Como funciona o Firewall de Aplicativo Web do Azure

  • 12 minutos

Você está familiarizado com os recursos e benefícios básicos do Firewall de Aplicativo Web do Azure. Agora vamos examinar como o Firewall de Aplicativo Web do Azure funciona. Em particular, vamos considerar como recursos como conjuntos de regras e grupos de regras permitem que o Firewall de Aplicativo Web do Azure ajude a proteger aplicativos Web contra explorações comuns. Estas informações ajudam-no a avaliar se o Azure Web Application Firewall é a solução certa para a sua empresa.

Opções de implementação

Você pode implantar o Firewall de Aplicativo Web do Azure como parte de uma solução front-end do Azure para seus aplicativos Web. Você começará criando uma política do Firewall de Aplicativo Web do Azure, que inclui as seguintes configurações:

  • Qual integração de produto você deseja usar
  • Qual conjunto de regras gerenciadas você deseja usar
  • Quaisquer regras personalizadas que pretenda adicionar
  • Qual modo você deseja usar

Conjuntos de regras, grupos de regras e regras gerenciados pela Microsoft

O Firewall de Aplicativo Web do Azure frustra explorações conhecidas aplicando regras às solicitações HTTP/HTTPS de entrada de um aplicativo. Uma regra é um código de firewall projetado para reconhecer e prevenir uma ameaça específica.

As regras que o Firewall de Aplicativo Web do Azure usa para detetar e bloquear vulnerabilidades comuns são, em sua maioria, regras gerenciadas que pertencem a vários grupos de regras. Cada grupo de regras é uma coleção de regras e um conjunto de regras gerenciadas é uma coleção de grupos de regras. Os conjuntos de regras gerenciadas incluem grupos de regras baseados no Microsoft Threat Intelligence, grupos de regras CVE (Common Vulnerabilities and Exposures) e grupos de regras principais (CRS).

As regras CRS são definidas pelo Open Web Application Security Project (OWASP). A equipe de especialistas em segurança da Microsoft codifica, mantém e atualiza regras gerenciadas. As regras são modificadas ou adicionadas conforme necessário. Quando uma regra gerenciada é alterada, a Microsoft atualiza o Firewall do Aplicativo Web do Azure automaticamente e sem tempo de inatividade do aplicativo.

A captura de tela a seguir mostra algumas das regras e grupos de regras no conjunto de regras padrão da Microsoft 2.1 (DRS2.1). Isso deve lhe dar uma noção da profundidade da proteção oferecida pelo Firewall de Aplicativo Web do Azure.

Screen shot show WAF managed rules.

Regras do Bot

As regras de bot identificam bots ruins, bots bons e bots desconhecidos com base no Microsoft Threat Intelligence e nas regras proprietárias do WAF.

Screenshot showing WAF bot rules.

Regras personalizadas

As regras gerenciadas que o Azure Web Application Firewall oferece podem não cobrir uma ameaça específica que seus aplicativos Web estão enfrentando. Em caso afirmativo, você pode criar uma regra personalizada. Você pode criar regras personalizadas criando condições que incluem os seguintes componentes:

  • Tipo de correspondência, como localização geográfica, endereço IP, tamanho, string
  • Corresponder variáveis como RequestHeader, QueryString, RequestUri, RequestBody, Cookies ou PostArgs
  • Métodos de solicitação HTTP/HTTPS, como POST ou PUT
  • Operadores como EqualContains, Regex, Begins with, Any, Ends with
  • Uma ação como Permitir, Bloquear, Registrar ou Redirecionar

Filtragem geográfica

Por padrão, o WAF responde a todas as solicitações do usuário, independentemente do local de onde a solicitação está vindo. Em alguns cenários, talvez você queira restringir o acesso ao seu aplicativo Web por países/regiões. A regra personalizada de filtragem geográfica permite que você defina um caminho específico em seu ponto de extremidade para permitir ou bloquear o acesso de países/regiões especificados. A regra de filtragem geográfica usa um código de país/região de interesse de duas letras.

Para uma regra de filtragem geográfica, uma variável de correspondência é RemoteAddr ou SocketAddr. RemoteAddr é o endereço IP original do cliente que geralmente é enviado via cabeçalho de solicitação X-Forwarded-For. SocketAddr é o endereço IP de origem que o WAF vê. Se o usuário estiver atrás de um proxy, SocketAddr geralmente é o endereço do servidor proxy.

Você pode combinar uma condição GeoMatch e uma condição de correspondência de cadeia de caracteres REQUEST_URI para criar uma regra de filtragem geográfica baseada em caminho.

Restrição de IP

As regras personalizadas do Firewall de Aplicativo Web do Azure controlam o acesso a aplicativos Web especificando uma lista de endereços IP ou intervalos de endereços IP.

A regra personalizada de restrição de IP permite controlar o acesso aos seus aplicativos Web. Ele faz isso especificando um endereço IP ou um intervalo de endereços IP no formato CIDR (Roteamento entre Domínios sem Classe).

Por predefinição, a sua aplicação Web é acessível a partir da Internet. No entanto, às vezes, você deseja limitar o acesso a clientes a partir de uma lista de endereços IP conhecidos ou intervalos de endereços IP. Você pode conseguir isso criando uma regra de correspondência de IP que bloqueia o acesso ao seu aplicativo Web a partir de endereços IP não listados na regra personalizada.

Rate limiting (Limitação de taxa)

As regras personalizadas do Firewall de Aplicativo Web do Azure dão suporte à limitação de taxa para controlar o acesso com base nas condições correspondentes e nas taxas de solicitações de entrada.

Essa regra personalizada permite detetar níveis anormalmente altos de tráfego e bloquear alguns tipos de ataques de negação de serviço da camada de aplicativo. A limitação de taxa também protege você contra clientes que foram acidentalmente configurados incorretamente para enviar grandes volumes de solicitações em um curto período de tempo. A regra personalizada é definida pela duração da contagem do limite de taxa (intervalos de um minuto ou cinco minutos) e pelo limite de taxa (o número máximo de solicitações permitido na duração do limite de taxa).

Modo de deteção vs modo de prevenção

O Azure Web Application Firewall pode operar em um dos dois modos. O modo escolhido depende de como você deseja que o firewall lide com solicitações HTTP/HTTPS recebidas que correspondam a uma de suas regras:

  • Modo de deteção: registra a solicitação, mas permite que a solicitação seja atendida.
  • Modo de prevenção: registra a solicitação, mas não permite que ela seja atendida.

Um cenário comum é executar o Firewall de Aplicativo Web do Azure no modo de deteção quando você estiver testando um aplicativo. No modo de deteção, você pode verificar dois tipos de problemas:

  • Falsos positivos: solicitações legítimas que o firewall sinaliza como maliciosas.
  • Falsos negativos: solicitações maliciosas permitidas pelo firewall.

Quando o aplicativo estiver pronto para ser implantado, você alternará para o modo de prevenção.

Usando o Microsoft Sentinel com o Azure WAF

O Azure WAF combinado com o Microsoft Sentinel pode fornecer gerenciamento de eventos de informações de segurança para recursos do WAF. Usando o Microsoft Sentinel, você pode acessar o conector de dados WAF para o Sentinel usando o Log Analytics. As pastas de trabalho do WAF mostram análises para WAF no Azure Front Door e WAF no Application Gateway. As regras analíticas do WAF detetam ataques SQLi e XSS de logs AFD e Application Gateway. O Bloco de Anotações WAF permite a investigação de incidentes de injeção de SQL no Azure Front Door.

Screenshot showing Sentinel WAF settings.

Screenshot showing WAF events.