Como mascarar dados confidenciais no Firewall de Aplicativo Web do Azure
A ferramenta de depuração de logs do Web Application Firewall (WAF) ajuda você a remover dados confidenciais de seus logs WAF. Ele funciona usando um mecanismo de regras que permite criar regras personalizadas para identificar partes específicas de uma solicitação que contêm dados confidenciais. Uma vez identificada, a ferramenta limpa essas informações de seus logs e as substitui por *******.
Nota
Quando você habilita o recurso de depuração de logs, a Microsoft ainda retém endereços IP em nossos logs internos para oferecer suporte a recursos de segurança críticos.
A tabela a seguir mostra exemplos de regras de depuração de log que podem ser usadas para proteger seus dados confidenciais:
| Variável de correspondência | Operador | Seletor | O que é esfregado |
|---|---|---|---|
| Solicitar nomes de cabeçalho | Igual a | X-Encaminhado para | REQUEST_HEADERS:x-forwarded-for.","data":"******" |
| Solicitar nomes de cookies | Igual a | biscoito1 | "Dados correspondentes: ****** encontrados em REQUEST_COOKIES:cookie1: ******" |
| Solicitar nomes de Arg | Igual a | Arg1 | "requestUri":"/?arg1=******" |
| Solicitar Post Arg Nomes | Igual a | Correio1 | "data":"Dados correspondentes: ****** encontrados em ARGS:post1: ******" |
| Solicitar nomes JSON Arg | Igual a | Jsonarg | "data":"Dados correspondentes: ****** encontrados em ARGS:jsonarg: ******" |
| Solicitar endereço IP* | Igual a qualquer | NULL | "clientIp":"******" |
* As regras de endereço IP de solicitação suportam apenas o igual a qualquer operador e elimina todas as instâncias do endereço IP do solicitante que aparecem nos logs WAF.
Para obter mais informações, consulte O que é a Proteção de Dados Confidenciais do Firewall de Aplicativo Web do Azure?
Habilite a proteção de dados confidenciais
Use as informações a seguir para habilitar e configurar a Proteção de Dados Confidenciais.
Para habilitar a Proteção de Dados Sensíveis:
- Abra uma política WAF existente do Application Gateway.
- Em Configurações, selecione Dados confidenciais.
- Na página Dados confidenciais, selecione Habilitar depuração de log.
Para configurar regras de depuração de logs para proteção de dados confidenciais:
- Em Regras de depuração de log, selecione uma variável Corresponder .
- Selecione um Operador (se aplicável).
- Digite um seletor (se aplicável).
- Selecione Guardar.
Repita para adicionar mais regras.
Verificar a proteção de dados confidenciais
Para verificar suas regras de Proteção de Dados Confidenciais, abra o log do firewall do Application Gateway e pesquise ****** no lugar dos campos confidenciais.