Microsoft'tan Azure Content Delivery Network üzerinde Azure Web Uygulaması Güvenlik Duvarı

Microsoft tarafından sunulan Azure Content Delivery Network (CDN) üzerinde Azure Web Uygulaması Güvenlik Duvarı (WAF), web içeriğiniz için merkezi koruma sağlar. WAF, web hizmetlerinizi yaygın açıklara ve güvenlik açıklarına karşı korur. Hizmetinizi kullanıcılarınız için yüksek oranda kullanılabilir tutar ve uyumluluk gereksinimlerini karşılamanıza yardımcı olur.

Önemli

Microsoft önizlemesinden Azure CDN üzerinde Azure WAF artık yeni müşterileri kabul etmemektedir. Müşterilerin bunun yerine Azure Front Door'da Azure WAF'yi kullanmaları teşvik edilir. Mevcut CDN WAF müşterilerine bir önizleme hizmeti düzeyi sözleşmesi sağlanır. Bazı özellikler desteklenmiyor olabileceği gibi özellikleri sınırlandırılmış da olabilir.  Ayrıntılar için bkz. Microsoft Azure Önizlemeleri için Ek Kullanım Koşulları.

Azure CDN üzerinde WAF, küresel ve merkezi bir çözümdür. Dünyanın dört bir yanındaki Azure ağ uç konumlarına dağıtılır. WAF, saldırı kaynaklarına yakın kötü amaçlı saldırıları, kaynağınıza ulaşmadan önce durdurur. Performansdan ödün vermeden büyük ölçekte küresel koruma elde edersiniz.

WAF ilkesi, aboneliğinizdeki herhangi bir CDN uç noktasına kolayca bağlanır. Yeni kurallar birkaç dakika içinde dağıtılabilir, böylece değişen tehdit desenlerine hızlı bir şekilde yanıt verilmektedir.

Azure web uygulaması güvenlik duvarı

WAF ilkesi ve kuralları

Bir WAF ilkesi yapılandırabilir ve bu ilkeyi koruma için bir veya daha fazla CDN uç noktasıyla ilişkilendirebilirsiniz. WAF ilkesi iki tür güvenlik kuralından oluşur:

  • oluşturabileceğiniz özel kurallar.

  • Azure tarafından yönetilen önceden yapılandırılmış kurallardan oluşan bir koleksiyon olan yönetilen kural kümeleri.

Her ikisi de mevcut olduğunda, özel kurallar yönetilen bir kural kümesindeki kurallar işlenmeden önce işlenir. Kural eşleşme koşulu, öncelik ve eylemden oluşur. Desteklenen eylem türleri şunlardır: ALLOW, BLOCK, LOG ve REDIRECT. Yönetilen ve özel kuralları birleştirerek belirli uygulama koruma gereksinimlerinizi karşılayan tam olarak özelleştirilmiş bir ilke oluşturabilirsiniz.

İlke içindeki kurallar öncelik sırasına göre işlenir. Öncelik, işlenmek üzere kuralların sırasını tanımlayan benzersiz bir sayıdır. Daha küçük sayılar daha yüksek önceliklidir ve bu kurallar daha büyük bir değere sahip kurallardan önce değerlendirilir. Bir kural eşleştirildikten sonra, kuralda tanımlanan ilgili eylem isteğe uygulanır. Böyle bir eşleşme işlendikten sonra, düşük önceliğe sahip kurallar daha fazla işlenmez.

Azure CDN'de barındırılan bir web uygulamasının aynı anda kendisiyle ilişkilendirilmiş tek bir WAF ilkesi olabilir. Ancak, kendisiyle ilişkilendirilmiş WAF ilkeleri olmadan bir CDN uç noktanız olabilir. Bir WAF ilkesi varsa, dünya genelinde tutarlı güvenlik ilkeleri sağlamak için bu ilke tüm uç konumlarımıza çoğaltılır.

WAF modları

WAF ilkesi aşağıdaki iki modda çalışacak şekilde yapılandırılabilir:

  • Algılama modu: Algılama modunda çalıştırıldığında WAF, isteği ve eşleşen WAF kuralını WAF günlüklerine izleyip günlüğe kaydetmek dışında başka bir işlem yapmaz. CDN için günlüğe kaydetme tanılamasını açabilirsiniz. Portalı kullandığınızda Tanılama bölümüne gidin.

  • Önleme modu: Önleme modunda, bir istek bir kuralla eşleşiyorsa WAF belirtilen eylemi uygular. Eşleşme bulunursa, düşük önceliğe sahip başka kural değerlendirilmez. Eşleşen istekler waf günlüklerine de kaydedilir.

WAF eylemleri

bir istek kuralın koşullarıyla eşleştiğinde aşağıdaki eylemlerden birini seçebilirsiniz:

  • İzin ver: İstek WAF'dan geçer ve arka uca iletilir. Daha düşük öncelikli kurallar bu isteği engelleyebilir.
  • Engelle: İstek engellenir ve WAF, isteği arka uca iletmeden istemciye bir yanıt gönderir.
  • Günlük: İstek WAF günlüklerine kaydedilir ve WAF düşük öncelikli kuralları değerlendirmeye devam eder.
  • Yeniden yönlendirme: WAF, isteği belirtilen URI'ye yönlendirir. Belirtilen URI bir ilke düzeyi ayarıdır. Yapılandırıldıktan sonra , Yeniden Yönlendirme eylemiyle eşleşen tüm istekler bu URI'ye gönderilir.

WAF kuralları

WAF ilkesi iki tür güvenlik kuralından oluşabilir:

  • özel kurallar: kendi oluşturduğunuz kurallar
  • yönetilen kural kümeleri: Azure tarafından yönetilen önceden yapılandırılmış kural kümesi

Özel kurallar

Özel kuralların eşleşme kuralları ve hız denetimi kuralları olabilir.

Aşağıdaki özel eşleştirme kurallarını yapılandırabilirsiniz:

  • IP izin verilenler listesi ve engelleme listesi: web uygulamalarınıza erişimi istemci IP adresleri veya IP adresi aralıkları listesine göre denetleyebilirsiniz. Hem IPv4 hem de IPv6 adres türleri desteklenir. IP listesi kuralları, WAF'nin gördüğü SocketAddress'i değil, X-Forwarded-For istek üst bilgisinde bulunan RemoteAddress IP'sini kullanır. IP listeleri, RemoteAddress IP'sinin listedeki bir IP ile eşleştiği istekleri engelleyecek veya izin verecek şekilde yapılandırılabilir. WAF'nin gördüğü kaynak IP adresinde isteği engelleme gereksiniminiz varsa (örneğin, kullanıcı bir ara sunucunun arkasındaysa ara sunucu adresi), Azure Front Door standart veya premium katmanlarını kullanmanız gerekir. Daha fazla bilgi için ayrıntılar için bkz. Azure Front Door için Web Uygulaması Güvenlik Duvarı ile IP kısıtlama kuralı yapılandırma.

  • Coğrafi tabanlı erişim denetimi: Bir istemcinin IP adresiyle ilişkili ülke koduna göre web uygulamalarınıza erişimi denetleyebilirsiniz.

  • HTTP parametreleri tabanlı erişim denetimi: HTTP/HTTPS istek parametrelerinde dize eşleşmelerini temel alan kurallar oluşturabilirsiniz. Örneğin, sorgu dizeleri, POST birleştirmeleri, İstek URI'si, İstek Üst Bilgisi ve İstek Gövdesi.

  • İstek yöntemi tabanlı erişim denetimi: Kuralları isteğin HTTP isteği yöntemine göre temel alırsınız. Örneğin, GET, PUT veya HEAD.

  • Boyut kısıtlaması: Kuralları sorgu dizesi, Uri veya istek gövdesi gibi bir isteğin belirli bölümlerinin uzunluklarına göre temel alabilirsiniz.

Hız denetimi kuralı, herhangi bir istemci IP adresinden gelen anormal yüksek trafiği sınırlar.

  • Hız sınırlama kuralları: Bir dakikalık süre boyunca bir istemci IP adresinden izin verilen web isteği sayısı için bir eşik yapılandırabilirsiniz. Bu kural, bir istemci IP adresinden gelen tüm isteklere izin veren veya engelleyen IP listesi tabanlı bir izin verme/engelleme özel kuralından farklıdır. Hız sınırları, ayrıntılı hız denetimi için HTTP(S) parametre eşleşmeleri gibi daha fazla eşleşme koşuluyla birleştirilebilir.

Azure tarafından yönetilen kural kümeleri

Azure tarafından yönetilen kural kümeleri, yaygın güvenlik tehditlerine karşı koruma dağıtmak için kolay bir yol sağlar. Bu kural kümeleri Azure tarafından yönetildiğinden, kurallar yeni saldırı imzalarına karşı korunmak için gerektiğinde güncelleştirilir. Azure tarafından yönetilen Varsayılan Kural Kümesi, aşağıdaki tehdit kategorilerine karşı kurallar içerir:

  • Siteler arası betik
  • Java saldırıları
  • Yerel dosya ekleme
  • PHP ekleme saldırıları
  • Uzaktan komut yürütme
  • Uzak dosya ekleme
  • Oturum düzeltme
  • SQL ekleme koruması
  • Protokol saldırganları

Varsayılan Kural Kümesi sürüm numarası, kural kümesine yeni saldırı imzaları eklendiğinde artar. Varsayılan Kural Kümesi, WAF ilkelerinizde Algılama modunda varsayılan olarak etkindir. Uygulama gereksinimlerinizi karşılamak için Varsayılan Kural Kümesi içindeki tek tek kuralları devre dışı bırakabilir veya etkinleştirebilirsiniz. Kural başına belirli eylemler de ayarlayabilirsiniz (allow/BLOCK/REDIRECT/LOG). Yönetilen Varsayılan Kural Kümesi için varsayılan eylem Engelle'dir.

Varsayılan Kural Kümesindeki kurallar değerlendirilmeden önce her zaman özel kurallar uygulanır. bir istek özel bir kuralla eşleşiyorsa, ilgili kural eylemi uygulanır. İstek engellenir veya arka uca geçirilir. Başka hiçbir özel kural veya Varsayılan Kural Kümesindeki kurallar işlenmez. Varsayılan Kural Kümesi'ni WAF ilkelerinizden de kaldırabilirsiniz.

Yapılandırma

Azure portal, REST API'leri, Azure Resource Manager şablonlarını ve Azure PowerShell kullanarak tüm WAF kural türlerini yapılandırabilir ve dağıtabilirsiniz.

İzleme

CDN ile WAF izleme, uyarıları izlemek ve trafik eğilimlerini kolayca izlemek için Azure İzleyici ile tümleşiktir.

Sonraki adımlar