Cet article répond aux questions courantes sur les fonctionnalités et fonctionnalités du Pare-feu d’applications web Azure sur Azure Front Door.
Qu’est-ce que le pare-feu d’applications web Azure ?
Le pare-feu d’applications web Azure est un pare-feu d’applications web (WAF) qui permet de protéger vos applications web contre les menaces courantes telles que l’injection SQL, les scripts intersites et d’autres attaques web. Vous pouvez définir une stratégie WAF qui se compose d’une combinaison de règles personnalisées et gérées pour contrôler l’accès à vos applications web.
Vous pouvez appliquer une stratégie WAF aux applications web hébergées sur Azure Application Gateway ou Azure Front Door.
Qu’est-ce qu’Azure Web Application Firewall sur Azure Front Door ?
Azure Front Door est un réseau d’application et de distribution de contenu hautement évolutif et distribué à l’échelle mondiale. Pare-feu d’applications web Azure, lorsqu’il est intégré à Azure Front Door, arrête les attaques par déni de service et les attaques ciblées d’applications sur la périphérie réseau Azure (près des sources d’attaques) avant d’entrer dans votre réseau virtuel. Cette combinaison offre une protection sans sacrifier les performances.
Le pare-feu d’applications web Azure prend-il en charge HTTPS ?
Azure Front Door offre le déchargement du protocole TLS (Transport Layer Security). Le pare-feu d’applications web Azure est intégré en mode natif à Azure Front Door et peut inspecter une demande après son déchiffrement.
Le Pare-feu d’applications web Azure prend-il en charge IPv6 ?
Oui. Vous pouvez configurer la restriction IP pour IPv4 et IPv6. Pour plus d’informations, consultez le billet de blog sur l’adoption de IPv6 pour améliorer le pare-feu d’applications web Azure sur Azure Front Door.
Comment les ensembles de règles managées sont-ils à jour ?
Nous faisons de notre mieux pour suivre le rythme d’un monde de menaces en constante évolution. Lorsque nous mettons à jour une règle, nous l’ajoutons à l’ensemble de règles par défaut (DRS) avec un nouveau numéro de version.
Quelle est la durée de propagation si j’effectue une modification de ma stratégie de pare-feu d’applications web ?
La plupart des déploiements de stratégie WAF se terminent en moins de 20 minutes. Vous pouvez vous attendre à ce que la stratégie prenne effet dès que la mise à jour sera terminée globalement dans tous les emplacements périphériques.
Les stratégies de pare-feu d’applications web peuvent-elles être différentes d’une région à une autre ?
Lorsque le pare-feu d’applications web Azure est intégré à Azure Front Door, le WAF est une ressource globale. La même configuration s’applique à tous les emplacements Azure Front Door.
Comment vérifier que seule Azure Front Door peut accéder au back-end dans mon réseau ?
Vous pouvez configurer une liste de contrôle d’accès IP dans votre back-end pour autoriser uniquement les plages d’adresses IP sortantes d’Azure Front Door à l’aide d’une balise de service Azure Front Door et refuser tout accès direct à partir d’Internet. Les balises de service sont disponibles pour votre réseau virtuel. En outre, vous pouvez vérifier que le X-Forwarded-Host champ d’en-tête HTTP est valide pour votre application web.
Quelles options de WAF dois-je choisir ?
Il existe deux options pour appliquer des stratégies WAF dans Azure. Le pare-feu d’applications web Azure sur Azure Front Door est une solution de sécurité de périphérie distribuée mondialement. Le pare-feu d’applications web Azure sur Application Gateway est une solution régionale dédiée. Nous vous recommandons de choisir une solution basée sur vos exigences globales en matière de performances et de sécurité. Pour plus d’informations, consultez les options d’équilibrage de charge.
Quelle est l’approche recommandée pour activer un WAF sur Azure Front Door ?
Lorsque vous activez le WAF sur une application existante, il est courant d’avoir des détections faux positifs dans lesquelles les règles WAF détectent le trafic légitime en tant que menace. Pour réduire le risque d’impact sur vos utilisateurs, nous vous recommandons le processus suivant :
Activez le WAF en mode de détection pour vous assurer qu'il ne bloque pas les requêtes pendant que vous suivez ce processus. Nous vous recommandons cette étape à des fins de test sur le WAF.
Important
Ce processus explique comment activer le WAF sur une solution nouvelle ou existante lorsque votre priorité est de réduire les perturbations pour les utilisateurs de votre application. Si vous êtes en cas d’attaque ou de menace imminente, vous souhaiterez peut-être déployer immédiatement le WAF en mode de prévention. Vous pouvez ensuite utiliser le processus de réglage pour surveiller et régler le WAF au fil du temps. Cette approche entraînera probablement le blocage de certains de vos trafics légitimes, c’est pourquoi nous vous recommandons de l’utiliser uniquement lorsque vous êtes en danger.
Suivez les instructions pour l’optimisation du WAF. Ce processus nécessite l’activation de la journalisation des diagnostics, la consultation régulière des journaux et l’ajout d’exclusions de règles ainsi que d’autres solutions de contournement.
Répétez ce processus et vérifiez régulièrement les journaux de bord jusqu'à ce que vous soyez satisfait qu'aucun trafic légitime ne soit pas bloqué. L’ensemble du processus peut prendre plusieurs semaines. Dans l’idéal, vous devriez voir moins de détections de faux positifs après chaque modification de réglage que vous apportez.
Enfin, activez le WAF en mode de prévention.
Même lorsque vous exécutez le WAF en production, il est impératif de continuer à superviser les journaux, afin d’identifier d’autres détections de faux positifs. L’examen régulier des journaux vous aide également à identifier les tentatives d’attaque réelles qui ont été bloquées.
Prenez-vous en charge les mêmes fonctionnalités WAF dans toutes les plateformes intégrées ?
Actuellement, les règles CRS (Core Rule Set) 3.0, CRS 3.1 et CRS 3.2 sont prises en charge uniquement avec le Pare-feu d’applications web Azure sur Application Gateway. Les règles de limitation de débit et les règles DRS gérées par Azure ne sont prises en charge qu'avec le pare-feu d'applications web Azure sur Azure Front Door.
La protection DDoS est-elle intégrée à Azure Front Door ?
Azure Front Door est distribué globalement sur les périphéries réseau Azure. Il peut absorber et isoler géographiquement les attaques de grande ampleur. Vous pouvez créer une stratégie WAF personnalisée pour bloquer et limiter automatiquement les attaques HTTP et HTTPS qui ont des signatures connues. Vous pouvez également activer la protection réseau par déni de service distribué (DDoS) sur le réseau virtuel où vos back-ends sont déployés.
Les clients du service Azure DDoS Protection bénéficient d’avantages supplémentaires, notamment la protection des coûts, une garantie de contrat de niveau de service (SLA) et l’accès aux experts de l’équipe de réponse rapide DDoS pour obtenir de l’aide immédiate lors d’une attaque. Pour plus d’informations, consultez DDoS Protection sur Azure Front Door.
Pourquoi les demandes supplémentaires au-dessus du seuil configuré pour ma règle de limite de débit sont-elles transmises à mon serveur principal ?
Vous risquez de ne pas voir les demandes immédiatement bloquées par la limite de débit lorsque différents serveurs Azure Front Door traitent les demandes. Pour plus d’informations, consultez Limites de débit et serveurs Azure Front Door.
Quels types de contenu le WAF prend-il en charge ?
Le WAF Azure Front Door prend en charge les types de contenu suivants :
DRS 2.0
Règles gérées :
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
Règles personnalisées :
application/x-www-form-urlencoded
DRS 1.x
Règles gérées :
application/x-www-form-urlencodedtext/plain
Règles personnalisées :
application/x-www-form-urlencoded
Note
Azure Front Door WAF ne prend pas en charge l’encodage de contenu. Cela signifie que les corps compressés ne seront pas décompressés avant d’être envoyés au moteur WAF.
Puis-je appliquer une stratégie WAF Azure Front Door aux hôtes frontaux dans des profils Azure Front Door Premium appartenant à différents abonnements ?
Non, c’est impossible. Le profil Azure Front Door et la stratégie WAF doivent se trouver dans le même abonnement.