Partilhar via


Firewall de Aplicativo Web do Azure na Porta da Frente do Azure

O Firewall de Aplicativo Web do Azure na Porta da Frente do Azure fornece proteção centralizada para seus aplicativos Web. Um firewall de aplicativo da Web (WAF) defende seus serviços da Web contra explorações e vulnerabilidades comuns. Ele mantém seu serviço altamente disponível para seus usuários e ajuda você a atender aos requisitos de conformidade.

O Azure Web Application Firewall on Azure Front Door é uma solução global e centralizada. Ele é implantado em pontos de presença de rede do Azure em todo o mundo. Os aplicativos Web habilitados para WAF inspecionam todas as solicitações de entrada entregues pelo Azure Front Door na borda da rede.

Um WAF impede ataques mal-intencionados perto das fontes de ataque antes que eles entrem em sua rede virtual. Você obtém proteção global em escala sem sacrificar o desempenho. Uma política WAF vincula-se facilmente a qualquer perfil do Azure Front Door em sua assinatura. Novas regras podem ser implantadas em poucos minutos, para que você possa responder rapidamente às mudanças nos padrões de ameaça.

Captura de tela que mostra o Firewall do Aplicativo Web do Azure.

Nota

Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para se proteger contra ataques DDoS emergentes. Outra opção é empregar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques DDoS no nível da rede. Para obter mais informações, consulte Linha de base de segurança para serviços do Azure.

O Azure Front Door tem duas camadas:

  • Standard
  • Premium

O Azure Web Application Firewall é integrado nativamente ao Azure Front Door Premium com todos os recursos. Para o Azure Front Door Standard, apenas regras personalizadas são suportadas.

Proteção

O Azure Web Application Firewall protege o seu:

  • Aplicações Web de vulnerabilidades e ataques da Web sem modificações no código de back-end.
  • Aplicativos Web de bots mal-intencionados com o Conjunto de Regras de Reputação de IP.
  • Aplicações contra ataques DDoS. Para obter mais informações, consulte Proteção contra DDoS de aplicativos.

Política e regras do WAF

Você pode configurar uma política WAF e associá-la a um ou mais domínios do Azure Front Door para proteção. Uma política WAF consiste em dois tipos de regras de segurança:

  • Regras personalizadas que o cliente criou.
  • Conjuntos de regras gerenciadas que são uma coleção de conjuntos de regras pré-configurados gerenciados pelo Azure.

Quando ambos estão presentes, as regras personalizadas são processadas antes de processar as regras em um conjunto de regras gerenciado. Uma regra é feita de uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação suportados são ALLOW, BLOCK, LOG e REDIRECT. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos específicos de proteção de aplicativos combinando regras gerenciadas e personalizadas.

As regras dentro de uma política são processadas em uma ordem de prioridade. A prioridade é um número inteiro exclusivo que define a ordem das regras a serem processadas. Um valor inteiro menor denota uma prioridade mais alta, e essas regras são avaliadas antes de regras com um valor inteiro mais alto. Depois que uma regra é correspondida, a ação correspondente que foi definida na regra é aplicada à solicitação. Depois que essa correspondência é processada, as regras com prioridades mais baixas não são processadas.

Um aplicativo Web fornecido pelo Azure Front Door pode ter apenas uma política WAF associada a ele de cada vez. No entanto, você pode ter uma configuração do Azure Front Door sem nenhuma política WAF associada a ela. Se uma política WAF estiver presente, ela será replicada para todos os nossos pontos de presença para garantir políticas de segurança consistentes em todo o mundo.

Modos WAF

Você pode configurar uma política WAF para ser executada em dois modos:

  • Deteção: Quando um WAF é executado no modo de deteção, ele apenas monitora e registra a solicitação e sua regra WAF correspondente em logs WAF. Não toma outras medidas. Você pode ativar o diagnóstico de log para o Azure Front Door. Quando você usar o portal, vá para a seção Diagnóstico .
  • Prevenção: No modo de prevenção, um WAF executa a ação especificada se uma solicitação corresponder a uma regra. Se uma correspondência for encontrada, nenhuma outra regra com prioridade menor será avaliada. Todas as solicitações correspondentes também são registradas nos logs do WAF.

Ações do WAF

Os clientes do WAF podem optar por executar uma das ações quando uma solicitação corresponde às condições de uma regra:

  • Permitir: O pedido passa pelo WAF e é encaminhado para a origem. Nenhuma outra regra de prioridade inferior pode bloquear este pedido.
  • Bloqueio: A solicitação é bloqueada e o WAF envia uma resposta ao cliente sem encaminhar a solicitação para a origem.
  • Log: A solicitação é registrada nos logs do WAF e o WAF continua avaliando as regras de prioridade mais baixa.
  • Redirecionamento: O WAF redireciona a solicitação para o URI especificado. O URI especificado é uma configuração de nível de política. Após a configuração, todas as solicitações que correspondem à ação Redirecionar são enviadas para esse URI.
  • Pontuação de anomalia: A pontuação total da anomalia é aumentada incrementalmente quando uma regra com esta ação é correspondida. Esta ação padrão é para o Conjunto de Regras Padrão 2.0 ou posterior. Não é aplicável ao Conjunto de Regras do Bot Manager.

Regras WAF

Uma política WAF pode consistir em dois tipos de regras de segurança:

  • Regras personalizadas, criadas pelo cliente e conjuntos de regras gerenciadas
  • Conjuntos de regras pré-configurados gerenciados pelo Azure

Regras de autoria personalizada

Para configurar regras personalizadas para um WAF, use os seguintes controles:

  • Lista de IPs permitidos e lista de bloqueios: Você pode controlar o acesso aos seus aplicativos Web com base em uma lista de endereços IP de clientes ou intervalos de endereços IP. Os tipos de endereços IPv4 e IPv6 são suportados. Essa lista pode ser configurada para bloquear ou permitir as solicitações em que o IP de origem corresponde a um IP na lista.
  • Controle de acesso baseado em geografia: você pode controlar o acesso aos seus aplicativos da Web com base no código do país associado ao endereço IP de um cliente.
  • Controle de acesso baseado em parâmetros HTTP: você pode basear regras em correspondências de cadeia de caracteres em parâmetros de solicitação HTTP/HTTPS. Os exemplos incluem cadeias de caracteres de consulta, args POST, URI de solicitação, Cabeçalho da solicitação e Corpo da solicitação.
  • Controle de acesso baseado em método de solicitação: você baseia as regras no método de solicitação HTTP da solicitação. Os exemplos incluem GET, PUT ou HEAD.
  • Restrição de tamanho: você pode basear as regras nos comprimentos de partes específicas de uma solicitação, como cadeia de caracteres de consulta, Uri ou Corpo da Solicitação.
  • Regras de limitação de taxa: Uma regra de limitação de taxa limita o tráfego anormalmente alto de qualquer endereço IP do cliente. Você pode configurar um limite no número de solicitações da Web permitidas de um IP de cliente durante uma duração de um minuto. Esta regra é distinta de uma regra personalizada de permissão/bloqueio baseada em lista de IP que permite todas ou bloqueia todas as solicitações de um IP de cliente. Os limites de taxa podem ser combinados com outras condições de correspondência, como correspondências de parâmetros HTTP(S) para controle granular de taxa.

Conjuntos de regras gerenciados pelo Azure

Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira fácil de implantar proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia esses conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque. O Conjunto de Regras Padrão gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:

  • Scripting entre sites
  • Ataques Java
  • Inclusão de ficheiro local
  • Ataques de injeção PHP
  • Execução remota de comandos
  • Inclusão de ficheiro remoto
  • Fixação de sessão
  • Proteção contra injeção de SQL
  • Atacantes de protocolo

As regras personalizadas são sempre aplicadas antes que as regras no Conjunto de Regras Padrão sejam avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Padrão são processadas. Você também pode remover o Conjunto de Regras Padrão de suas políticas WAF.

Para obter mais informações, consulte Web Application Firewall Default Rule set rule groups and rules.

Conjunto de regras de proteção de bot

Você pode habilitar um conjunto de regras de proteção de bot gerenciado para executar ações personalizadas em solicitações de todas as categorias de bot.

Três categorias de bot são suportadas: Ruim, Bom e Desconhecido. As assinaturas de bot são gerenciadas e atualizadas dinamicamente pela plataforma WAF.

  • Ruim: bots ruins são bots com endereços IP maliciosos e bots que falsificaram suas identidades. Os bots incorretos incluem endereços IP mal-intencionados que são provenientes dos feeds de alta confiança IP Indicators of Compromise e IP reputation do feed do Microsoft Threat Intelligence. Os bots ruins também incluem bots que se identificam como bons bots, mas seus endereços IP não pertencem a editores legítimos de bots.
  • Bom: Bons Bots são agentes de usuário confiáveis. Boas regras de bot são categorizadas em várias categorias para fornecer controle granular sobre a configuração da política WAF. Essas categorias incluem bots verificados de mecanismos de pesquisa (como Googlebot e Bingbot), bots verificadores de links validados, bots de mídia social verificados (como Facebookbot e LinkedInBot), bots de publicidade verificados, bots verificados de verificador de conteúdo e bots diversos validados.
  • Desconhecido: bots desconhecidos são agentes de usuário sem validação adicional. Os bots desconhecidos também incluem endereços IP mal-intencionados que são provenientes dos Indicadores de Comprometimento de IP de confiança média do feed do Microsoft Threat Intelligence.

A plataforma WAF gere e atualiza dinamicamente as subscrições de bots. Pode definir ações personalizadas para bloquear, permitir, registar ou redirecionar para diferentes tipos de bots.

Captura de tela que mostra um conjunto de regras de proteção de bot.

Se a proteção de bot estiver ativada, as solicitações de entrada que correspondem às regras do bot serão bloqueadas, permitidas ou registradas com base na ação configurada. Bots ruins são bloqueados, bots bons são permitidos e bots desconhecidos são registrados por padrão. Você pode definir ações personalizadas para bloquear, permitir, registrar ou desafiar JS para diferentes tipos de bots. Você pode acessar logs WAF de uma conta de armazenamento, hub de eventos, análise de logs ou enviar logs para uma solução de parceiro.

O conjunto de regras do Bot Manager 1.1 está disponível na versão premium do Azure Front Door.

Para obter mais informações, consulte Bot Manager 1.1 do Azure WAF e JavaScript Challenge: Navigating the Bot Threat Terrain.

Configuração

Você pode configurar e implantar todas as políticas WAF usando o portal do Azure, APIs REST, modelos do Azure Resource Manager e Azure PowerShell. Você também pode configurar e gerenciar políticas WAF do Azure em escala usando a integração do Firewall Manager. Para obter mais informações, consulte Usar o Gerenciador de Firewall do Azure para gerenciar políticas do Firewall de Aplicativo Web do Azure.

Monitorização

O monitoramento de um WAF no Azure Front Door é integrado ao Azure Monitor para rastrear alertas e monitorar facilmente as tendências de tráfego. Para obter mais informações, consulte Monitoramento e registro em log do Firewall do Aplicativo Web do Azure.

Próximos passos