplicativos de bots com o conjunto de regras de mitigação de bots.
  • Inspecionar JSON e XML no corpo da solicitação

Política e regras do WAF

Para habilitar um Firewall de Aplicativo Web em um Gateway de Aplicativo, crie uma política de WAF. Essa política é o local em que se encontram todas as regras gerenciadas, as regras personalizadas, as exclusões e outras personalizações, como o limite de upload de arquivos.

Você pode configurar uma política de WAF e associá-la a um ou mais gateways de aplicativo para proteção. Uma política do WAF consiste em dois tipos de regras de segurança:

  • Regras personalizadas criadas por você

  • Conjuntos de regras gerenciadas que são uma coleção do conjunto de regras pré-configurado gerenciado pelo Azure

Quando ambas estiverem presentes, as regras personalizadas serão processadas antes das regras em um conjunto de regras gerenciado. Uma regra é composta por uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação com suporte são: ALLOW, BLOCK e LOG. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos de proteção de aplicativo específicos combinando regras gerenciadas e personalizadas.

As regras em uma política são processadas em uma ordem de prioridade. A prioridade é um inteiro exclusivo que define a ordem de regras a serem processadas. Um valor inteiro menor denota uma prioridade maior. Essas regras são avaliadas antes daquelas com um valor inteiro mais alto. Quando há correspondência de uma regra, a ação relevante definida na regra é aplicada à solicitação. Depois de essa correspondência ser processada, as regras com prioridades menores não serão mais processadas.

Um aplicativo Web entregue pelo Gateway de Aplicativo pode ter uma política de WAF associada no nível global, em um nível por site ou em um nível por URI.

Conjuntos de regras principais

O Gateway de Aplicativo dá suporte a vários conjuntos de regras, incluindo o CRS 3.2, o CRS 3.1 e o CRS 3.0. Essas regras protegem seus aplicativos Web contra atividade mal-intencionadas.

Para obter mais informações, consulte Regras e grupos de regras CRS do firewall do aplicativo Web.

Regras personalizadas

O Gateway de Aplicativo também é compatível com regras personalizadas. Com as regras personalizadas, você pode criar suas próprias regras, que são avaliadas para cada solicitação que passa pelo WAF. Essas regras têm uma prioridade mais alta do que o restante das regras nos conjuntos de regras gerenciadas. Se um conjunto de condições for atendido, será executada uma ação para permitir ou bloquear.

O operador Geomatch agora está disponível para regras personalizadas. Confira regras personalizadas do Geomatch para obter mais informações.

Para obter mais informações sobre regras personalizadas, confira Regras personalizadas para Gateway de Aplicativo.

Conjunto de regras de proteção contra bots

Você pode habilitar um conjunto de regras de proteção contra bots gerenciado para executar ações personalizadas em solicitações de todas as categorias de bots.

Há suporte para três categorias de bot:

  • Incorreto

    Bots ruins são bots com endereços IP maliciosos e bots que falsificaram suas identidades. Os bots ruins incluem endereços IP mal-intencionados provenientes dos Indicadores de comprometimento e reputação de IP do feeds de IP altamente confiáveis do Informações sobre ameaças da Microsoft. Bots ruins também incluem aqueles identificados como bots bons, mas com endereços IP que não pertencem a editores de bot legítimos.

  • Boa

    Bots bons são agentes de usuário confiáveis. As regras de bots bons são categorizadas em várias categorias para fornecer controle granular da configuração de política do WAF. Essas categorias incluem:

    • bots de mecanismo de pesquisa verificados (como Googlebot e Bingbot)
    • bots de verificação de link validados
    • bots de redes sociais verificados (como Facebookbot e LinkedInBot)
    • bots de publicidade verificados
    • bots de verificação de conteúdo verificados
    • bots diversos validados
  • Desconhecido

    Bots desconhecidos são agentes de usuário sem validação adicional. Bots desconhecidos também incluem endereços IP mal-intencionados provenientes dos Indicadores de Comprometimento de IP de confiança média do Feed da Inteligência contra Ameaças da Microsoft.

A plataforma WAF gerencia ativamente e atualiza dinamicamente as assinaturas de bots.

Você pode atribuir Microsoft_BotManagerRuleSet_1.0 usando a opção Atribuir em Conjuntos de Regras Gerenciadas:

Captura de tela de Atribuir conjuntos de regras gerenciados.

Quando a proteção contra bot está habilitada, ela bloqueia, permite ou registra solicitações de entrada que correspondem às regras de bot com base na ação que você configurou. Ela bloqueia bots mal-intencionados, permite rastreadores verificados do mecanismo de pesquisa, bloqueia rastreadores desconhecidos do mecanismo de pesquisa e registra bots desconhecidos por padrão. Você tem a opção de definir ações personalizadas para bloquear, permitir ou registrar em log os diferentes tipos de bots.

Você pode acessar logs do WAF de uma conta de armazenamento, hub de eventos, análise de logs ou enviar logs para uma solução de parceiro.

Para obter mais informações sobre a proteção contra bots do Gateway de Aplicativo, confira Visão geral da proteção contra bots do Firewall do Aplicativo Web do Azure no Gateway de Aplicativo do Azure.

Modos de WAF

O WAF do Gateway de Aplicativo pode ser configurado para ser executado nestes dois modos:

  • Modo de detecção: Monitora e registra todos os alertas de ameaça. Você ativa o log de diagnóstico para o Gateway de Aplicativo na seção Diagnóstico. Você também precisa garantir que o log do WAF esteja selecionado e ativado. O firewall do aplicativo Web no modo de detecção não bloqueia solicitações de entrada quando está operando no modelo de Detecção.
  • Modo de prevenção: Bloqueia invasões e ataques detectados pelas regras. O invasor recebe uma exceção "403 acesso não autorizado" e a conexão é encerrada. O modo de Prevenção registra tais ataques nos logs do WAF.

Observação

É recomendável que você execute um WAF implantado recentemente no modo de detecção por um curto período de tempo em um ambiente de produção. Isso fornece a oportunidade de obter logs de firewall e atualizar quaisquer exceções ou regras personalizadas antes da transição para o modo de prevenção. Isso pode ajudar a reduzir a ocorrência de tráfego bloqueado inesperado.

Mecanismos do WAF

O mecanismo de WAF (Firewall de Aplicativo Web) do Azure é o componente que inspeciona o tráfego e determina se uma solicitação inclui uma assinatura que representa um possível ataque. Quando você usa o CRS 3.2 ou posterior, o WAF executa o novo mecanismo de WAF, que oferece um desempenho mais alto e um conjunto aprimorado de recursos. Quando você usa versões anteriores do CRS, o WAF é executado em um mecanismo mais antigo. Novos recursos estão disponíveis apenas no novo mecanismo do WAF do Azure.

Ações de WAF

Você pode escolher qual ação é executada quando uma solicitação corresponde à condição de regra. Há suporte para as seguintes ações:

  • Permitir: a solicitação passa pelo WAF e é encaminhada para o back-end. Nenhuma outra regra de prioridade mais baixa pode bloquear essa solicitação. As ações de permissão só são aplicáveis ao conjunto de regras do Gerenciador de Bot e não são aplicáveis ao Conjunto de Regras Principais.
  • Bloquear: a solicitação é bloqueada e o WAF envia uma resposta ao cliente sem encaminhar a solicitação ao back-end.
  • Log: a solicitação é registrada nos logs do WAF e o WAF continua avaliando as regras de prioridade mais baixa.
  • Pontuação de anomalias: essa é a ação padrão para o conjunto de regras do CRS em que a pontuação total de anomalias é incrementada quando uma regra com essa ação é correspondida. A pontuação de anomalias não é aplicável ao conjunto de regras do Gerenciador de Bot.

Modo de pontuação de anomalias

OWASP tem dois modos para decidir se deve bloquear o tráfego: Modo de pontuação de anomalias e modo tradicional.

No modo tradicional, o tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. Esse modo é fácil de entender. Mas a falta de informações sobre quantas regras correspondem a uma solicitação específica é uma limitação. Portanto, o modo de Pontuação de anomalias foi introduzido. É o padrão para OWASP 3.x.

No modo de Pontuação de anomalias, o tráfego que corresponde a qualquer regra não é bloqueado imediatamente quando o firewall está no modo de prevenção. As regras têm uma determinada gravidade: Crítico, Erro, Aviso ou Informativo. Essa gravidade afeta um valor numérico para a solicitação, que é chamado de Pontuação de anomalias. Por exemplo, uma correspondência de regra de Aviso contribui com 3 para a pontuação. Uma correspondência da regra crítica contribui com 5.

Severity Valor
Crítico 5
Erro 4
Aviso 3
Informativo 2

Há um limite de 5 para a pontuação de anomalias bloquear o tráfego. Portanto, uma única correspondência de regra Crítica é suficiente para que o WAF do Gateway de Aplicativo bloqueie uma solicitação, mesmo no modo de Prevenção. Mas uma correspondência de regra de Aviso aumenta apenas a pontuação de anomalias em 3, o que não é suficiente para bloquear o tráfego.

Observação

A mensagem registrada quando uma regra WAF corresponde ao tráfego inclui o valor de ação "Correspondido". Se a pontuação total de anomalia de todas as regras correspondentes for cinco ou mais e a política WAF estiver em execução no modo de prevenção, a solicitação disparará uma regra de anomalia obrigatória com o valor de ação "Bloqueado" e será interrompida. No entanto, se a política WAF estiver em execução no modo de detecção, a solicitação disparará o valor de ação "Detectado" e será registrada e transmitida ao back-end. Para obter mais informações, confira Solucionar problemas de WAF (Firewall de Aplicativo Web) no Gateway de Aplicativo do Azure.

Configuração

É possível configurar e implantar todas as políticas do WAF com o portal do Azure, as APIs REST, os modelos do Azure Resource Manager e o Azure PowerShell. Você também pode configurar e gerenciar políticas do WAF do Azure em escala com a integração do Gerenciador de Firewall (versão prévia). Para saber mais, confira Usar o Gerenciador de Firewall do Azure para gerenciar políticas do Firewall de Aplicativo Web (versão prévia).

Monitoramento de WAF

É importante monitorar a integridade de seu gateway de aplicativo. Você pode dar suporte a isso integrando seu WAF e os aplicativos que ele protege com os logs do Microsoft Defender para Nuvem, do Azure Monitor e do Azure Monitor.

Diagrama de diagnóstico WAF do Gateway de Aplicativo

Azure Monitor

Os logs do Gateway de Aplicativo são integrados ao Azure Monitor. Isso permite o controle das informações de diagnóstico, incluindo logs e alertas de WAF. Você pode acessar esse recurso na guia Diagnóstico do recurso do Gateway de Aplicativo no portal ou diretamente no Azure Monitor. Para saber mais sobre como habilitar logs, consulte diagnóstico do Gateway de Aplicativo.

Microsoft Defender para Nuvem

O Defender para Nuvem ajuda a prevenir, detectar e responder a ameaças. Ela proporciona a você maior visibilidade e controle da segurança de seus recursos do Azure. O Gateway de Aplicativo é integrado ao Defender para Nuvem. O Defender para Nuvem verifica seu ambiente para detectar aplicativos Web desprotegidos. Ela pode recomendar o WAF de Gateway de Aplicativo para proteger esses recursos vulneráveis. Você cria os firewalls diretamente no Defender para Nuvem. Essas instâncias do WAF são integradas ao Defender para Nuvem. Elas enviam informações de alertas e de integridade para o Defender para Nuvem com a finalidade de geração de relatórios.

Janela de visão geral do Defender para Nuvem

Microsoft Sentinel

O Microsoft Sentinel é uma solução escalonável e nativa de nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, com uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças.

Com a pasta de trabalho interna de eventos de firewall WAF do Azure, você poderá obter uma visão geral dos eventos de segurança em seu WAF. Isso inclui eventos, regras de correspondentes e bloqueadas e todo o resto que é registrado nos logs do firewall. Em seguida, há mais informações sobre o registro em log.

Captura de tela dos eventos de firewall do WAF.

Pasta de trabalho do Azure Monitor para o WAF

Esta pasta de trabalho permite a visualização personalizada de eventos do WAF relevantes para a segurança em vários painéis filtráveis. Ela funciona com todos os tipos de WAF, incluindo o Gateway de Aplicativo, o Front Door e a CDN, podendo ser filtrada com base no tipo de WAF ou em uma instância de WAF específica. Faça a importação por meio de um modelo do ARM ou um modelo da Galeria. Para implantar essa pasta de trabalho, confira Pasta de trabalho do WAF.

Registro em log

O WAF do Gateway de Aplicativo fornece relatórios detalhados sobre cada ameaça que ele detecta. O registro em log é integrado a logs de Diagnóstico do Azure. Os alertas são registrados no formato .json. Esses logs podem ser integrados aos logs do Azure Monitor.

Janelas de logs de diagnóstico do Gateway de Aplicativo

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Preços da SKU do WAF do Gateway de Aplicativo

Os modelos de preços são diferentes para as SKUs de WAF_v1 e WAF_v2. Confira a página de preços do Gateway de Aplicativo para saber mais.

Novidades

Para conhecer as novidades do Firewall do aplicativo Web do Azure, confira Atualizações do Azure.

Próximas etapas