Compartir a través de

¿Qué es el firewall de aplicaciones web de Azure en Azure Application Gateway?

Una implementación de Azure Web Application Firewall en Azure Application Gateway protege activamente las aplicaciones web frente a vulnerabilidades y vulnerabilidades comunes. A medida que las aplicaciones web se vuelven objetivos más frecuentes para ataques malintencionados, estos ataques suelen aprovechar vulnerabilidades de seguridad conocidas, como la inyección de código SQL y el scripting entre sitios.

El firewall de aplicaciones web de Azure en Application Gateway se basa en el conjunto de reglas principales (CRS) del proyecto Open Web Application Security (OWASP).

Todas las siguientes características de Azure Web Application Firewall existen dentro de una directiva de firewall de aplicaciones web (WAF). Puede crear varias directivas y asociarlas a una puerta de enlace de aplicaciones, con agentes de escucha individuales o con reglas de enrutamiento basadas en rutas de acceso en una puerta de enlace de aplicaciones. Esta asociación le permite definir directivas independientes para cada sitio detrás de la puerta de enlace de aplicaciones si es necesario. Para más información sobre las directivas de WAF, consulte Creación de directivas waf para Application Gateway.

Nota

Application Gateway tiene dos versiones de un firewall de aplicaciones web: WAF_v1 y WAF_v2. Las asociaciones de directivas waf solo se admiten para WAF_v2.

Diagrama que muestra cómo funciona un firewall de aplicaciones web con Azure Application Gateway.

Application Gateway funciona como controlador de entrega de aplicaciones. Ofrece terminación de seguridad de la capa de transporte (TLS) (anteriormente conocida como Capa de sockets seguros o SSL), afinidad de sesión basada en cookies, distribución de carga round robin, enrutamiento basado en contenido, capacidad para hospedar varios sitios web y mejoras de seguridad.

Application Gateway mejora la seguridad mediante la administración de directivas TLS y la compatibilidad con TLS de un extremo a otro. La integración de Azure Web Application Firewall en Application Gateway fortalece la seguridad de las aplicaciones. Esta combinación defiende activamente las aplicaciones web frente a vulnerabilidades comunes y ofrece una ubicación administrable centralmente.

Ventajas

En esta sección se describen las ventajas principales que proporciona Azure Web Application Firewall en Application Gateway.

Protección

  • Ayude a proteger las aplicaciones web frente a vulnerabilidades y ataques web sin modificaciones en el código back-end.

  • Ayude a proteger varias aplicaciones web al mismo tiempo. Una instancia de Application Gateway puede hospedar hasta 40 sitios web que usan un firewall de aplicaciones web.

  • Cree directivas de WAF personalizadas para distintos sitios detrás del mismo WAF.

  • Ayude a proteger las aplicaciones web de bots malintencionados con el conjunto de reglas de reputación de IP.

  • Ayude a proteger la aplicación frente a ataques DDoS. Para obtener más información, consulte Protección contra DDoS de aplicación (capa 7).

Supervisión

  • Supervise los ataques contra sus aplicaciones web con un registro de WAF en tiempo real. El registro se integra con Azure Monitor para realizar un seguimiento de las alertas de WAF y supervisar las tendencias.

  • Application Gateway con WAF se integra con Microsoft Defender for Cloud. Defender for Cloud proporciona una vista central del estado de seguridad de todos los recursos de Azure, híbridos y multinube.

Personalización

  • Personalice las reglas y grupos de reglas de WAF para satisfacer los requisitos de su aplicación y eliminar los falsos positivos.

  • Asocie una directiva de WAF para cada sitio detrás del WAF para permitir la configuración específica del sitio.

  • Cree reglas personalizadas para satisfacer las necesidades de la aplicación.

Características

  • Protección contra la inyección de CÓDIGO SQL.
  • Protección contra scripts entre sitios.
  • Protección contra otros ataques web comunes, como la inyección de comandos, el contrabando de solicitudes HTTP, la división de respuestas HTTP y la inclusión de archivos remotos.
  • Protección contra infracciones del protocolo HTTP.
  • Protección contra anomalías del protocolo HTTP, como los encabezados que faltan Host, User-Agent, y Accept .
  • Protección contra rastreadores y escáneres.
  • Detección de errores de configuración comunes de las aplicaciones (por ejemplo, Apache e IIS).
  • Límites de tamaño de solicitud configurables con límites inferior y superior.
  • Listas de exclusión que permiten omitir determinados atributos de solicitud de una evaluación de WAF. Un ejemplo común son los tokens insertados de Active Directory que se usan para campos de contraseña o autenticación.
  • Capacidad de crear reglas personalizadas para satisfacer las necesidades específicas de las aplicaciones.
  • Capacidad de filtrar geográficamente el tráfico, para permitir o impedir que determinados países o regiones obtengan acceso a las aplicaciones.
  • Conjunto de reglas de Bot Manager que ayuda a proteger las aplicaciones de los bots.
  • Capacidad de inspeccionar JSON y XML en el cuerpo de la solicitud.

Reglas y directiva de WAF

Para usar un firewall de aplicaciones web en Application Gateway, debe crear una directiva waf. Esta directiva es donde existen todas las reglas administradas, reglas personalizadas, exclusiones y otras personalizaciones (como el límite de carga de archivos).

Puede configurar una directiva waf y asociarla a una o varias puertas de enlace de aplicaciones para la protección. Una directiva de WAF consta de dos tipos de reglas de seguridad:

  • Reglas personalizadas que crea el usuario
  • Conjuntos de reglas administradas que son colecciones de reglas preconfiguradas administradas por Azure

Cuando ambos están presentes, waf procesa reglas personalizadas antes de procesar las reglas en un conjunto de reglas administrados.

Una regla consta de una condición de coincidencia, una prioridad y una acción. Los tipos de acción admitidos son ALLOW, BLOCKy LOG. Puede crear una directiva totalmente personalizada que cumpla sus requisitos específicos para la protección de aplicaciones mediante la combinación de reglas administradas y personalizadas.

Waf procesa las reglas dentro de una directiva en orden de prioridad. La prioridad es un entero único que describe el orden de las reglas que se van a procesar. Un valor entero más pequeño denota una prioridad más alta y waf evalúa esas reglas antes de las reglas que tienen un valor entero mayor. Una vez que waf coincide con una regla con una solicitud, aplica la acción correspondiente que define la regla a la solicitud. Después de que WAF procese esta coincidencia, las reglas que tienen prioridades más bajas no se procesan aún más.

Una aplicación web que ofrece Application Gateway puede tener una directiva waf asociada a ella a nivel global, a nivel de sitio o a nivel de URI por URI.

Reglas personalizadas

Application Gateway admite la creación de sus propias reglas personalizadas. Application Gateway evalúa las reglas personalizadas para cada solicitud que pasa a través del WAF. Estas reglas tienen una prioridad mayor que el resto de las reglas de los conjuntos de reglas administrados. Si una solicitud cumple un conjunto de condiciones, waf realiza una acción para permitir o bloquear. Para obtener más información sobre las reglas personalizadas, consulte Reglas personalizadas para Application Gateway.

El Geomatch operador ya está disponible para las reglas personalizadas. Para obtener más información, consulte Reglas personalizadas de Geomatch.

Conjuntos de reglas

Application Gateway admite varios conjuntos de reglas, entre los que se incluyen CRS 3.2, CRS 3.1 y CRS 3.0. Estas reglas ayudan a proteger las aplicaciones web frente a actividades malintencionadas. Para más información, consulte Reglas y grupos de reglas de DRS y CRS del firewall de aplicaciones web.

Conjunto de reglas de Bot Manager

Puede habilitar un conjunto de reglas de Bot Manager administrado para realizar acciones personalizadas en las solicitudes de todas las categorías de bot.

Application Gateway admite tres categorías de bot:

  • Bots incorrectos: bots que tienen direcciones IP malintencionadas o que falsificaron sus identidades. Es posible que las direcciones IP malintencionadas se deriven de los indicadores ip de alta confianza de la fuente de inteligencia sobre amenazas de Microsoft y de fuentes de reputación de IP. Los bots incorrectos también incluyen bots que se identifican como buenos bots, pero que tienen direcciones IP que no pertenecen a publicadores de bots legítimos.

  • Buenos bots: agentes de usuario de confianza. Las reglas de los buenos bots se ordenan en varias categorías para proporcionar un control pormenorizado sobre la configuración de directivas de WAF. Estas categorías incluyen:

    • Bots comprobados del motor de búsqueda (como Googlebot y Bingbot).
    • Bots del comprobador de vínculos validados.
    • Bots de redes sociales comprobados (como FacebookBot y LinkedInBot).
    • Bots de publicidad comprobados.
    • Bots comprobados del comprobador de contenido.
    • Bots varios validados.

  • Bots desconocidos: agentes de usuario sin validación adicional. Los bots desconocidos también pueden tener direcciones IP malintencionadas procedentes de los indicadores ip de confianza media de confianza media de la fuente de inteligencia sobre amenazas de Microsoft.

Azure Web Application Firewall administra y actualiza dinámicamente las firmas del bot.

Al activar la protección del bot, bloquea, permite o registra las solicitudes entrantes que coinciden con las reglas de bot en función de la acción configurada. Bloquea bots malintencionados, permite rastreadores comprobados del motor de búsqueda, bloquea los rastreadores desconocidos del motor de búsqueda y registra bots desconocidos de forma predeterminada. Puede establecer acciones personalizadas para bloquear, permitir o registrar varios tipos de bots.

Puede acceder a los registros de WAF desde una cuenta de almacenamiento, un centro de eventos o Log Analytics. También puede enviar registros a una solución de asociado.

Para obtener más información sobre la protección de bots de Application Gateway, consulte Web Application Firewall on Application Gateway bot protection overview (Introducción a la protección de bots de Application Gateway).

Modos de WAF

Puede configurar el WAF de Application Gateway para que se ejecute en los modos siguientes:

  • Modo de detección: supervisa y registra todas las alertas de amenazas. Puede activar el registro de diagnósticos de Application Gateway en la sección Diagnósticos. También debe asegurarse de que el registro del WAF está seleccionado y activado. Un firewall de aplicaciones web no bloquea las solicitudes entrantes cuando funciona en modo de detección.
  • Modo de prevención: bloquea las intrusiones y los ataques que detectan las reglas. El atacante recibe una excepción de "403: acceso no autorizado" y se cierra la conexión. El modo de prevención registra dichos ataques en los registros del WAF.

Nota

Se recomienda ejecutar un WAF recién implementado en modo de detección durante un breve período en un entorno de producción. Al hacerlo, se ofrece la oportunidad de obtener registros de firewall y actualizar las excepciones o reglas personalizadas antes de realizar la transición al modo de prevención. También ayuda a reducir la ocurrencia de tráfico bloqueado inesperado.

Motor de WAF

El motor de WAF es el componente que inspecciona el tráfico y detecta si una solicitud contiene una firma que indica un posible ataque. Cuando se usa CRS 3.2 o posterior, el firewall de aplicaciones web ejecuta el nuevo motor waf, lo que proporciona un mayor rendimiento y un conjunto mejorado de características. Cuando se usan versiones anteriores de CRS, WAF se ejecuta en un motor anterior. Las nuevas características solo están disponibles en el nuevo motor waf.

Acciones de WAF

Puede elegir qué acción se ejecuta el WAF cuando una solicitud coincide con una condición de regla. Application Gateway admite las siguientes acciones:

  • Permitir: la solicitud pasa a través del WAF y se reenvía al back-end. Ninguna otra regla de prioridad inferior puede bloquear esta solicitud. Estas acciones solo se aplican al conjunto de reglas de Bot Manager. No se aplican al CRS.
  • Bloquear: la solicitud está bloqueada. Waf envía una respuesta al cliente sin reenviar la solicitud al back-end.
  • Registro: la solicitud se registra en los registros de WAF. Waf sigue evaluando las reglas de prioridad inferior.
  • Puntuación de anomalías: esta acción es la predeterminada para el CRS. La puntuación total de anomalías se incrementa cuando una solicitud coincide con una regla con esta acción. La puntuación de anomalías no se aplica al conjunto de reglas de Bot Manager.

Modo de puntuación de anomalías

OWASP tiene dos modos para decidir si se va a bloquear el tráfico: puntuación de anomalías y tradicionales.

En el modo tradicional, el tráfico que coincide con cualquier regla se considera independientemente de cualquier otra coincidencia de regla. Este modo es fácil de entender, pero la falta de información sobre cuántas reglas coinciden con una solicitud específica es una limitación. Por lo tanto, el modo de puntuación de anomalías se introdujo como valor predeterminado para OWASP 3. x.

En el modo de puntuación de anomalías, el tráfico que coincide con cualquier regla no se bloquea inmediatamente cuando el firewall está en modo de prevención. Las reglas tienen una gravedad determinada: Crítica, Error, Advertencia o Aviso. Esa gravedad afecta a un valor numérico para la solicitud, que es la puntuación de anomalías. Por ejemplo, una coincidencia con la regla Advertencia contribuye con un valor de 3 a la puntuación. Una coincidencia con la regla Crítica, con 5.

severity Importancia
Crítico 5
Error 4
Advertencia 3
Aviso 2

Hay un umbral de 5 para que la puntuación de anomalía bloquee el tráfico. Por lo tanto, una única coincidencia de regla crítica es suficiente para que el WAF de Application Gateway bloquee una solicitud en modo de prevención. Pero una regla de advertencia solo aumenta la puntuación de anomalías en 3, lo que no es suficiente por sí mismo para bloquear el tráfico.

Nota

El mensaje que se registra cuando una regla waf coincide con el tráfico incluye el valor de acción Coincidente. Si la puntuación total de anomalías de todas las reglas coincidentes es 5 o superior y la directiva waf se ejecuta en modo de prevención, la solicitud desencadena una regla de anomalía obligatoria con el valor de acción Bloqueado y la solicitud se detiene. Si la directiva waf se ejecuta en modo de detección, la solicitud desencadena el valor de acción Detectado y la solicitud se registra y se pasa al back-end. Para más información, consulte Descripción de los registros de WAF.

Configuración

Puede configurar e implementar todas las directivas de WAF mediante Azure Portal, las API REST, las plantillas de Azure Resource Manager y Azure PowerShell. También puede configurar y administrar directivas waf a escala mediante la integración de Azure Firewall Manager. Para más información, consulte Configuración de directivas de WAF mediante Azure Firewall Manager.

Supervisión de WAF

Es importante supervisar el estado de la puerta de enlace de aplicaciones. Puede lograrlo mediante la integración de WAF (y las aplicaciones que ayuda a proteger) con Los registros de Microsoft Defender for Cloud, Azure Monitor y Azure Monitor.

Diagrama de diagnósticos de Application Gateway WAF.

Azure Monitor

Los registros de Application Gateway se integran con Azure Monitor para que pueda realizar un seguimiento de la información de diagnóstico, incluidas las alertas y los registros de WAF. Puede acceder a esta funcionalidad en Azure Portal, en la pestaña Diagnósticos del recurso de Application Gateway. También puede acceder a él directamente en Azure Monitor.

Para más información sobre el uso de registros, consulte Registros de diagnóstico para Application Gateway.

Microsoft Defender for Cloud

Defender for Cloud ayuda a evitar y detectar las amenazas, además de a responder a ellas. Proporciona mayor visibilidad y control sobre la seguridad de los recursos de Azure. Application Gateway se integra con Defender for Cloud.

Defender for Cloud examina su entorno para detectar aplicaciones web no protegidas. Puede recomendar un WAF de Application Gateway para ayudar a proteger estos recursos vulnerables.

Los firewalls se crean directamente desde Defender for Cloud. Estas instancias de WAF se integran con Defender for Cloud. Envían alertas e información de estado a Defender for Cloud para generar informes.

Microsoft Sentinel

Microsoft Sentinel es una solución escalable y nativa de la nube que abarca la administración de eventos de información de seguridad (SIEM) y la respuesta automatizada de orquestación de seguridad (SOAR). Microsoft Sentinel ofrece análisis de seguridad inteligente e inteligencia sobre amenazas en toda la empresa. Proporciona una única solución para la detección de alertas, la visibilidad de amenazas, la búsqueda proactiva y la respuesta a amenazas.

Con el libro de eventos de firewall integrado en Azure Web Application Firewall, puede obtener información general sobre los eventos de seguridad en el WAF. La información general incluye reglas coincidentes, reglas bloqueadas y todas las demás actividades de firewall registradas.

Libro de Azure Monitor para WAF

El libro de Azure Monitor para WAF permite la visualización personalizada de eventos waf relevantes para la seguridad en varios paneles filtrables. Funciona con todos los tipos de WAF, como Application Gateway, Azure Front Door y Azure Content Delivery Network.

Puede filtrar este libro en función del tipo waf o de una instancia específica de WAF. Puede importarlo a través de una plantilla de Azure Resource Manager o una plantilla de galería.

Para implementar este libro, consulte el repositorio de GitHub para Azure Web Application Firewall.

Registro

El WAF de Application Gateway proporciona informes detallados sobre cada amenaza que detecta. El registro se integra con los registros de Azure Diagnostics. Las alertas se registran en formato JSON. Puede integrar estos registros con los registros de Azure Monitor.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Precios de WAF de Application Gateway

Los modelos de precios son diferentes para las versiones WAF_v1 y WAF_v2. Para más información, consulte Precios de Application Gateway.

Novedades

Para obtener información sobre las novedades del firewall de aplicaciones web de Azure, consulte Actualizaciones de Azure.

Contenido relacionado

  • Last updated on