Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Модель нулевого доверия предполагает нарушение и проверяет каждый запрос, как будто он исходит из неконтролируемой сети. Службы безопасности сети Azure играют важную роль в применении принципов нулевого доверия путем проверки, фильтрации и ведения журнала трафика в облачной среде.
Следующие рекомендации помогут вам оценить и защитить состояние безопасности сети Azure. Каждая рекомендация ссылается на подробное руководство, описывающее проверку безопасности, уровень риска и действия по исправлению.
Подсказка
Некоторые организации могут принимать эти рекомендации точно так, как написано, в то время как другие могут внести изменения в зависимости от собственных бизнес-потребностей. Рекомендуется реализовать все перечисленные ниже элементы управления, где это применимо. Эти шаблоны и методики помогают обеспечить основу для безопасной сетевой среды Azure. Со временем в этот документ будут добавлены дополнительные элементы управления.
Автоматизированная оценка
Ручная проверка этого руководства на соответствие конфигурации вашей среды может занять много времени и быть подверженной ошибкам. Оценка "Никому не доверяй" преобразует этот процесс с помощью автоматизации для тестирования этих элементов конфигурации безопасности и многого другого. Дополнительные сведения см. в статье Что такое оценка "Никому не доверяй"?
Защита от атак DDoS Azure
Защита от атак DDoS Azure защищает общедоступные ресурсы от распределенных атак типа "отказ в обслуживании". Следующие рекомендации проверяют, включена ли защита от атак DDoS и правильно отслеживается.
Дополнительные сведения см. в рекомендациях по нулю доверия для защиты от атак DDoS Azure.
| Recommendation | Уровень риска | Влияние на пользователей | Стоимость реализации |
|---|---|---|---|
| Распределенные атаки типа "отказ в обслуживании" (DDoS) направлены на перегрузку вычислительных мощностей приложений, сетевых или оперативных ресурсов, делая услуги недоступными для законных пользователей. Любая общедоступная конечная точка, доступная к Интернету, является потенциальной целью. Защита от атак DDoS Azure обеспечивает постоянный мониторинг и автоматическую защиту от атак на уровне сети, предназначенных для общедоступных IP-адресов. Защиту можно включить с помощью защиты IP-адресов DDoS непосредственно на отдельных общедоступных IP-адресах или через защиту сети DDoS на уровне виртуальной сети через план защиты от атак DDoS. Без защиты от атак DDoS общедоступные IP-адреса для таких служб, как шлюзы приложений, подсистемы балансировки нагрузки, брандмауэры Azure, Бастион Azure, шлюзы виртуальной сети и виртуальные машины остаются подверженными атакам, которые могут исчерпать пропускную способность и системные ресурсы, что приводит к каскадным сбоям между зависимыми службами. Эта проверка проверяет, что каждый общедоступный IP-адрес охватывается защитой от атак DDoS с помощью любого подхода. Действие исправления | High | Low | Low |
| Azure DDoS Protection предоставляет расширенные возможности по предотвращению рисков для общедоступных IP-адресов, автоматически обнаруживая и устраняя объёмные и протокольные распределённые атаки отказа в обслуживании (DDoS) на уровнях 3 и 4. Для защиты DDoS уровня приложений (уровень 7) используйте защиту от атак DDoS Azure в сочетании с брандмауэром веб-приложения (WAF). Защита от атак DDoS без включенных метрик создает разрыв видимости, в котором группы безопасности не могут наблюдать шаблоны трафика атак, действия по устранению рисков или эффективность политик защиты. Если атака DDoS возникает против немонитоированного общедоступного IP-адреса, реагирование на инциденты не имеет критически важных данных телеметрии, включая количество входящих пакетов, байты, удаленные во время устранения рисков, векторы атак и события триггеров устранения рисков. Это задерживает обнаружение, так как атаки могут остаться незамеченными до тех пор, пока не произойдет ухудшение качества обслуживания. Она также предотвращает корреляцию событий DDoS с проблемами производительности приложения и устраняет возможность анализировать шаблоны атак для упреждающего улучшения защиты. Включение метрик DDoS обеспечивает видимость состояния атаки, пакетов и байтов, обработанных и удаленных, а также метрик наводнений TCP/UDP/SYN, необходимых для активного реагирования на инциденты и анализа после инцидента. Действие исправления | Средняя | Low | Low |
| Если служба защиты от атак DDoS Azure включена для общедоступных IP-адресов, ведение журнала диагностики обеспечивает критическое представление о шаблонах атак типа "отказ в обслуживании" (DDoS), действиях по устранению рисков и данных потока трафика. Без журналов диагностики команды безопасности не имеют возможности наблюдения, необходимые для понимания характеристик атаки, проверки эффективности устранения рисков и выполнения анализа после инцидента. Защита от атак DDoS Azure создает три категории журналов диагностики: DDoSProtectionNotifications для событий обнаружения атак и устранения рисков, DDoSMitigationFlowLogs для получения подробных сведений о уровне потока во время активного устранения рисков и DDoSMitigationReports для комплексных сводок атак. Эти журналы необходимы для обнаружения текущих атак, изучения инцидентов, соблюдения нормативов и настройки политик защиты. Меры по устранению | Средняя | Low | Low |
Azure Firewall
Брандмауэр Azure обеспечивает централизованное применение политики сетевой безопасности и ведение журналов во всех виртуальных сетях. Ниже приведены рекомендации по проверке активности основных функций защиты.
Дополнительные сведения см. в рекомендациях по нулю доверия для брандмауэра Azure.
| Recommendation | Уровень риска | Влияние на пользователей | Стоимость реализации |
|---|---|---|---|
| Брандмауэр Azure — это облачная служба безопасности сети, которая обеспечивает централизованную проверку, ведение журнала и применение правил к исходящему трафику. Однако использование брандмауэра Azure только для исходящего подключения может привести к исчерпанию портов SNAT в рабочих нагрузках с высоким трафиком. Рекомендация заключается в развертывании шлюза NAT вместе с брандмауэром Azure— брандмауэр Azure обрабатывает проверку безопасности исходящего трафика (фильтрация угроз, обнаружение вторжений и предотвращение, проверка TLS и принудительное применение политики исходящего трафика), а шлюз NAT предоставляет масштабируемые порты SNAT для фактического исходящего потока трафика. В защищенной сетевой архитектуре исходящий трафик из интегрированных с виртуальной сетью рабочих нагрузок, таких как виртуальные машины, кластеры AKS, служба приложений и функции, должен быть явно перенаправлен через брандмауэр Azure, прежде чем достичь внешних служб, с шлюзом NAT, настроенным в AzureFirewallSubnet для обработки исходящего перевода. Без этого комбинированного подхода организации рискуют либо непроверенным исходящим трафиком, либо исчерпанием портов SNAT, что приводит к разрывам соединений. Эта проверка проверяет, что действующий сетевой маршрут направляет исходящий трафик к частному IP-адресу брандмауэра для соответствующих рабочих нагрузок во всех подписках. Действие исправления | High | Low | Средняя |
| Фильтрация оповещений на основе брандмауэра Azure Threat Intelligence и запрещает трафик от известных вредоносных IP-адресов, полных доменных имен (FQDN) и URL-адресов, полученных из веб-канала Microsoft Threat Intelligence. При включении брандмауэр Azure оценивает трафик по правилам аналитики угроз перед применением правил преобразования сетевых адресов (NAT), сети или приложений. Эта проверка проверяет, включена ли аналитика угроз в режиме "Оповещение и запрет" в политике брандмауэра Azure. Без этой функции среда остается подвержена известным вредоносным IP-адресам, доменам и URL-адресам, создавая риск компрометации или кражи данных. Действие исправления | High | Low | Low |
| Брандмауэр Azure Premium предлагает систему обнаружения и предотвращения вторжений на основе подписей для обнаружения атак, определяя конкретные шаблоны, такие как последовательности байтов в сетевом трафике или известные вредоносные последовательности инструкций, используемые вредоносными программами. Подписи IDPS применяются как к трафику приложения, так и сетевого уровня на уровнях 3-7, полностью управляются и постоянно обновляются, и могут применяться к входящему, обмену между периферийными узлами и исходящему трафику, включая трафик в локальные сети и из них. Эта проверка проверяет, включена ли система обнаружения и предотвращения вторжений (IDPS) в режиме «Оповещение и запрет» в политике брандмауэра Azure. Если IDPS отключена или находится в режиме "Оповещение", вредоносные паттерны в сетевом трафике активно не блокируются.Мера исправления | High | Low | Low |
Брандмауэр Azure Premium предоставляет проверку TLS для расшифровки, проверки и повторного шифрования исходящего и восточно-западного зашифрованного трафика с помощью сертификата центра сертификации, предоставленного клиентом (ЦС), хранящегося в Azure Key Vault. Проверка TLS позволяет расширенным возможностям безопасности, включая систему обнаружения вторжений и предотвращения вторжений (IDPS) и фильтрацию URL-адресов для анализа зашифрованного трафика и выявления угроз, использующих зашифрованные каналы для предотвращения обнаружения. Без включения проверки TLS брандмауэр не может проверять зашифрованные полезные данные, что значительно ограничивает видимость угроз, использующих TLS для обхода традиционных элементов управления безопасностью. Действие исправления
|
High | Low | Low |
| Брандмауэр Azure обрабатывает весь входящий и исходящий сетевой трафик для защищенных рабочих нагрузок, что делает его критически важной точкой управления для мониторинга безопасности. Если ведение журнала диагностики не включено, команды безопасности теряют возможность наблюдать за шаблонами трафика, попытками подключения, которые были отклонены, соответствиями данных об угрозах и обнаружениями сигнатур системой обнаружения и предотвращения вторжений (IDPS). Без ведения журнала субъекты угроз, получившие доступ, могут перемещаться в сети без обнаружения, и сотрудники, которые осуществляют реагирование на инциденты, не могут создавать временные шкалы атак. Брандмауэр Azure предоставляет несколько категорий журналов, включая журналы правил приложений, журналы правил сетевого правила, журналы правил преобразования сетевых адресов (NAT), журналы аналитики угроз, журналы подписей IDPS и журналы DNS-прокси, которые должны быть перенаправлены в место назначения, например Log Analytics, учетную запись хранения или концентратор событий для мониторинга безопасности и судебно-медицинской экспертизы. Действие исправления | High | Low | Low |
WAF для шлюза приложений
Брандмауэр веб-приложений Azure в шлюзе приложений защищает веб-приложения от распространенных эксплойтов и уязвимостей. Следующие рекомендации проверяют правильность настройки и мониторинга WAF.
Дополнительные сведения см. в рекомендациях по концепции Нулевого доверия для WAF шлюза приложений.
| Recommendation | Уровень риска | Влияние на пользователей | Стоимость реализации |
|---|---|---|---|
| Брандмауэр веб-приложений шлюза приложений Azure (WAF) защищает веб-приложения от распространенных эксплойтов и уязвимостей, таких как SQL-инъекции, межсайтовый скриптинг и другие угрозы, входящие в десятку крупнейших по версии Международного проекта по безопасности приложений (OWASP). WAF работает в двух режимах: режим обнаружения оценивает входящие запросы и совпадения журналов, но не блокирует трафик, а режим предотвращения оценивает запросы и активно блокирует вредоносные запросы, которые нарушают правила WAF. Запуск WAF в режиме предотвращения имеет решающее значение для активной защиты приложений от распространенных веб-атак. Если WAF находится в режиме обнаружения, вредоносный трафик только регистрируется и не предотвращается, оставляя приложения подверженными эксплуатации. Действие исправления | High | Low | Low |
| Брандмауэр веб-приложений шлюза приложений Azure (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей на региональном уровне. Проверка тела запроса позволяет WAF анализировать тела запросов HTTP POST, PUT и PATCH на наличие вредоносных образцов, включая внедрение SQL, межсайтовый скриптинг и инъекции команд. Если инспекция тела запроса отключена, субъекты угроз могут внедрять вредоносное содержимое в отправку формы, вызовы API или отправку файлов, что обходят проверку правил WAF. Это создает прямой путь к эксплуатации, когда атакующие получают первоначальный доступ через незащищенные конечные точки, выполняют произвольные команды против серверных баз данных, эксфильтруют конфиденциальные данные и переключаются на внутренние системы. Управляемые наборы правил WAF, включая набор основных правил Open Worldwide Application Security Project (OWASP) и правила Microsoft Bot Manager, не могут оценить угрозы, которые они не видят, делая эти средства защиты неэффективными в отношении распространенных векторов атак, основанных на содержимом тела запроса. Действие исправления | High | Low | Low |
Брандмауэр веб-приложений шлюза приложений Azure (WAF) обеспечивает централизованную защиту для веб-приложений с помощью управляемых наборов правил, содержащих предварительно настроенные подписи обнаружения для известных шаблонов атак. Набор правил Майкрософт по умолчанию и основной набор правил Open Worldwide Application Security Project (OWASP) — это управляемые наборы правил, которые постоянно обновляются и защищают от самых распространенных и опасных веб-уязвимостей, не требуя профессиональных знаний в области безопасности для настройки. Если управляемый набор правил не включен, политика WAF не обеспечивает защиту от известных шаблонов атак и фактически работает как сквозной канал, даже несмотря на то, что она развернута. Субъекты угроз обычно сканируют незащищенные веб-приложения и используют хорошо документированные уязвимости с помощью автоматизированных наборов средств. Без управляемых правил злоумышленники могут использовать распространенные уязвимости, включая SQL-инъекции, межсайтовый скриптинг и внедрение команд на серверы. Действия по устранению
|
High | Low | Low |
| Брандмауэр веб-приложений шлюза приложений Azure (WAF) обеспечивает защиту ботов с помощью набора правил Microsoft Bot Manager, который определяет и классифицирует автоматический трафик на основе шаблонов поведения, известных подписей ботов и репутации IP-адресов. Без поддержки защиты ботов субъекты угроз могут использовать автоматизированные средства для атак с использованием учетных данных, очистки содержимого, инвентаризации запасов и атак типа "отказ в обслуживании" уровня приложений, которые будут непрактичными вручную. Эти атаки часто возникают из распределенных ботнетов, которые сменяют IP-адреса, чтобы избежать простого ограничения скорости, что делает обнаружение бота на основе подписи важным. Набор правил Bot Manager классифицирует ботов в известные хорошие боты, известные плохие боты и неизвестные боты, что позволяет применять детализированные политики. Без этой классификации вредоносный трафик бота смешивается с законными запросами, потребляя ресурсы приложений и обеспечивая мошенничество. Действие исправления | High | Low | Low |
Межсетевой экран веб-приложений шлюза приложений Azure (WAF) обеспечивает защиту от HTTP-атак распределенного отказа в обслуживании (DDoS) с помощью набора правил Microsoft HTTP DDoS, который обнаруживает и смягчает объемные атаки на уровне приложений. В отличие от атак DDoS на уровне сети, предназначенных для пропускной способности, атаки DDoS на основе HTTP используют уровень приложений, отправляя, казалось бы, законные HTTP-запросы на большие объемы для исчерпания ресурсов сервера, подключений к базам данных и потоков приложений. Без включенной защиты от HTTP DDoS атак злоумышленники могут выполнять атаки HTTP-наводнения, которые перегружают серверы, медленные атаки, удерживающие подключения открытыми, чтобы истощить пулы подключений, и высокочастотные шаблоны запросов, предназначенные для вызова ресурсоемких операций. Набор правил HTTP DDoS содержит группы правил, которые обнаруживают аномальные частоты запросов на основе настраиваемых уровней конфиденциальности и могут блокировать, регистрировать или перенаправлять вредоносный трафик, прежде чем он влияет на серверы внутренних приложений. Действие исправления
|
High | Low | Low |
Брандмауэр веб-приложений шлюза приложений Azure (WAF) поддерживает ограничение скорости с помощью пользовательских правил, ограничивающих количество запросов клиентов, которые могут выполняться в течение указанного периода времени. Ограничение скорости защищает приложения от атак методом подбора, атак с использованием учетных данных, злоупотреблений API и атак отказа в обслуживании на уровне приложений, которые перегружают конечные точки чрезмерными запросами. Без ограничения скорости, субъекты угроз могут пытаться выполнять тысячи сочетаний паролей в минуту для конечных точек проверки подлинности, тестировать украденные учетные данные в масштабе, извлекать большие объемы данных и перегружать емкость сервера. Правила ограничения скорости позволяют администраторам определять пороговые значения на основе количества запросов в минуту и отслеживать отдельных клиентов по IP-адресу. Если клиент превышает настроенное пороговое значение, WAF может блокировать последующие запросы, регистрировать нарушение или перенаправляться на пользовательскую страницу. Действие исправления
|
High | Low | Средняя |
| Брандмауэр веб-приложений шлюза приложений Azure (WAF) поддерживает вызов JavaScript (в настоящее время в предварительной версии) в качестве механизма защиты от автоматизированных ботов и браузеров без головы. Когда запрос запускает вызов, WAF служит фрагментом кода JavaScript, который браузер клиента должен выполнить для получения допустимого файла cookie для вызова, доказывая, что запрос поступает из реального браузера, а не простого HTTP-клиента или бота. Клиенты, успешно справившиеся с испытанием, продолжают работу в обычном режиме, пока не истечет срок действия cookie, а боты и автоматизированные инструменты, которые не могут выполнять JavaScript, блокируются. Этот механизм эффективно защищает от ботов, совершающих нападения с использованием учетных данных, веб-скребков, а также распределенных DDoS-атак на прикладном уровне, которые используют простые библиотеки HTTP без применения движков JavaScript. Вызов JavaScript обеспечивает компромисс между разрешением всего трафика и блокировкой подозрительных ботов напрямую, проверяя возможности браузера без необходимости взаимодействия пользователя, такого как CAPTCHA. Действие исправления | Средняя | Low | Low |
| Брандмауэр веб-приложений Azure Application Gateway (WAF) защищает веб-приложения от распространенных уязвимостей, включая SQL-инъекции, межсайтовые сценарии и угрозы из списка "OWASP Top 10". Если ведение журнала диагностики не включено, команды безопасности теряют видимость заблокированных атак, совпадений правил, шаблонов доступа и событий брандмауэра. Без ведения журнала эксплойты не обнаруживаются, и реагирование на инциденты не может сопоставлять события WAF с другими данными телеметрии или строить временные шкалы атак. Шлюз приложений WAF предоставляет несколько категорий журналов, включая журналы доступа, журналы производительности и журналы брандмауэра, которые должны быть направлены в Log Analytics, учетную запись хранения или концентратор событий для мониторинга безопасности. Меры по устранению | High | Low | Low |
Azure Front Door WAF
Брандмауэр веб-приложений Azure в Front Door защищает веб-приложения на границе сети. Следующие рекомендации проверяют правильность настройки и мониторинга WAF.
Дополнительные сведения см. в рекомендациях по нулю доверия для WAF Azure Front Door.
| Recommendation | Уровень риска | Влияние на пользователей | Стоимость реализации |
|---|---|---|---|
| Брандмауэр веб-приложений Azure Front Door (WAF) защищает веб-приложения от распространенных эксплойтов и уязвимостей, таких как SQL-инъекция, межсайтовый скриптинг и другие угрозы Open Worldwide Application Security Project (OWASP) Top 10 на уровне сети. WAF работает в двух режимах: режим обнаружения оценивает входящие запросы и совпадения журналов, но не блокирует трафик, а режим предотвращения оценивает запросы и активно блокирует вредоносные запросы, которые нарушают правила WAF. Запуск WAF в режиме предотвращения имеет решающее значение для активной защиты приложений от распространенных веб-атак. Если WAF находится в режиме обнаружения, вредоносный трафик только регистрируется и не предотвращается, оставляя приложения подверженными эксплуатации. Действие исправления | High | Low | Low |
| Брандмауэр веб-приложений Azure Front Door (WAF) обеспечивает централизованную защиту веб-приложений от распространенных эксплойтов и уязвимостей. Проверка тела запроса позволяет WAF анализировать тела запросов HTTP POST, PUT и PATCH на наличие вредоносных образцов, включая внедрение SQL, межсайтовый скриптинг и инъекции команд. Если инспекция тела запроса отключена, субъекты угроз могут внедрять вредоносное содержимое в отправку формы, вызовы API или отправку файлов, что обходят проверку правил WAF. Это создает прямой путь к эксплуатации, когда атакующие получают первоначальный доступ через незащищенные конечные точки, выполняют произвольные команды против серверных баз данных, эксфильтруют конфиденциальные данные и переключаются на внутренние системы. Управляемые наборы правил WAF, включая Core Rule Set проекта Open Worldwide Application Security Project (OWASP) и правила, основанные на аналитике угроз Microsoft, не могут оценивать угрозы, которые они не видят, что делает эти средства защиты неэффективными против распространенных векторов атак, основанных на теле. Действие по устранению | High | Low | Low |
| Брандмауэр веб-приложений Azure Front Door (WAF) обеспечивает граничную защиту для глобально распределенных веб-приложений с помощью управляемых наборов правил, содержащих предварительно настроенные подписи обнаружения для известных шаблонов атак. Набор правил по умолчанию Майкрософт — это постоянно обновляемый управляемый набор правил, который защищает от наиболее распространенных и опасных веб-уязвимостей, не требуя опыта безопасности для настройки. Если управляемый набор правил не включен, политика WAF не обеспечивает защиту от известных шаблонов атак, эффективно работающих в качестве сквозной передачи. Субъекты угроз обычно сканируют незащищенные приложения и эксплуатируют задокументированные уязвимости с помощью автоматизированных наборов средств для выполнения внедрения SQL, межсайтовых сценариев, включения локальных файлов и атак внедрения команд. Управляемые наборы правил обнаруживают и блокируют эти атаки на границе, прежде чем вредоносный трафик достигает серверов-источников. Действие исправления | High | Low | Low |
| Брандмауэр веб-приложений Azure Front Door (WAF) обеспечивает защиту ботов через набор правил Bot Manager, доступный исключительно в SKU уровня "Премиум", который определяет и классифицирует автоматический трафик в глобальной пограничной сети. Без защиты от ботов субъекты угроз могут развертывать автоматизированные атаки, включая подбор учетных данных, веб-скрейпинг, накопление инвентаря и распределенные атаки на прикладном уровне типа DDoS. Набор правил Bot Manager классифицирует ботов на известные хорошие боты, известные плохие боты и неизвестные боты, позволяя командам безопасности настраивать соответствующие действия для каждой категории. Плохие боты могут быть заблокированы или оспариваться посредством CAPTCHA, в то время как разрешаются допустимые боты, такие как поисковые роботы. Без защиты ботов организации не имеют видимости шаблонов трафика бота и не могут различать пользователей и автоматических клиентов. Действие исправления | High | Low | Low |
| Брандмауэр веб-приложений Azure Front Door (WAF) поддерживает ограничение скорости с помощью пользовательских правил, ограничивающих количество запросов клиентов, которые могут выполняться в течение указанного периода времени в глобальной пограничной сети. Без ограничения скорости злоумышленники могут выполнять атаки методом перебора на конечные точки проверки подлинности, массовые атаки методом подбора учетных данных, злоупотребление API, которое извлекает данные или потребляет внутренние ресурсы, а также атаки типа "отказ в обслуживании" на уровне приложений, которые перегружают конечные точки. Правила ограничения скорости позволяют администраторам определять пороговые значения на основе количества запросов в минуту с возможностью группировать запросы по IP-адресу клиента. Если клиент превышает заданное пороговое значение, WAF может блокировать последующие запросы, регистрировать нарушения, выдавать задания CAPTCHA или перенаправлять на пользовательскую страницу. Ограничение скорости на глобальном пограничном сервере гарантирует, что вредоносный трафик блокируется до достижения серверов-источников. Действие исправления | High | Low | Средняя |
| Брандмауэр веб-приложений Azure Front Door (WAF) поддерживает JavaScript-задачу в качестве механизма защиты от автоматизированных ботов и безголовых браузеров в глобальной периферийной сети. Когда запрос запускает вызов, WAF служит фрагментом кода JavaScript, который браузер клиента должен выполнить для получения допустимого файла cookie для вызова, доказывая, что запрос поступает из реального браузера, а не простого HTTP-клиента или бота. Клиенты, успешно выполняющие задачу, продолжают работу нормально до истечения срока действия файла cookie, а боты и автоматизированные средства, которые не могут исполнять JavaScript, блокируются на уровне периметра, прежде чем трафик достигнет серверов источников. Этот механизм эффективен против ботов, использующих простые HTTP-библиотеки, веб-скрейперов и распределенных сетей атак типа отказ в обслуживании (DDoS). Вызов JavaScript проверяет возможности браузера, не требуя взаимодействия с пользователями, как это требует CAPTCHA, предлагая компромисс между разрешением всего трафика и блокировкой подозрительных ботов напрямую. Действие исправления | Средняя | Low | Low |
| Брандмауэр веб-приложений Azure Front Door (WAF) поддерживает вызов CAPTCHA в качестве механизма защиты от сложных ботов и автоматизированных средств в глобальной пограничной сети. CAPTCHA представляет пользователям визуальную или звуковую головоломку, требующую человеческой когнитивной способности решать, доказывая, что запрос исходит от реального человека, а не бота. Пользователи, которые успешно завершили CAPTCHA, получают файл cookie запроса, разрешающий обычный доступ до истечения срока действия, а боты, которые не могут решить головоломку, блокируются на краю. CAPTCHA эффективнее, чем вызов JavaScript, против продвинутых ботов, использующих безголовые браузеры с полной поддержкой JavaScript, так как она требует когнитивных способностей на уровне человека. Настроив пользовательские правила с помощью действия вызова CAPTCHA, организации могут защищать высокочувствительные конечные точки, такие как страницы входа, формы регистрации и страницы оплаты от автоматизированного злоупотребления. Действие исправления | Средняя | Low | Low |
| Брандмауэр веб-приложений Azure Front Door (WAF) защищает веб-приложения от распространенных эксплойтов, включая внедрение SQL, межсайтовые скрипты и угрозы из Проекта по обеспечению безопасности приложений Open Worldwide (OWASP) TOP 10 на границе сети, прежде чем вредоносный трафик достигнет серверов-источников. Если ведение журнала диагностики не включено, команды безопасности теряют видимость заблокированных атак, совпадений правил, шаблонов доступа и событий WAF на границе. Без ведения журналов субъекты угроз, пытающиеся использовать уязвимости, остаются незамеченными, и реагирующие на инциденты не могут построить временные шкалы атак. WAF Azure Front Door предоставляет журналы доступа и журналы WAF, которые должны направляться в Log Analytics, учетную запись хранения или концентратор событий для мониторинга безопасности и криминалистического анализа. Действие исправления | High | Low | Low |