O que é o Azure Firewall de Aplicações Web no Gateway de Aplicação do Azure?
O Azure Firewall de Aplicações Web (WAF) no Gateway de Aplicação do Azure fornece proteção centralizada das suas aplicações Web contra exploits e vulnerabilidades comuns. As aplicações Web são cada vez mais direcionadas por ataques maliciosos que exploram vulnerabilidades mais conhecidas. A injeção de SQL e os scripts entre sites estão entre os ataques mais comuns.
A WAF no Gateway de Aplicação baseia-se no Conjunto de Regras Principais (CRS) do Open Web Application Security Project (OWASP).
Todas as funcionalidades waf listadas abaixo existem dentro de uma política WAF. Pode criar várias políticas e estas podem ser associadas a um Gateway de Aplicação, a serviços de escuta individuais ou a regras de encaminhamento baseadas no caminho numa Gateway de Aplicação. Desta forma, pode ter políticas separadas para cada site por trás do seu Gateway de Aplicação se necessário. Para obter mais informações sobre políticas WAF, veja Criar uma Política WAF.
Nota
Gateway de Aplicação tem duas versões do sku WAF: Gateway de Aplicação WAF_v1 e Gateway de Aplicação WAF_v2. As associações de política waf só são suportadas para o sku Gateway de Aplicação WAF_v2.
Gateway de Aplicação funciona como um controlador de entrega de aplicações (ADC). Oferece Transport Layer Security (TLS), anteriormente conhecido como Secure Sockets Layer (SSL), terminação, afinidade de sessão baseada em cookies, distribuição de carga round robin, encaminhamento baseado em conteúdo, capacidade de alojar vários sites e melhorias de segurança.
Gateway de Aplicação melhorias de segurança incluem a gestão de políticas TLS e o suporte TLS ponto a ponto. A segurança da aplicação é reforçada pela integração da WAF no Gateway de Aplicação. A combinação protege as suas aplicações Web contra vulnerabilidades comuns. Além disso, fornece uma localização central fácil de configurar para gerir.
Benefícios
Esta secção descreve os principais benefícios que a WAF no Gateway de Aplicação proporciona.
Proteção
Proteja as suas aplicações Web contra vulnerabilidades e ataques Web sem modificar o código de back-end.
Proteja várias aplicações Web ao mesmo tempo. Uma instância de Gateway de Aplicação pode alojar até 40 sites protegidos por uma firewall de aplicações Web.
Criar políticas de WAF personalizadas para diferentes sites por trás da mesma WAF
Proteger as suas aplicações Web de bots maliciosos com o conjunto de regras reputação do IP
Monitorização
Monitorize os ataques contra as suas aplicações Web com um registo WAF em tempo real. O registo está integrado no Azure Monitor para monitorizar alertas WAF e monitorizar facilmente tendências.
O Gateway de Aplicação WAF está integrado no Microsoft Defender para a Cloud. O Defender para Cloud fornece uma vista central do estado de segurança de todos os recursos do Azure, híbridos e multicloud.
Personalização
Personalize regras waf e grupos de regras de acordo com os requisitos da sua aplicação e elimine falsos positivos.
Associar uma Política WAF a cada site por trás da WAF para permitir a configuração específica do site
Criar regras personalizadas de acordo com as necessidades da sua aplicação
Funcionalidades
- Proteção contra injeção de SQL.
- Proteção contra scripts entre sites.
- Proteção contra outros ataques Web comuns, tais como injeção de comandos, contrabando de pedidos HTTP, divisão de resposta HTTP e inclusão remota de ficheiros.
- Proteção contra violações do protocolo HTTP.
- Proteção contra anomalias do protocolo HTTP, como agente de utilizador anfitrião em falta e cabeçalhos de aceitação.
- Proteção contra crawlers e scanners.
- Deteção de configurações incorretas de aplicações comuns (por exemplo, Apache e IIS).
- Limites de tamanho de pedido configuráveis com limites inferiores e superiores.
- As listas de exclusão permitem omitir determinados atributos de pedido a partir de uma avaliação WAF. Um exemplo comum são os tokens inseridos no Active Directory que são utilizados para campos de autenticação ou palavra-passe.
- Crie regras personalizadas de acordo com as necessidades específicas das suas aplicações.
- Filtrar georrefiltro o tráfego para permitir ou impedir que determinados países/regiões obtenham acesso às suas aplicações.
- Proteja as suas aplicações contra bots com o conjunto de regras de mitigação de bots.
- Inspecionar JSON e XML no corpo do pedido
Política e regras waf
Para ativar uma Firewall de Aplicações Web no Gateway de Aplicação, tem de criar uma política WAF. Esta política é onde todas as regras geridas, regras personalizadas, exclusões e outras personalizações, como o limite de carregamento de ficheiros, existem.
Pode configurar uma política WAF e associar essa política a um ou mais gateways de aplicação para proteção. Uma política WAF consiste em dois tipos de regras de segurança:
Regras personalizadas que cria
Conjuntos de regras geridas que são uma coleção de regras pré-configuradas geridas pelo Azure
Quando ambos estão presentes, as regras personalizadas são processadas antes de processar as regras num conjunto de regras geridas. Uma regra é feita de uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação suportados são: ALLOW, BLOCK e LOG. Pode criar uma política totalmente personalizada que cumpra os seus requisitos específicos de proteção de aplicações ao combinar regras geridas e personalizadas.
As regras dentro de uma política são processadas por ordem de prioridade. A prioridade é um número inteiro exclusivo que define a ordem das regras a processar. O valor inteiro mais pequeno indica uma prioridade mais alta e essas regras são avaliadas antes de regras com um valor inteiro superior. Assim que uma regra for correspondida, a ação correspondente que foi definida na regra é aplicada ao pedido. Uma vez processada essa correspondência, as regras com prioridades mais baixas não são processadas mais aprofundadamente.
Uma aplicação Web fornecida por Gateway de Aplicação pode ter uma política WAF associada à mesma ao nível global, ao nível por site ou a um nível por URI.
Conjuntos de regras principais
Gateway de Aplicação suporta vários conjuntos de regras, incluindo CRS 3.2, CRS 3.1 e CRS 3.0. Estas regras protegem as suas aplicações Web contra atividades maliciosas.
Para obter mais informações, veja Regras e grupos de regras crS da firewall de aplicações Web.
Regras personalizadas
Gateway de Aplicação também suporta regras personalizadas. Com as regras personalizadas, pode criar as suas próprias regras, que são avaliadas para cada pedido transmitido através da WAF. Estas regras têm uma prioridade maior do que as restantes regras nos conjuntos de regras geridas. Se um conjunto de condições for cumprido, é tomada uma ação para permitir ou bloquear.
O operador de geomatch está agora disponível para regras personalizadas. Veja geomatch custom rules (Regras personalizadas de geomatch ) para obter mais informações.
Para obter mais informações sobre regras personalizadas, veja Regras Personalizadas para Gateway de Aplicação.
Conjunto de regras de proteção de bots
Pode ativar um conjunto de regras de proteção de bots geridos para efetuar ações personalizadas em pedidos de todas as categorias de bots.
São suportadas três categorias de bot:
Mau
Os bots incorretos incluem bots de endereços IP maliciosos e bots que falsificaram as respetivas identidades. Os bots incorretos com IPs maliciosos são obtidos a partir dos Indicadores ip de compromisso de elevada confiança do feed do Microsoft Threat Intelligence.
Bom
Os bons bots incluem motores de busca validados, como o Googlebot, o bingbot e outros agentes de utilizadores fidedignos.
Desconhecido
Os bots desconhecidos são classificados através de agentes de utilizador publicados sem validação adicional. Por exemplo, analisador de mercado, obtençores de feeds e agentes de recolha de dados. Os bots desconhecidos também incluem endereços IP maliciosos que são obtidos a partir dos Indicadores IP de Comprometimento de confiança média do feed do Microsoft Threat Intelligence.
As assinaturas de bot são geridas e atualizadas dinamicamente pela plataforma WAF.
Pode atribuir Microsoft_BotManagerRuleSet_1.0 com a opção Atribuir em Conjuntos de Regras Geridas:
Se a proteção do Bot estiver ativada, os pedidos recebidos que correspondam às regras do bot são bloqueados, permitidos ou registados com base na ação configurada. Os bots maliciosos são bloqueados, os crawlers do motor de busca verificados são permitidos, os crawlers de motores de busca desconhecidos são bloqueados e os bots desconhecidos são registados por predefinição. Pode definir ações personalizadas para bloquear, permitir ou registar diferentes tipos de bots.
Pode aceder aos registos WAF a partir de uma conta de armazenamento, hub de eventos, análise de registos ou enviar registos para uma solução de parceiro.
Modos WAF
O Gateway de Aplicação WAF pode ser configurado para ser executado nos dois modos seguintes:
- Modo de deteção: monitoriza e regista todos os alertas de ameaças. Ativa o diagnóstico de registo para Gateway de Aplicação na secção Diagnósticos. Também tem de se certificar de que o registo WAF está selecionado e ativado. A firewall de aplicações Web não bloqueia pedidos recebidos quando está a funcionar no modo de Deteção.
- Modo de prevenção: bloqueia intrusões e ataques que as regras detetam. O atacante recebe uma exceção de "acesso não autorizado 403" e a ligação é fechada. O modo de prevenção regista esses ataques nos registos WAF.
Nota
Recomenda-se que execute uma WAF recentemente implementada no modo de Deteção durante um curto período de tempo num ambiente de produção. Isto proporciona a oportunidade de obter registos de firewall e atualizar quaisquer exceções ou regras personalizadas antes da transição para o modo de Prevenção. Isto pode ajudar a reduzir a ocorrência de tráfego bloqueado inesperado.
Motores WAF
O motor da firewall de aplicações Web (WAF) do Azure é o componente que inspeciona o tráfego e determina se um pedido inclui uma assinatura que representa um potencial ataque. Quando utiliza o CRS 3.2 ou posterior, o WAF executa o novo motor WAF, o que lhe proporciona um desempenho mais elevado e um conjunto de funcionalidades melhorado. Quando utiliza versões anteriores do CRS, o WAF é executado num motor mais antigo. As novas funcionalidades só estarão disponíveis no novo motor WAF do Azure.
Ações waf
Os clientes waf podem escolher que ação é executada quando um pedido corresponde a condições de regras. Segue-se a lista de ações suportadas.
- Permitir: o pedido passa pela WAF e é reencaminhado para o back-end. Nenhuma outra regra de prioridade inferior pode bloquear este pedido. As ações de permissão só são aplicáveis ao conjunto de regras do Gestor de Bots e não são aplicáveis ao Conjunto de Regras Principais.
- Bloco: o pedido está bloqueado e a WAF envia uma resposta ao cliente sem reencaminhar o pedido para o back-end.
- Registo: o pedido é registado nos registos WAF e a WAF continua a avaliar regras de prioridade inferior.
- Classificação de anomalias: esta é a ação predefinida para o conjunto de regras crS em que a classificação total de anomalias é incrementada quando uma regra com esta ação é correspondida. A classificação de anomalias não é aplicável ao conjunto de regras do Gestor de Bots.
Modo de Classificação de Anomalias
O OWASP tem dois modos para decidir se pretende bloquear o tráfego: modo tradicional e Modo de Classificação de Anomalias.
No modo Tradicional, o tráfego que corresponda a qualquer regra é considerado independentemente de quaisquer outras correspondências de regras. Este modo é fácil de compreender. Mas a falta de informações sobre quantas regras correspondem a um pedido específico é uma limitação. Assim, o modo de Classificação de Anomalias foi introduzido. É a predefinição do OWASP 3. x.
No modo Classificação de Anomalias, o tráfego que corresponde a qualquer regra não é imediatamente bloqueado quando a firewall está no modo de Prevenção. As regras têm uma certa gravidade: Crítico, Erro, Aviso ou Aviso. Essa gravidade afeta um valor numérico para o pedido, denominado Pontuação de Anomalias. Por exemplo, uma correspondência de regra de aviso contribui com 3 para a classificação. Uma correspondência de regra crítica contribui com 5.
| Gravidade | Valor |
|---|---|
| Crítico | 5 |
| Erro | 4 |
| Aviso | 3 |
| Aviso | 2 |
Existe um limiar de 5 para a Classificação de Anomalias bloquear o tráfego. Assim, uma única correspondência de regra Crítica é suficiente para o Gateway de Aplicação WAF bloquear um pedido, mesmo no modo de Prevenção. No entanto, uma correspondência de regra de Aviso só aumenta a Classificação de Anomalias em 3, o que por si só não é suficiente para bloquear o tráfego.
Nota
A mensagem registada quando uma regra WAF corresponde ao tráfego inclui o valor de ação "Correspondido". Se a pontuação total de anomalias de todas as regras correspondidas for 5 ou superior e a política WAF estiver em execução no modo de Prevenção, o pedido acionará uma regra de anomalia obrigatória com o valor de ação "Bloqueado" e o pedido será interrompido. No entanto, se a política WAF estiver em execução no modo de Deteção, o pedido acionará o valor de ação "Detetado" e o pedido será registado e transmitido para o back-end. Para obter mais informações, veja Resolver problemas de Firewall de Aplicações Web (WAF) para Gateway de Aplicação do Azure.
Configuração
Pode configurar e implementar todas as políticas WAF através do portal do Azure, APIs REST, modelos de Resource Manager do Azure e Azure PowerShell. Também pode configurar e gerir políticas waf do Azure em escala com a integração do Firewall Manager (pré-visualização). Para obter mais informações, veja Utilizar o Gestor de Azure Firewall para gerir políticas de Firewall de Aplicações Web (pré-visualização).
Monitorização waf
É importante monitorizar o estado de funcionamento do gateway de aplicação. A monitorização do estado de funcionamento da WAF e das aplicações que protege é suportada pela integração com Microsoft Defender para registos da Cloud, do Azure Monitor e do Azure Monitor.
Azure Monitor
Gateway de Aplicação os registos estão integrados no Azure Monitor. Isto permite-lhe controlar informações de diagnóstico, incluindo alertas e registos WAF. Pode aceder a esta capacidade no separador Diagnóstico no recurso Gateway de Aplicação no portal ou diretamente através do Azure Monitor. Para saber mais sobre como ativar registos, veja Gateway de Aplicação diagnósticos.
Microsoft Defender para a Cloud
O Defender para a Cloud ajuda-o a prevenir, detetar e responder a ameaças. Fornece maior visibilidade e controlo sobre a segurança dos seus recursos do Azure. Gateway de Aplicação está integrado no Defender para Cloud. O Defender para a Cloud analisa o seu ambiente para detetar aplicações Web desprotegidas. Pode recomendar Gateway de Aplicação WAF para proteger estes recursos vulneráveis. Pode criar as firewalls diretamente a partir do Defender para a Cloud. Estas instâncias WAF estão integradas no Defender para Cloud. Enviam alertas e informações de estado de funcionamento para o Defender para a Cloud para relatórios.
Microsoft Sentinel
O Microsoft Sentinel é uma solução dimensionável, nativa de cloud, gestão de eventos de informações de segurança (SIEM) e resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel fornece análises de segurança inteligentes e informações sobre ameaças em toda a empresa, fornecendo uma solução única para deteção de alertas, visibilidade de ameaças, investigação proativa e resposta a ameaças.
Com o livro de eventos de firewall do Azure WAF incorporado, pode obter uma descrição geral dos eventos de segurança na sua WAF. Isto inclui eventos, regras correspondidas e bloqueadas e tudo o resto que é registado nos registos da firewall. Veja mais informações sobre o registo abaixo.
Livro do Azure Monitor para WAF
Este livro permite a visualização personalizada de eventos WAF relevantes para segurança em vários painéis filtráveis. Funciona com todos os tipos de WAF, incluindo Gateway de Aplicação, Front Door e CDN, e pode ser filtrado com base no tipo WAF ou numa instância de WAF específica. Importar através do Modelo do ARM ou do Modelo de Galeria. Para implementar este livro, veja Livro WAF.
Registo
Gateway de Aplicação WAF fornece relatórios detalhados sobre cada ameaça que deteta. O registo está integrado nos registos de Diagnóstico do Azure. Os alertas são registados no formato .json. Estes registos podem ser integrados nos registos do Azure Monitor.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "52.161.109.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
Preços da SKU da WAF do Gateway de Aplicação
Os modelos de preços são diferentes para os SKUs de WAF_v1 e WAF_v2. Veja a página de preços do Gateway de Aplicação para saber mais.
Novidades
Para saber as novidades do Azure Firewall de Aplicações Web, veja Atualizações do Azure.
Passos seguintes
- Saiba mais sobre as regras geridas da WAF
- Saiba mais sobre As Regras Personalizadas
- Saiba mais sobre Firewall de Aplicações Web no Azure Front Door
- Saiba mais sobre a segurança de rede do Azure