Tutorial: Configurar o Cloudflare Web Application Firewall com o Microsoft Entra External ID
Neste tutorial, saiba como configurar o Cloudflare Web Application Firewall (Cloudflare WAF) para proteger sua organização contra ataques, como negação de serviço distribuída (DDoS), bots mal-intencionados, riscos de segurança Top 10 do Open Worldwide Application Security Project (OWASP) e outros.
Pré-requisitos
Para começar, precisa do seguinte:
- Locatário de ID Externa do Microsoft Entra
- Porta frontal do Microsoft Azure (AFD)
- Conta Cloudflare com WAF
Saiba mais sobre locatários e como proteger aplicativos para consumidores e clientes com a ID Externa do Microsoft Entra.
Descrição do cenário
- Locatário de ID Externa do Microsoft Entra – O provedor de identidade (IdP) e o servidor de autorização que verifica as credenciais do usuário com políticas personalizadas definidas para o locatário.
- Azure Front Door – Habilita domínios de URL personalizados para a ID Externa do Microsoft Entra. O tráfego para domínios de URL personalizados passa pelo Cloudflare WAF, depois vai para AFD e, em seguida, para o locatário de ID Externo do Microsoft Entra.
- Cloudflare WAF – Controles de segurança para proteger o tráfego para o servidor de autorização.
Habilitar domínios de URL personalizados
O primeiro passo é habilitar domínios personalizados com AFD. Use as instruções em, Habilitar domínios de URL personalizados para aplicativos em locatários externos (Visualização).
Criar uma conta Cloudflare
- Aceda a Cloudflare.com/plans para criar uma conta.
- Para habilitar o WAF, na guia Serviços de Aplicativos , selecione Pro.
Configurar o servidor de nomes de domínio (DNS)
Habilite o WAF para um domínio.
No console DNS, para CNAME, habilite a configuração de proxy.
Em DNS, para Status do proxy, selecione Proxied.
O status fica laranja.
Controles de segurança da Cloudflare
Para uma proteção ideal, recomendamos que você ative os controles de segurança da Cloudflare.
Proteção contra DDoS
Vá para o painel da Cloudflare.
Expanda a seção Segurança.
Selecione DDoS.
É apresentada a mensagem .
Proteção contra bots
Vá para o painel da Cloudflare.
Expanda a seção Segurança.
Em Configurar o Modo de Luta Super Bot, para Definitivamente automatizado, selecione Bloquear.
Em Provavelmente automatizado, selecione Desafio gerenciado.
Em Bots verificados, selecione Permitir.
Regras de firewall: Tráfego da rede Tor
Recomendamos que você bloqueie o tráfego originado da rede proxy Tor, a menos que sua organização precise dar suporte ao tráfego.
Nota
Se não for possível bloquear o tráfego Tor, selecione Desafio interativo e não Bloquear.
Bloquear o tráfego da rede Tor
Vá para o painel da Cloudflare.
Expanda a seção Segurança.
Selecione WAF.
Selecione Criar regra.
Em Nome da regra, insira um nome relevante.
Em Se as solicitações recebidas corresponderem, em Campo, selecione Continente.
Em Operador, selecione igual.
Em Valor, selecione Tor.
Em Em seguida, execute uma ação, selecione Bloquear.
Em Colocar em, selecione Primeiro.
Selecione Implementar.
Nota
Você pode adicionar páginas HTML personalizadas para os visitantes.
Regras de firewall: tráfego de países ou regiões
Recomendamos controles de segurança rigorosos sobre o tráfego de países ou regiões onde é improvável que ocorram negócios, a menos que sua organização tenha um motivo comercial para dar suporte ao tráfego de todos os países ou regiões.
Nota
Se não for possível bloquear o tráfego de um país ou região, selecione Desafio interativo e não Bloquear.
Bloquear tráfego de países ou regiões
Para obter as instruções a seguir, você pode adicionar páginas HTML personalizadas para os visitantes.
Vá para o painel da Cloudflare.
Expanda a seção Segurança.
Selecione WAF.
Selecione Criar regra.
Em Nome da regra, insira um nome relevante.
Em Se as solicitações recebidas corresponderem, em Campo, selecione País ou Continente.
Em Operador, selecione igual.
Em Valor, selecione o país ou continente a ser bloqueado.
Em Em seguida, execute uma ação, selecione Bloquear.
Em Colocar em, selecione Último.
Selecione Implementar.
OWASP e conjuntos de regras gerenciados
Selecione Regras gerenciadas.
Para Cloudflare Managed Ruleset, selecione Enabled.
Para Cloudflare OWASP Core Ruleset, selecione Enabled.