Как маскировать чувствительные данные в веб-брандмауэре приложений Azure

Инструмент очистки журналов брандмауэра веб-приложений (WAF) позволяет удалять конфиденциальные данные из журналов WAF. Он работает с помощью обработчика правил, который позволяет создавать пользовательские правила для идентификации определенных частей запроса, содержащих конфиденциальные данные. После идентификации инструмент удаляет эти данные из журналов и заменяет их на *******.

Примечание.

Функция очистки журналов поддерживается только в Брандмауэр веб-приложений, на которых запущен последний модуль WAF. Выберите OWASP CRS 3.2 или набор правил по умолчанию 2.1 в качестве управляемого набора правил.

Примечание.

При включении функции очистки журналов корпорация Майкрософт по-прежнему сохраняет IP-адреса во внутренних журналах для поддержки критически важных функций безопасности.

В следующей таблице показаны примеры правил очистки журналов, которые можно использовать для защиты конфиденциальных данных:

Совпадать с переменной	Оператор	Селектор	Что подлежит чистке
Имена заголовков запросов	Равно	X-Forwarded-For (переданный адрес)	ЗАГОЛОВКИ_ЗАПРОСА:x-forwarded-for.","данные":"******"
Запрос имен файлов cookie	Равно	файл cookie1	Соответствующие данные: ****** найдены в REQUEST_COOKIES:cookie1: ******
Имена аргументов запроса	Равно	Арг1	"requestUri":"/?arg1=******"
Запрос имен аргументов post	Равно	Сообщение1	"data":"Matched Data: ****** найден в ARGS:post1: ******"
Запрос имен аргументов JSON	Равно	Жсонарг	"data":"Совпавшие данные: ****** обнаружены в ARGS:jsonarg: ******"
Запрос IP-адреса*	Соответствует любому	Отсутствует	"clientIp":"******"

* Правила для IP-адресов запроса поддерживают только оператор равен любому и удаляют все случаи IP-адреса запрашивающего, которые отображаются в журналах WAF.

Дополнительные сведения см. в статье «Что такое защита конфиденциальных данных в брандмауэре веб-приложений Azure?»

Включение защиты конфиденциальных данных

Используйте следующие сведения, чтобы включить и настроить защиту конфиденциальных данных.

Портал

Чтобы включить защиту конфиденциальных данных, выполните приведенные действия.

1. Откройте существующую политику WAF Application Gateway.
2. В разделе "Параметры" выберите "Конфиденциальные данные".
3. На странице "Конфиденциальные данные " выберите "Включить очистку журнала".

Чтобы настроить правила очистки журналов для защиты конфиденциальных данных, выполните следующие действия.

1. В разделе "Правила очистки журналов" выберите переменную для сопоставления.
2. Выберите оператор (если применимо).
3. Введите селектор (если применимо).
4. Выберите Сохранить.

Повторите, чтобы добавить дополнительные правила.

PowerShell

Используйте следующие команды Azure PowerShell для создания и настройки правил scrubbing журнала для защиты конфиденциальных данных:

$logScrubbingRule1 = New-AzApplicationGatewayFirewallPolicyLogScrubbingRule `
  -State <String> -MatchVariable <String> `
  -SelectorMatchOperator <String> -Selector <String>

$logScrubbingRuleConfig = New-AzApplicationGatewayFirewallPolicyLogScrubbingConfiguration `
  -State <String> -ScrubbingRule $logScrubbingRule1

CLI

Используйте следующие команды интерфейса командной строки для создания и настройки правил очистки журнала для защиты конфиденциальных данных.

az network application-gateway waf-policy policy-setting update -g <MyResourceGroup> --policy-name <MyPolicySetting> --log-scrubbing-state <Enabled/Disabled> --scrubbing-rules "[{state:<Enabled/Disabled>,match-variable:<MatchVariable>,selector-match-operator:<Operator>,selector:<Selector>}]"

Проверка защиты конфиденциальных данных

Чтобы проверить правила защиты конфиденциальных данных, откройте журнал брандмауэра Шлюз приложений и найдите ****** вместо конфиденциальных полей.

Следующие шаги

• Используйте Log Analytics для проверки журналов веб-приложения брандмауэра (WAF) шлюза приложений