Azure Application Gateway üzerinde Azure Web Uygulaması Güvenlik Duvarı nedir?

Azure Application Gateway üzerinde Azure Web Uygulaması Güvenlik Duvarı (WAF), web uygulamalarınızın yaygın açıklardan yararlanma ve güvenlik açıklarına karşı merkezi olarak korunmasını sağlar. Web uygulamaları, yaygın olarak bilinen güvenlik açıklarından yararlanan kötü amaçlı saldırılar tarafından giderek daha fazla hedefleniyor. SQL ekleme ve siteler arası betikler en yaygın saldırılar arasındadır.

Application Gateway üzerinde WAF, Open Web Application Security Project'ten (OWASP) Temel Kural Kümesi'ni (CRS) temel alır.

Aşağıda listelenen tüm WAF özellikleri bir WAF ilkesinin içinde bulunur. Birden çok ilke oluşturabilirsiniz ve bunlar bir Application Gateway, tek tek dinleyicilerle veya bir Application Gateway yol tabanlı yönlendirme kurallarıyla ilişkilendirilebilir. Bu şekilde, gerekirse Application Gateway arkasında her site için ayrı ilkeler oluşturabilirsiniz. WAF ilkeleri hakkında daha fazla bilgi için bkz. WAF İlkesi Oluşturma.

Not

Application Gateway WAF sku'nun iki sürümü vardır: Application Gateway WAF_v1 ve Application Gateway WAF_v2. WAF ilke ilişkilendirmeleri yalnızca Application Gateway WAF_v2 sku'su için desteklenir.

WAF diyagramını Application Gateway

Application Gateway bir uygulama teslim denetleyicisi (ADC) olarak çalışır. Daha önce Güvenli Yuva Katmanı (SSL) olarak bilinen Aktarım Katmanı Güvenliği (TLS), sonlandırma, tanımlama bilgisi tabanlı oturum benzimi, hepsini bir kez deneme yük dağıtımı, içerik tabanlı yönlendirme, birden çok web sitesi barındırma özelliği ve güvenlik geliştirmeleri sunar.

Application Gateway güvenlik geliştirmeleri TLS ilke yönetimini ve uçtan uca TLS desteğini içerir. Uygulama güvenliği, WAF'nin Application Gateway tümleştirmesi ile güçlendirilir. Bu birleşim, web uygulamalarınızı yaygın güvenlik açıklarına karşı korur. Ayrıca yönetilebilir, yapılandırması kolay bir merkezi konum sağlar.

Avantajlar

Bu bölümde, Application Gateway üzerinde WAF'nin sağladığı temel avantajlar açıklanmaktadır.

Koruma

  • Arka uç kodunda değişiklik yapmadan web uygulamalarınızı web güvenlik açıklarına ve saldırılara karşı koruyun.

  • Aynı anda birden çok web uygulamasını koruyun. bir Application Gateway örneği, bir web uygulaması güvenlik duvarı tarafından korunan en fazla 40 web sitesini barındırabilir.

  • Aynı WAF'nin arkasındaki farklı siteler için özel WAF ilkeleri oluşturma

  • IP Saygınlığı kural kümesiyle web uygulamalarınızı kötü amaçlı botlardan koruma

İzleme

  • Gerçek zamanlı bir WAF günlüğü kullanarak web uygulamalarınıza yönelik saldırıları izleyin. Günlük, WAF uyarılarını izlemek ve eğilimleri kolayca izlemek için Azure İzleyici ile tümleşiktir.

  • Application Gateway WAF, Bulut için Microsoft Defender ile tümleşiktir. Bulut için Defender tüm Azure, hibrit ve çoklu bulut kaynaklarınızın güvenlik durumunun merkezi bir görünümünü sağlar.

Özelleştirme

  • WAF kurallarını ve kural gruplarını uygulama gereksinimlerinize uyacak şekilde özelleştirin ve hatalı pozitif sonuçları ortadan kaldırın.

  • Siteye özgü yapılandırmaya izin vermek için WAF'nizin arkasındaki her site için bir WAF İlkesini ilişkilendirme

  • Uygulamanızın gereksinimlerine uygun özel kurallar oluşturma

Özellikler

  • SQL ekleme koruması.
  • Siteler arası betik koruması.
  • Komut ekleme, HTTP isteği kaçakçılığı, HTTP yanıt bölme ve uzak dosya ekleme gibi diğer yaygın web saldırılarına karşı koruma.
  • HTTP protokolü ihlallerine karşı koruma.
  • Eksik konak kullanıcı aracısı ve kabul üst bilgileri gibi HTTP protokolü anomalilerine karşı koruma.
  • Gezgin ve tarayıcılara karşı koruma.
  • Yaygın uygulama yanlış yapılandırmalarını algılama (örneğin, Apache ve IIS).
  • Alt ve üst sınırları olan yapılandırılabilir istek boyutu sınırları.
  • Dışlama listeleri, BIR WAF değerlendirmesinden belirli istek özniteliklerini atlamanıza olanak tanır. Yaygın bir örnek, kimlik doğrulaması veya parola alanları için kullanılan Active Directory tarafından eklenen belirteçlerdir.
  • Uygulamalarınızın belirli gereksinimlerine uygun özel kurallar oluşturun.
  • Belirli ülkelerin/bölgelerin uygulamalarınıza erişmesine izin vermek veya bunları engellemek için trafiği coğrafi olarak filtreleyin.
  • Bot risk azaltma kural kümesiyle uygulamalarınızı botlardan koruyun.
  • İstek gövdesinde JSON ve XML'yi inceleme

WAF ilkesi ve kuralları

Application Gateway bir Web Uygulaması Güvenlik Duvarı etkinleştirmek için bir WAF ilkesi oluşturmanız gerekir. Bu ilke, tüm yönetilen kuralların, özel kuralların, dışlamaların ve dosya karşıya yükleme sınırı gibi diğer özelleştirmelerin bulunduğu yerdir.

Bir WAF ilkesi yapılandırabilir ve bu ilkeyi koruma için bir veya daha fazla uygulama ağ geçidiyle ilişkilendirebilirsiniz. WAF ilkesi iki tür güvenlik kuralından oluşur:

  • Oluşturduğunuz özel kurallar

  • Azure tarafından yönetilen önceden yapılandırılmış kural kümesi koleksiyonu olan yönetilen kural kümeleri

Her ikisi de mevcut olduğunda, özel kurallar yönetilen bir kural kümesindeki kurallar işlenmeden önce işlenir. Kural eşleşme koşulu, öncelik ve eylemden oluşur. Desteklenen eylem türleri şunlardır: ALLOW, BLOCK ve LOG. Yönetilen ve özel kuralları birleştirerek belirli uygulama koruma gereksinimlerinizi karşılayan tam olarak özelleştirilmiş bir ilke oluşturabilirsiniz.

İlke içindeki kurallar öncelik sırasına göre işlenir. Öncelik, işlenmek üzere kuralların sırasını tanımlayan benzersiz bir tamsayıdır. Daha küçük tamsayı değeri daha yüksek bir önceliği belirtir ve bu kurallar daha yüksek bir tamsayı değerine sahip kurallardan önce değerlendirilir. Bir kural eşleştirildikten sonra, kuralda tanımlanan ilgili eylem isteğe uygulanır. Böyle bir eşleşme işlendikten sonra, düşük önceliğe sahip kurallar daha fazla işlenmez.

Application Gateway tarafından teslim edilen bir web uygulamasının genel düzeyde, site düzeyinde veya URI düzeyinde ilişkili bir WAF ilkesi olabilir.

Çekirdek kural kümeleri

Application Gateway CRS 3.2, CRS 3.1 ve CRS 3.0 gibi birden çok kural kümesini destekler. Bu kurallar web uygulamalarınızı kötü amaçlı etkinliklerden korur.

Daha fazla bilgi için bkz . Web uygulaması güvenlik duvarı CRS kural grupları ve kuralları.

Özel kurallar

Application Gateway özel kuralları da destekler. Özel kurallarla, WAF üzerinden geçen her istek için değerlendirilen kendi kurallarınızı oluşturabilirsiniz. Bu kurallar, yönetilen kural kümelerindeki kuralların geri kalanından daha yüksek önceliğe sahip olur. Bir dizi koşul karşılanırsa, izin vermek veya engellemek için bir eylem gerçekleştirilir.

Coğrafi eşleşme işleci artık özel kurallar için kullanılabilir. Daha fazla bilgi için bkz. coğrafi eşleşme özel kuralları .

Özel kurallar hakkında daha fazla bilgi için bkz. Application Gateway için Özel Kurallar.

Bot koruma kuralı kümesi

Yönetilen bot koruma kuralı kümesini etkinleştirerek tüm bot kategorilerinden gelen istekler üzerinde özel eylemler gerçekleştirebilirsiniz.

Üç bot kategorisi desteklenir:

  • Kötü

    Kötü amaçlı botlar, kötü amaçlı IP adreslerinden gelen botları ve kimliklerini tahrif eden botları içerir. Kötü amaçlı IP'leri olan kötü amaçlı botlar, Microsoft Threat Intelligence akışının yüksek güvenilirlikli IP Güvenlik Ihlal Göstergelerinden kaynaklanmaktadır.

  • İyi

    İyi botlar Googlebot, bingbot ve diğer güvenilir kullanıcı aracıları gibi doğrulanmış arama motorlarını içerir.

  • Bilinmiyor

    Bilinmeyen botlar, yayımlanmış kullanıcı aracıları aracılığıyla ek doğrulama olmadan sınıflandırılır. Örneğin, pazar çözümleyicisi, akış getiricileri ve veri toplama aracıları. Bilinmeyen botlar, Microsoft Tehdit Bilgileri akışının orta düzeyde güvenilirlikte olan GüvenlikTen Ödün Verme IP Göstergelerinden kaynaklanan kötü amaçlı IP adreslerini de içerir.

Bot imzaları WAF platformu tarafından yönetilir ve dinamik olarak güncelleştirilir.

Bot kural kümesinin ekran görüntüsü.

Microsoft_BotManagerRuleSet_1.0'ı, Yönetilen Kural Kümeleri altındaki Ata seçeneğini kullanarak atayabilirsiniz:

Yönetilen kural kümeleri atama'nın ekran görüntüsü.

Bot koruması etkinse, bot kurallarıyla eşleşen gelen istekler yapılandırılan eyleme göre engellenir, izin verilir veya günlüğe kaydedilir. Kötü amaçlı botlar engellenir, doğrulanmış arama motoru gezinmelerine izin verilir, bilinmeyen arama motoru gezinmeleri engellenir ve bilinmeyen botlar varsayılan olarak günlüğe kaydedilir. Farklı bot türlerini engellemek, izin vermek veya günlüğe kaydetmek için özel eylemler ayarlayabilirsiniz.

WaF günlüklerine depolama hesabından, olay hub'ından, log analytics'ten erişebilir veya günlükleri bir iş ortağı çözümüne gönderebilirsiniz.

WAF modları

Application Gateway WAF, aşağıdaki iki modda çalışacak şekilde yapılandırılabilir:

  • Algılama modu: Tüm tehdit uyarılarını izler ve günlüğe kaydeder. Tanılama bölümünde Application Gateway için günlüğe kaydetme tanılamasını açarsınız. WAF günlüğünün seçili ve açık olduğundan da emin olmanız gerekir. Web uygulaması güvenlik duvarı, Algılama modunda çalışırken gelen istekleri engellemez.
  • Önleme modu: Kuralların algı yaptığı yetkisiz erişimleri ve saldırıları engeller. Saldırgan "403 yetkisiz erişim" özel durumu alır ve bağlantı kapatılır. Önleme modu bu tür saldırıları WAF günlüklerine kaydeder.

Not

Algılama modunda yeni dağıtılan bir WAF'yi üretim ortamında kısa bir süre çalıştırmanız önerilir. Bu, Önleme moduna geçişten önce güvenlik duvarı günlüklerini alma ve özel durumları veya özel kuralları güncelleştirme fırsatı sağlar. Bu, beklenmeyen engellenen trafiğin oluşmasını azaltmaya yardımcı olabilir.

WAF motorları

Azure web uygulaması güvenlik duvarı (WAF) altyapısı, trafiği inceleyen ve bir isteğin olası bir saldırıyı temsil eden bir imza içerip içermediğini belirleyen bileşendir. CRS 3.2 veya üzerini kullandığınızda, WAF'niz size daha yüksek performans ve gelişmiş özellikler sunan yeni WAF altyapısını çalıştırır. CRS'nin önceki sürümlerini kullandığınızda WAF'niz eski bir altyapıda çalışır. Yeni özellikler yalnızca yeni Azure WAF altyapısında kullanılabilir.

WAF eylemleri

WAF müşterileri, bir istek bir kural koşullarıyla eşleştiğinde hangi eylemin çalıştırileceğini seçebilir. Aşağıda desteklenen eylemler listelenmiştir.

  • İzin Ver: İstek WAF'dan geçer ve arka uca iletilir. Daha düşük öncelikli kurallar bu isteği engelleyebilir. İzin verme eylemleri yalnızca Bot Yöneticisi kural kümesi için geçerlidir ve Çekirdek Kural Kümesi için geçerli değildir.
  • Engelle: İstek engellenir ve WAF, isteği arka uca iletmeden istemciye bir yanıt gönderir.
  • Günlük: İstek WAF günlüklerine kaydedilir ve WAF düşük öncelikli kuralları değerlendirmeye devam eder.
  • Anomali puanı: Bu eyleme sahip bir kural eşleştiğinde toplam anomali puanının artırıldığı CRS kural kümesi için varsayılan eylemdir. Anomali puanlaması Bot Yöneticisi kural kümesi için geçerli değildir.

Anomali Puanlama modu

OWASP,trafiğin engellenip engellenmeyeceğine karar vermek için iki moda sahiptir: Geleneksel mod ve Anomali Puanlama modu.

Geleneksel modda, herhangi bir kuralla eşleşen trafik, diğer kural eşleşmelerinden bağımsız olarak kabul edilir. Bu modu anlamak kolaydır. Ancak belirli bir istekle eşleşen kural sayısı hakkında bilgi eksikliği bir sınırlamadır. Bu nedenle Anomali Puanlama modu kullanıma sunulmuştur. OWASP 3 için varsayılan değerdir. x.

Anomali Puanlama modunda, güvenlik duvarı Önleme modundayken herhangi bir kuralla eşleşen trafik hemen engellenmez. Kuralların belirli bir önem derecesi vardır: Kritik, Hata, Uyarı veya Bildirim. Bu önem derecesi, istek için Anomali Puanı olarak adlandırılan sayısal bir değeri etkiler. Örneğin, bir Uyarı kuralı eşleşmesi puana 3 katkıda bulunur. Bir Kritik kural eşleşmesi 5'e katkıda bulunur.

Önem Derecesi Değer
Kritik 5
Hata 4
Uyarı 3
Fark 2

Anomali Puanının trafiği engellemesi için 5 eşiği vardır. Bu nedenle, Application Gateway WAF'nin önleme modunda bile bir isteği engellemesi için tek bir Kritik kural eşleşmesi yeterlidir. Ancak bir Uyarı kuralı eşleşmesi yalnızca Anomali Puanı'nı 3 artırır ve bu da trafiği engellemek için tek başına yeterli değildir.

Not

WAF kuralı trafikle eşleştiğinde günlüğe kaydedilen ileti "Eşleştirildi" eylem değerini içerir. Eşleşen tüm kuralların toplam anomali puanı 5 veya daha büyükse ve WAF ilkesi Önleme modunda çalışıyorsa, istek "Engellendi" eylem değerine sahip zorunlu bir anomali kuralı tetikler ve istek durdurulur. Ancak WAF ilkesi Algılama modunda çalışıyorsa, istek "Algılandı" eylem değerini tetikler ve istek günlüğe kaydedilir ve arka uçtan geçirilir. Daha fazla bilgi için bkz. Azure Application Gateway için Web Uygulaması Güvenlik Duvarı (WAF) sorunlarını giderme.

Yapılandırma

Azure portal, REST API'leri, Azure Resource Manager şablonlarını ve Azure PowerShell kullanarak tüm WAF ilkelerini yapılandırabilir ve dağıtabilirsiniz. Ayrıca Güvenlik Duvarı Yöneticisi tümleştirmesini (önizleme) kullanarak Azure WAF ilkelerini uygun ölçekte yapılandırabilir ve yönetebilirsiniz. Daha fazla bilgi için bkz. Web Uygulaması Güvenlik Duvarı ilkelerini yönetmek için Azure Güvenlik Duvarı Yöneticisi'ni kullanma (önizleme).

WAF izleme

Uygulama ağ geçidinizin durumunu izlemek önemlidir. BULUT, Azure İzleyici ve Azure İzleyici günlükleri için Microsoft Defender tümleştirmesi ile WAF'nizin ve koruduğu uygulamaların durumunun izlenmesi desteklenir.

Application Gateway WAF tanılama diyagramı

Azure İzleyici

Application Gateway günlükleri Azure İzleyici ile tümleştirilir. Bu, WAF uyarıları ve günlükleri de dahil olmak üzere tanılama bilgilerini izlemenizi sağlar. Bu özelliğe portaldaki Application Gateway kaynağındaki Tanılama sekmesinden veya doğrudan Azure İzleyici üzerinden erişebilirsiniz. Günlükleri etkinleştirme hakkında daha fazla bilgi edinmek için bkz. tanılama Application Gateway.

Bulut için Microsoft Defender

Bulut için Defender tehditleri önlemenize, algılamanıza ve yanıtlamanıza yardımcı olur. Azure kaynaklarınızın güvenliği üzerinde daha fazla görünürlük ve denetim sağlar. Application Gateway Bulut için Defender ile tümleşiktir. Bulut için Defender, korumasız web uygulamalarını algılamak için ortamınızı tarar. Bu savunmasız kaynakları korumak için Application Gateway WAF önerebilir. Güvenlik duvarlarını doğrudan Bulut için Defender'dan oluşturursunuz. Bu WAF örnekleri Bulut için Defender ile tümleşiktir. Bulut için Defender'a raporlama için uyarılar ve sistem durumu bilgileri gönderir.

Bulut için Defender'a genel bakış penceresi

Microsoft Sentinel

Microsoft Sentinel ölçeklenebilir, buluta özel, güvenlik bilgileri olay yönetimi (SIEM) ve güvenlik düzenleme otomatik yanıtı (SOAR) çözümüdür. Microsoft Sentinel, kuruluş genelinde akıllı güvenlik analizi ve tehdit bilgileri sunarak uyarı algılama, tehdit görünürlüğü, proaktif tehdit avcılığı ve tehdit yanıtı için tek bir çözüm sunar.

Yerleşik Azure WAF güvenlik duvarı olayları çalışma kitabıyla WAF'nizdeki güvenlik olaylarına genel bir bakış elde edebilirsiniz. Buna olaylar, eşleşen ve engellenen kurallar ve güvenlik duvarı günlüklerinde günlüğe kaydedilen diğer her şey dahildir. Aşağıda günlüğe kaydetme hakkında daha fazla bilgi bulabilirsiniz.

Azure WAF güvenlik duvarı olayları çalışma kitabı

WAF için Azure İzleyici Çalışma Kitabı

Bu çalışma kitabı, filtrelenebilir çeşitli panellerde güvenlikle ilgili WAF olaylarının özel görselleştirmesini sağlar. Application Gateway, Front Door ve CDN dahil olmak üzere tüm WAF türleriyle çalışır ve WAF türüne veya belirli bir WAF örneğine göre filtrelenebilir. ARM Şablonu veya Galeri Şablonu aracılığıyla içeri aktar. Bu çalışma kitabını dağıtmak için bkz. WAF Çalışma Kitabı.

Günlüğe Kaydetme

Application Gateway WAF algılanan her tehditle ilgili ayrıntılı raporlama sağlar. Günlüğe kaydetme, Azure Tanılama günlüklerle tümleşiktir. Uyarılar .json biçiminde kaydedilir. Bu günlükler Azure İzleyici günlükleriyle tümleştirilebilir.

Tanılama günlükleri pencerelerini Application Gateway

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "52.161.109.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/1496a758-b2ff-43ef-b738-8e9eb5161a86/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Application Gateway WAF SKU fiyatlandırması

Fiyatlandırma modelleri WAF_v1 ve WAF_v2 SKU'lar için farklıdır. Daha fazla bilgi edinmek için lütfen Application Gateway fiyatlandırma sayfasına bakın.

Yenilikler

Azure Web Uygulaması Güvenlik Duvarı ile ilgili yenilikler hakkında bilgi edinmek için bkz. Azure güncelleştirmeleri.

Sonraki adımlar