Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Important
À compter du 1er mai 2025, Azure AD B2C ne sera plus disponible pour les nouveaux clients. Pour plus d’informations, consultez notre FAQ.
Découvrez comment activer le service Azure Web Application Firewall (WAF) pour un locataire Azure Active Directory B2C (Azure AD B2C) avec un domaine personnalisé. WAF protège les applications Web contre les exploits et les vulnérabilités courants tels que les scripts intersites, les attaques DDoS et les bots malveillants.
Consultez Qu’est-ce qu’Azure Web Application Firewall ?
Conditions préalables
Pour commencer, vous avez besoin des éléments suivants :
- Un abonnement Azure
- Si vous n’en avez pas, obtenez un compte gratuit Azure
-
Un client Azure AD B2C – serveur d’autorisation qui vérifie les informations d’identification de l’utilisateur à l’aide de stratégies personnalisées définies dans le client
- Également appelé fournisseur d’identité (IdP)
- Consultez Tutoriel : Créer un locataire Azure Active Directory B2C
- Azure Front Door Premium : active les domaines personnalisés pour le locataire Azure AD B2C et est optimisé pour la sécurité avec un accès aux ensembles de règles gérés par WAF
-
WAF – gère le trafic envoyé au serveur d’autorisation
- Pare-feu d’applications web Azure (nécessite la référence SKU Premium)
Domaines personnalisés dans Azure AD B2C
Pour utiliser des domaines personnalisés dans Azure AD B2C, utilisez les fonctionnalités de domaine personnalisé dans Azure Front Door. Consultez Activer les domaines personnalisés pour Azure AD B2C.
Important
Après avoir configuré le domaine personnalisé, consultez Tester votre domaine personnalisé.
Activer WAF
Pour activer WAF, configurez une stratégie WAF et associez-la à votre Azure Front Door Premium à des fins de protection. Azure Front Door Premium est optimisé pour la sécurité et vous donne accès à des ensembles de règles gérés par Azure qui vous protègent contre les vulnérabilités et les exploits courants, notamment les scripts intersites et les exploits Java. Le WAF fournit des ensembles de règles qui vous aident à vous protéger contre les activités malveillantes des bots. Le WAF vous offre une protection DDoS de couche 7 pour votre application.
Créer une stratégie de pare-feu d’applications web (WAF)
Créez une stratégie WAF avec un ensemble de règles par défaut géré par Azure (DRS). Voir Groupes de règles et règles DRS du pare-feu d’applications Web.
- Connectez-vous au portail Azure.
- Sélectionnez Créer une ressource.
- Recherchez Azure WAF.
- Sélectionnez le pare-feu d’applications web (WAF) de service Azure de Microsoft.
- Cliquez sur Créer.
- Accédez à la page Créer une stratégie WAF .
- Sélectionnez l’onglet Fonctions de base.
- Pour Stratégie pour, sélectionnez WAF (Front Door) global.
- Pour Front Door SKU, sélectionnez le SKU Premium.
- Pour Abonnement, sélectionner le nom de votre abonnement Front Door.
- Pour Groupe de ressources, sélectionnez le nom de votre groupe de ressources Front Door.
- Pour Nom de stratégie, entrez un nom unique pour votre stratégie WAF.
- Pour État de la stratégie, sélectionnez Activé.
- Pour Mode de la stratégie, sélectionnez Détection.
- Accédez à l’onglet Association de la page Créer une stratégie WAF.
- Sélectionnez + Associer un profil Front Door.
- Pour Front Door, sélectionnez le nom de votre porte d’entrée associé au domaine personnalisé Azure AD B2C.
- Pour Domaines, sélectionnez les domaines personnalisés Azure AD B2C auxquels associer la stratégie WAF.
- Sélectionnez Ajouter.
- Sélectionnez Vérifier + créer.
- Cliquez sur Créer.
Ensemble de règles par défaut
Lorsque vous créez une stratégie WAF pour Azure Front Door, elle se déploie automatiquement avec la dernière version de l’ensemble de règles par défaut géré par Azure (DRS). Cet ensemble de règles protège les applications Web contre les vulnérabilités et les exploits courants. Les ensembles de règles managées par Azure fournissent un moyen simple de déployer une solution de protection contre diverses menaces de sécurité courantes. Comme Azure gère ces ensembles de règles, celles-ci sont mises à jour si nécessaire pour assurer la protection contre les nouvelles signatures d'attaques. Le DRS inclut les règles de collecte Microsoft Threat Intelligence qui sont écrites en partenariat avec l’équipe Microsoft Intelligence pour fournir une couverture accrue, des correctifs pour des vulnérabilités spécifiques et une meilleure réduction des faux positifs.
Informations supplémentaires : Groupes de règles et règles DRS du pare-feu d’applications web Azure Web Application Firewall
Ensemble de règles du gestionnaire de bots
Par défaut, le WAF Azure Front Door se déploie avec la dernière version de l’ensemble de règles Bot Manager géré par Azure. Cet ensemble de règles classe le trafic des bots en bons, mauvais et bots inconnus. Les signatures de bot derrière cet ensemble de règles sont gérées par la plateforme WAF et sont mises à jour dynamiquement.
En savoir plus : Qu’est-ce qu’Azure Web Application Firewall sur Azure Front Door ?
Limitation du débit
La limitation du débit vous permet de détecter et de bloquer des niveaux anormalement élevés de trafic à partir d’une adresse IP de socket. En utilisant Azure WAF dans Azure Front Door, vous pouvez atténuer certains types d’attaques par déni de service. La limitation de débit vous protège contre les clients qui ont été accidentellement mal configurés pour envoyer de gros volumes de demandes dans un court laps de temps. La limitation de débit doit être configurée manuellement sur le WAF à l’aide de règles personnalisées.
Pour en savoir plus:
- Limitation du débit du pare-feu d’applications web pour Azure Front Door
- Configurer une règle de limite de débit WAF pour Azure Front Door
Modes de détection et de prévention
Lorsque vous créez une stratégie WAF, celle-ci démarre en mode Détection. Nous vous recommandons de laisser la stratégie WAF en mode Détection pendant que vous réglez le WAF pour votre trafic. Dans ce mode, WAF ne bloque pas les demandes. Au lieu de cela, les demandes qui correspondent aux règles WAF sont journalisées par le WAF une fois la journalisation activée.
Activer la journalisation : surveillance et journalisation du pare-feu d’applications web Azure
Une fois que la journalisation est activée et que votre WAF commence à recevoir du trafic de requêtes, vous pouvez commencer à configurer votre WAF en consultant vos journaux.
Informations supplémentaires : Régler le pare-feu d’applications web Azure pour Azure Front Door
La requête suivante affiche les demandes bloquées par la politique WAF au cours des dernières 24 heures. Les détails incluent le nom de la règle, les données de la demande, l’action entreprise par la stratégie et le mode de la stratégie.
AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s
| ID de la règle | Détail du message | Action | Mode | Données détaillées |
|---|---|---|---|---|
| DefaultRuleSet-1.0-SQLI-942430 | Détection restreinte d’anomalies de caractères SQL (args) : nombre de caractères spéciaux dépassés (12) | Bloquer | détection | Données mises en correspondance : CfDJ8KQ8bY6D |
Vérifiez les journaux d’activité WAF pour déterminer si les règles de stratégie provoquent des faux positifs. Ensuite, excluez les règles WAF basées sur les journaux d’activité WAF.
Pour en savoir plus
- Configurer les listes d’exclusion WAF pour Azure Front Door
- Listes d’exclusion du pare-feu d’applications web dans Azure Front Door
Une fois la journalisation configurée et votre WAF reçoit du trafic, vous pouvez évaluer l’efficacité de vos règles de gestionnaire de bots dans la gestion du trafic de bots. La requête suivante affiche les actions effectuées par votre ensemble de règles de gestionnaire de bots, classées par type de bot. En mode de détection, le WAF consigne uniquement les actions de trafic de bot. Cependant, une fois passé en mode de prévention, le WAF commence à bloquer activement le trafic de bots indésirables.
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked
Changement de mode
Pour que WAF prenne des mesures sur le trafic de demande, sélectionnez Passer en mode de prévention dans la page Vue d’ensemble, ce qui fait passer le mode de Détection à Prévention. Les demandes qui correspondent aux règles du DRS sont bloquées et consignées dans les journaux WAF. Le WAF prend l’action prescrite lorsqu’une demande correspond à une ou plusieurs règles dans le DRS et consigne les résultats. Par défaut, le DRS est défini sur le mode de notation des anomalies ; cela signifie que le WAF n’effectue aucune action sur une demande tant que le seuil de score d’anomalie n’est pas atteint.
En savoir plus : Scoring d’anomalies : groupes de règles et règles Data Replication Service du pare-feu d'application Web Azure
Pour revenir au mode de détection, sélectionnez Passer en mode de détection dans la page Vue d’ensemble.