Рекомендации по azure Брандмауэр веб-приложений в Azure Front Door

В этой статье приведены рекомендации по использованию Azure Брандмауэр веб-приложений в Azure Front Door.

Общие рекомендации

В этом разделе рассматриваются общие рекомендации.

Включение WAF

Для приложений, подключенных к Интернету, рекомендуется включить брандмауэр веб-приложения (WAF) и настроить его для использования управляемых правил. При использовании WAF и правил, управляемых Майкрософт, приложение защищено от целого ряда атак.

Настройка WAF

Правила в WAF должны быть настроены для рабочей нагрузки. Если вы не настроите WAF, он может случайно заблокировать разрешенные запросы. В ходе настройки можно создать исключения из правил, чтобы уменьшить количество ложных срабатываний.

При настройке WAF рекомендуется использовать режим обнаружения. Этот режим регистрирует запросы и действия WAF обычно выполняются, но фактически не блокирует трафик.

Дополнительные сведения см. в статье "Настройка Azure Брандмауэр веб-приложений для Azure Front Door".

Использование режима предотвращения

После настройки WAF настройте его для запуска в режиме предотвращения. Выполняя в режиме предотвращения, убедитесь, что WAF блокирует запросы, обнаруженные злоумышленниками. Работа в режиме обнаружения полезна при настройке и настройке WAF, но она не обеспечивает защиту.

Определение конфигурации WAF в виде кода

При настройке WAF для рабочей нагрузки приложений обычно создается набор исключений для правил, призванный уменьшить количество ложных срабатываний. Если вы вручную настраиваете эти исключения с помощью портал Azure, при обновлении WAF до использования более новой версии набора правил необходимо перенастроить те же исключения для новой версии набора правил. Этот процесс может занять много времени и сопровождаться ошибками.

Вместо этого рекомендуется определить исключения правил WAF и другую конфигурацию как код, например с помощью Azure CLI, Azure PowerShell, Bicep или Terraform. При необходимости обновить версию набора правил WAF можно легко использовать те же исключения.

Рекомендации по набору управляемых правил

В этом разделе рассматриваются рекомендации по наборам правил.

Включение наборов правил по умолчанию

Наборы правил Майкрософт по умолчанию предназначены для защиты приложения путем обнаружения и блокировки распространенных атак. Правила основаны на различных источниках, включая типы атак OWASP верхнего 10 и информацию из Microsoft Threat Intelligence.

Дополнительные сведения см. в разделе Управляемые наборы правил Azure.

Включение правил управления ботами

Боты отвечают за значительную долю трафика в веб-приложениях. Набор правил защиты от ботов в WAF разделяет боты на хорошие, плохие и неизвестные. После этого плохие боты могут быть заблокированы, а хорошие боты, например поисковые системы, разрешены.

Дополнительные сведения см. в разделе Набор правил защиты от ботов.

Использование последних версий набора правил

Майкрософт регулярно обновляет управляемые правила, учитывая текущий ландшафт угроз. Регулярно проверяйте наличие обновлений для наборов правил, управляемых Azure.

Дополнительные сведения см. в статье Azure Брандмауэр веб-приложений группы правил и правила DRS.

Рекомендации по ограничению скорости

В этом разделе рассматриваются рекомендации по ограничению скорости.

Добавление ограничения частоты

WAF Azure Front Door позволяет контролировать количество запросов, разрешенных по IP-адресу каждого клиента за период времени. Рекомендуется добавить ограничение скорости для уменьшения влияния клиентов случайно или намеренной отправки большого объема трафика в службу, например во время повторных попыток.

Дополнительные сведения см. на следующих ресурсах:

• Что такое ограничение скорости для Azure Front Door?.
• Настройте правило ограничения скорости Брандмауэр веб-приложений Azure с помощью Azure PowerShell.
• Почему дополнительные запросы, превышающие пороговое значение, настроенное для правила ограничения скорости, передаются на сервер серверной части?

Использование высокого порогового значения для ограничений скорости

Как правило, рекомендуется задать пороговое значение ограничения скорости, чтобы быть высоким. Например, если известно, что один IP-адрес клиента может отправлять около 10 запросов на сервер каждую минуту, рекомендуется указать пороговое значение равным 20 запросам в минуту.

Пороговые значения с высоким уровнем скорости не блокируют допустимый трафик. Эти пороговые значения по-прежнему обеспечивают защиту от очень большого числа запросов, которые могут перегружать инфраструктуру.

Рекомендации по геофильтрации

В этом разделе рассматриваются рекомендации по геофильтрации.

Геофильтрация трафика

Многие веб-приложения предназначены для пользователей в определенном географическом регионе. Если эта ситуация относится к приложению, рассмотрите возможность реализации геофильтрации для блокировки запросов, поступающих извне стран или регионов, от которых ожидается получение трафика.

Дополнительные сведения см. в статье "Что такое геофильтрация в домене для Azure Front Door?".

Указание неизвестного расположения (ZZ)

Некоторые IP-адреса не сопоставляются с расположениями в нашем наборе данных. Если IP-адрес не удается сопоставить с расположением, WAF назначает трафик неизвестной стране или региону. Чтобы избежать блокировки допустимых запросов с этих IP-адресов, рекомендуется разрешить страну или регион неизвестной (ZZ) через геофильтр.

Дополнительные сведения см. в статье "Что такое геофильтрация в домене для Azure Front Door?".

Ведение журналов

В этом разделе рассматривается ведение журнала.

Добавление параметров диагностики для сохранения журналов WAF

WAF Azure Front Door интегрируется с Azure Monitor. Важно сохранить журналы WAF в месте назначения, например Log Analytics. Регулярно просматривайте журналы WAF. Просмотр журналов помогает настроить политики WAF для уменьшения ложноположительных обнаружений и понять, является ли ваше приложение предметом атак.

Дополнительные сведения см. в статье Ведение журнала и мониторинг в Брандмауэре веб-приложения Azure.

Отправка журналов в Microsoft Sentinel

Microsoft Sentinel — это система управления информационной безопасностью и событиями безопасности (SIEM), которая импортирует журналы и данные из нескольких источников, чтобы понять ландшафт угроз для веб-приложения и общей среды Azure. Журналы WAF Azure Front Door следует импортировать в Microsoft Sentinel или другой SIEM, чтобы ваши свойства, доступные в Интернете, были включены в его анализ. Для Microsoft Sentinel используйте соединитель Azure WAF, чтобы легко импортировать журналы WAF.

Дополнительные сведения см. в статье Об использовании Microsoft Sentinel с Брандмауэр веб-приложений Azure.

Следующие шаги

Узнайте, как создать политику WAF Azure Front Door.