Azure Content Delivery Network'te Azure Web Uygulaması Güvenlik Duvarı

Azure Content Delivery Network'te Azure Web Uygulaması Güvenlik Duvarı dağıtımı, web içeriğiniz için merkezi koruma sağlar. Azure Web Uygulaması Güvenlik Duvarı, web hizmetlerinizi yaygın açıklara ve güvenlik açıklarına karşı korur. Hizmetinizin kullanıcılarınız için yüksek oranda kullanılabilir kalmasına yardımcı olur ve uyumluluk gereksinimlerini karşılamanıza yardımcı olur.

Önemli

Azure Content Delivery Network'te Azure Web Uygulaması Güvenlik Duvarı önizlemesi artık yeni müşterileri kabul etmemektedir. Müşterilerin bunun yerine Azure Front Door'da Azure Web Uygulaması Güvenlik Duvarı'nı kullanmasını öneririz.

Mevcut müşterilere bir önizleme hizmet düzeyi sözleşmesi sunuyoruz. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir. Ayrıntılar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Azure Content Delivery Network'te Azure Web Uygulaması Güvenlik Duvarı genel ve merkezi bir çözümdür. Dünyanın dört bir yanındaki Azure ağ uç konumlarına dağıtılır. Azure Web Uygulaması Güvenlik Duvarı, saldırı kaynaklarınıza yakın kötü amaçlı saldırıları, kaynağınıza ulaşmadan önce durdurur. Performansdan ödün vermeden büyük ölçekte küresel koruma elde edersiniz.

Web uygulaması güvenlik duvarı (WAF) ilkesi, aboneliğinizdeki herhangi bir içerik teslim ağı (CDN) uç noktasına bağlanır. Değişen tehdit desenlerine hızlı bir şekilde yanıt verebilmek için dakikalar içinde yeni kurallar dağıtabilirsiniz.

Azure Content Delivery Network'teki Azure Web Uygulaması Güvenlik Duvarı'nın gelen istekler üzerinde nasıl eylemde bulunduğunu gösteren diyagram.

WAF ilkesi ve kuralları

Bir WAF ilkesi yapılandırabilir ve bu ilkeyi koruma için bir veya daha fazla CDN uç noktasıyla ilişkilendirebilirsiniz. WAF ilkesi iki tür güvenlik kuralından oluşur:

  • Özel kurallar: Kendiniz oluşturabileceğiniz kurallar.
  • Yönetilen kural kümeleri: Etkinleştirebileceğiniz Azure tarafından yönetilen önceden yapılandırılmış kurallar.

Her ikisi de mevcut olduğunda WAF, yönetilen kural kümesindeki kuralları işlemeden önce özel kuralları işler.

Kural eşleşme koşulu, öncelik ve eylemden oluşur. Desteklenen eylem türleri : ALLOW, BLOCK, LOGve REDIRECT. Yönetilen ve özel kuralları birleştirerek uygulama koruma gereksinimlerinizi karşılayan tam olarak özelleştirilmiş bir ilke oluşturabilirsiniz.

WAF, ilke içindeki kuralları öncelik sırasına göre işler. Öncelik, işlenmek üzere kuralların sırasını tanımlayan benzersiz bir tamsayıdır. Daha küçük sayılar daha yüksek önceliklidir ve WAF bu kuralları daha büyük bir değere sahip kurallardan önce değerlendirir. WAF bir kuralı istekle eşleştirdikten sonra, kuralın isteğe tanımladığı ilgili eylemi uygular. WAF böyle bir eşleşmeyi işledikten sonra, daha düşük önceliğe sahip kurallar daha fazla işlenmez.

Azure Content Delivery Network'te barındırılan bir web uygulamasının aynı anda kendisiyle ilişkilendirilmiş tek bir WAF ilkesi olabilir. Ancak, kendisiyle ilişkilendirilmiş WAF ilkeleri olmayan bir CDN uç noktanız olabilir. WaF ilkesi varsa, dünya genelinde tutarlı güvenlik ilkeleri sağlamak için tüm uç konumlara çoğaltılır.

Özel kurallar

Özel kurallar şunları içerebilir:

  • Eşleştirme kuralları: Aşağıdaki özel eşleştirme kurallarını yapılandırabilirsiniz:

    • IP izin verilenler listesi ve blok listesi: web uygulamalarınıza erişimi istemci IP adresleri veya IP adresi aralıkları listesine göre denetleyebilirsiniz. Hem IPv4 hem de IPv6 adres türleri desteklenir.

      IP listesi kuralları, WAF'nin kullandığı değeri değil SocketAddress istek üst bilgisinde X-Forwarded-For bulunan IP'yi kullanırRemoteAddress. IP listelerini, IP'nin listedeki bir IP ile eşleştiği RemoteAddress istekleri engelleyecek veya izin verecek şekilde yapılandırabilirsiniz.

      WAF'nin kullandığı kaynak IP adresinde istekleri engelleme gereksiniminiz varsa (örneğin, kullanıcı bir ara sunucunun arkasındaysa ara sunucu adresi), Azure Front Door Standard veya Premium katmanını kullanmanız gerekir. Daha fazla bilgi için bkz. Azure Front Door için WAF ile IP kısıtlama kuralı yapılandırma.

    • Coğrafi tabanlı erişim denetimi: Bir istemcinin IP adresiyle ilişkili ülke koduna göre web uygulamalarınıza erişimi denetleyebilirsiniz.

    • HTTP parametreleri tabanlı erişim denetimi: HTTP veya HTTPS isteği parametrelerindeki dize eşleşmelerine göre kuralları temel alabilirsiniz. Örnek olarak sorgu dizeleri, bağımsız değişkenler, POST istek URI'si, istek üst bilgisi ve istek gövdesi verilebilir.

    • İstek yöntemi tabanlı erişim denetimi: Kuralları isteğin HTTP istek yöntemine göre temel alabilirsiniz. Örnek olarak GET, PUTve HEADverilebilir.

    • Boyut kısıtlaması: Kuralları sorgu dizesi, URI veya istek gövdesi gibi bir isteğin belirli bölümlerinin uzunluklarına dayandırabilirsiniz.

  • Hız denetimi kuralları: Bu kurallar herhangi bir istemci IP adresinden gelen anormal yüksek trafiği sınırlar.

    Bir dakikalık süre boyunca bir istemci IP adresinden izin verilen web isteği sayısı üzerinde bir eşik yapılandırabilirsiniz. Bu kural, istemci IP adresinden gelen tüm isteklerin tümüne izin veren veya engelleyen IP listesi tabanlı özel kuraldan farklıdır.

    Hız sınırları, ayrıntılı hız denetimi için HTTP veya HTTPS parametre eşleşmeleri gibi daha fazla eşleşme koşuluyla birleştirilebilir.

Azure tarafından yönetilen kural kümeleri

Azure tarafından yönetilen kural kümeleri, yaygın güvenlik tehditlerine karşı koruma dağıtmanın bir yolunu sağlar. Azure bu kural kümelerini yönettiğinden, kurallar yeni saldırı imzalarına karşı korunmak için gerektiği şekilde güncelleştirilir. Azure tarafından yönetilen Varsayılan Kural Kümesi, aşağıdaki tehdit kategorilerine karşı kurallar içerir:

  • Siteler arası betik çalıştırma
  • Java saldırıları
  • Yerel dosya ekleme
  • PHP ekleme saldırıları
  • Uzaktan komut yürütme
  • Uzak dosya ekleme
  • Oturum sabitleme
  • SQL enjeksiyon koruması
  • Protokol saldırıları

Varsayılan Kural Kümesi sürüm numarası, kural kümesine yeni saldırı imzaları eklendiğinde artar.

Varsayılan Kural Kümesi, WAF ilkelerinizde algılama modunda varsayılan olarak etkindir. Uygulama gereksinimlerinizi karşılamak için Varsayılan Kural Kümesi içinde tek tek kuralları devre dışı bırakabilir veya etkinleştirebilirsiniz. Kural başına belirli eylemleri (ALLOW, BLOCK, LOGve REDIRECT) de ayarlayabilirsiniz. Yönetilen Varsayılan Kural Kümesi için varsayılan eylem şeklindedir BLOCK.

WAF, Varsayılan Kural Kümesi'ndeki kuralları değerlendirmeden önce her zaman özel kurallar uygulanır. Bir istek özel bir kuralla eşleşiyorsa WAF ilgili kural eylemini uygular. İstek engellenir veya arka uca geçirilir. Varsayılan Kural Kümesindeki başka hiçbir özel kural veya kural işlenmez. Varsayılan Kural Kümesi'ni WAF ilkelerinizden de kaldırabilirsiniz.

WAF modları

WaF ilkesini aşağıdaki iki modda çalışacak şekilde yapılandırabilirsiniz:

  • Algılama modu: WAF, isteği ve eşleşen WAF kuralını WAF günlüklerine izlemek ve günlüğe kaydetmek dışında başka hiçbir eylem gerçekleştirmez. Azure Content Delivery Network için günlüğe kaydetme tanılamasını açabilirsiniz. Azure portalını kullanırken Tanılama bölümüne gidin.
  • Önleme modu: Bir istek bir kuralla eşleşiyorsa WAF belirtilen eylemi uygular. Eşleşme bulursa, daha düşük önceliğe sahip başka kural değerlendirmez. Eşleşen istekler waf günlüklerine de kaydedilir.

WAF eylemleri

bir istek bir kuralın koşullarıyla eşleştiğinde aşağıdaki eylemlerden birini seçebilirsiniz:

  • ALLOW: İstek WAF'dan geçer ve arka uca iletilir. Daha düşük öncelikli kurallar bu isteği engelleyebilir.
  • BLOCK: İstek engellendi. WAF, isteği arka uca iletmeden istemciye bir yanıt gönderir.
  • LOG: İstek WAF günlüklerine kaydedilir. WAF düşük öncelikli kuralları değerlendirmeye devam eder.
  • REDIRECT: WAF, isteği belirtilen URI'ye yönlendirir. Belirtilen URI bir ilke düzeyi ayarıdır. Ayarı yapılandırdıktan sonra, eylemle REDIRECT eşleşen tüm istekler bu URI'ye gönderilir.

Yapılandırma

Azure portalı, REST API'leri, Azure Resource Manager şablonlarını ve Azure PowerShell'i kullanarak tüm WAF kural türlerini yapılandırabilir ve dağıtabilirsiniz.

İzleme

Azure Content Delivery Network'te Azure Web Uygulaması Güvenlik Duvarı'nı izleme, uyarıları izlemenize ve trafik eğilimlerini izlemenize yardımcı olmak için Azure İzleyici ile tümleşiktir.

İlgili içerik

  • Last updated on