Partager via

Pare-feu d’applications web Azure sur le réseau de distribution de contenu Azure

Un déploiement de pare-feu d’applications web Azure sur le réseau de distribution de contenu Azure fournit une protection centralisée pour votre contenu web. Le Pare-feu d’applications web Azure défend vos services web contre les attaques et vulnérabilités courantes. Il permet de maintenir votre service hautement disponible pour vos utilisateurs et vous aide à répondre aux exigences de conformité.

Important

La préversion du pare-feu d’applications web Azure sur le réseau de distribution de contenu Azure n’accepte plus de nouveaux clients. Nous encourageons les clients à utiliser le pare-feu d’applications web Azure sur Azure Front Door à la place.

Nous fournissons aux clients existants un contrat de niveau de service en aperçu. Certaines fonctionnalités peuvent être limitées ou non prises en charge. Pour plus d’informations, consultez les conditions d’utilisation supplémentaires pour les préversions de Microsoft Azure.

Le pare-feu d’applications web Azure sur le réseau de distribution de contenu Azure est une solution globale et centralisée. Il est déployé sur les sites de périphérie du réseau Azure dans le monde entier. Le Pare-feu d’applications web Azure arrête les attaques malveillantes proches des sources d’attaque, avant d’atteindre votre origine. Vous bénéficiez d’une protection globale à grande échelle sans sacrifier les performances.

Une stratégie de pare-feu d’applications web (WAF) est liée à n’importe quel point de terminaison de réseau de distribution de contenu (CDN) dans votre abonnement. Vous pouvez déployer de nouvelles règles en quelques minutes afin de pouvoir répondre rapidement aux changements de modèles de menace.

Diagramme montrant comment le pare-feu d’applications web Azure sur le réseau de distribution de contenu Azure prend des mesures sur les requêtes entrantes.

Stratégie et règles WAF

Vous pouvez configurer une stratégie WAF et associer cette stratégie à un ou plusieurs points de terminaison CDN pour la protection. Une stratégie WAF se compose de deux types de règles de sécurité :

  • Règles personnalisées : règles que vous pouvez créer vous-même.
  • Ensembles de règles managées : règles préconfigurées gérées par Azure que vous pouvez activer.

Quand les deux sont présentes, le WAF traite les règles personnalisées avant de traiter les règles dans un ensemble de règles managées.

Une règle se compose d’une condition de correspondance, d’une priorité et d’une action. Les types d’actions pris en charge sont ALLOW, , BLOCKLOGet REDIRECT. Vous pouvez créer une stratégie entièrement personnalisée qui répond à vos exigences spécifiques pour la protection des applications en combinant des règles managées et personnalisées.

Le WAF traite les règles au sein d'une politique dans un ordre de priorité. La priorité est un entier unique qui définit l’ordre des règles à traiter. Les nombres plus petits sont une priorité plus élevée, et le WAF évalue ces règles avant les règles qui ont une valeur plus élevée. Une fois que le WAF correspond à une règle avec une requête, il applique l’action correspondante que la règle définit à la requête. Une fois que le WAF traite une telle correspondance, les règles qui ont des priorités inférieures ne sont pas traitées plus loin.

Une application web hébergée sur Azure Content Delivery Network ne peut avoir qu’une seule stratégie WAF associée à celle-ci à la fois. Toutefois, vous pouvez avoir un point de terminaison CDN sans aucune stratégie WAF associée. Si une stratégie WAF est présente, elle est répliquée vers tous les emplacements de périphérie pour garantir des stratégies de sécurité cohérentes dans le monde entier.

Règles personnalisées

Les règles personnalisées peuvent inclure :

  • Règles de correspondance : vous pouvez configurer les règles de correspondance personnalisée suivantes :

    • Listes verte et rouge d’adresses IP : vous pouvez contrôler l’accès à vos applications web en fonction d’une liste d’adresses IP de clients ou de plages d’adresses IP. Les deux types d’adresses IPv4 et IPv6 sont pris en charge.

      Les règles de liste IP utilisent l’adresse RemoteAddress IP contenue dans l’en-tête X-Forwarded-For de requête et non la SocketAddress valeur utilisée par le WAF. Vous pouvez configurer des listes IP pour bloquer ou autoriser les requêtes où l’adresse RemoteAddress IP correspond à une adresse IP dans la liste.

      Si vous avez besoin de bloquer les requêtes sur l’adresse IP source utilisée par le WAF (par exemple, l’adresse du serveur proxy si l’utilisateur se trouve derrière un proxy), vous devez utiliser le niveau Azure Front Door Standard ou Premium. Pour plus d’informations, consultez Configurer une règle de restriction IP avec un WAF pour Azure Front Door.

    • Contrôle d’accès géographique : vous pouvez contrôler l’accès à vos applications web en fonction du code de pays associé à l’adresse IP d’un client.

    • Contrôle d’accès basé sur les paramètres HTTP : vous pouvez baser des règles sur les correspondances de chaîne dans les paramètres de requête HTTP ou HTTPS. Les exemples incluent les chaînes de requête, POST les arguments, l’URI de requête, l’en-tête de requête et le corps de la requête.

    • Contrôle d’accès basé sur la méthode de requête : vous pouvez baser des règles sur la méthode de requête HTTP de la requête. Exemples : , GETPUTet HEAD.

    • Contrainte de taille : vous pouvez baser des règles sur les longueurs des parties spécifiques d’une requête, telles que la chaîne de requête, l’URI ou le corps de la requête.

  • Règles de contrôle de débit : ces règles limitent un trafic anormalement élevé à partir de n’importe quelle adresse IP du client.

    Vous pouvez configurer un seuil sur le nombre de requêtes web autorisées à partir d’une adresse IP cliente pendant une durée d’une minute. Cette règle est distincte d’une règle personnalisée basée sur une liste IP qui autorise toutes ou bloque toutes les requêtes d’une adresse IP cliente.

    Les limites de débit peuvent être combinées avec des conditions de correspondance supplémentaires, telles que les correspondances de paramètres HTTP ou HTTPS, pour un contrôle de débit granulaire.

Ensembles de règles managées par Azure

Les ensembles de règles gérés par Azure permettent de déployer une protection contre un ensemble commun de menaces de sécurité. Étant donné qu’Azure gère ces ensembles de règles, les règles sont mises à jour en fonction des besoins pour se protéger contre les nouvelles signatures d’attaque. L’ensemble de règles par défaut géré par Azure inclut des règles sur les catégories de menaces suivantes :

  • Scripts intersites (XSS)
  • Attaques Java
  • Inclusion de fichier local (LFI)
  • Injection de code PHP
  • Exécution de commande à distance
  • Inclusion de fichier distant (RFI)
  • Fixation de session
  • Protection contre les injections de code SQL
  • Attaquants de protocole

Le numéro de version de l’ensemble de règles par défaut s’incrémente quand de nouvelles signatures d’attaque sont ajoutées à l’ensemble de règles.

L’ensemble de règles par défaut est activé par défaut en mode de détection dans vos stratégies WAF. Vous pouvez activer ou désactiver des règles individuellement dans l’ensemble de règles par défaut en fonction des exigences propres à votre application. Vous pouvez également définir des actions spécifiques (ALLOW, BLOCK, LOGet REDIRECT) par règle. L’action par défaut pour l’ensemble de règles par défaut managé est BLOCK.

Les règles personnalisées sont toujours appliquées avant que le WAF évalue les règles dans l’ensemble de règles par défaut. Si une demande correspond à une règle personnalisée, le WAF applique l’action de règle correspondante. La requête est bloquée ou transmise au serveur principal. Aucune autre règle ou règle personnalisée dans l’ensemble de règles par défaut n’est traitée. Vous pouvez aussi supprimer l’ensemble de règles par défaut de vos stratégies WAF.

Modes WAF

Vous pouvez configurer une stratégie WAF pour qu’elle s’exécute dans les deux modes suivants :

  • Mode de détection : le WAF n’effectue aucune autre action que la surveillance et la journalisation de la demande et sa règle WAF correspondante dans les journaux WAF. Vous pouvez activer la journalisation des diagnostics pour Azure Content Delivery Network. Lorsque vous utilisez le portail Azure, accédez à la section Diagnostics .
  • Mode de prévention : le WAF effectue l’action spécifiée si une requête correspond à une règle. S’il trouve une correspondance, il n’évalue pas d’autres règles qui ont une priorité inférieure. Toutes les requêtes mises en correspondance sont également enregistrées dans les journaux WAF.

Actions WAF

Vous pouvez choisir d’exécuter l’une des actions suivantes quand une demande correspond aux conditions d’une règle :

  • ALLOW: la requête passe par le WAF et est transférée au serveur principal. Aucune autre règle de priorité inférieure ne peut bloquer cette requête.
  • BLOCK: la requête est bloquée. Le WAF envoie une réponse au client sans transférer la requête au serveur principal.
  • LOG : la demande est consignée dans les journaux WAF. Le WAF continue d’évaluer les règles de priorité inférieure.
  • REDIRECT: le WAF redirige la requête vers l’URI spécifié. L’URI spécifié est un paramètre de niveau stratégie. Après avoir configuré le paramètre, toutes les requêtes qui correspondent à l’action REDIRECT sont envoyées à cet URI.

Paramétrage

Vous pouvez configurer et déployer tous les types de règles WAF à l’aide du portail Azure, des API REST, des modèles Azure Resource Manager et d’Azure PowerShell.

Supervision

La surveillance du pare-feu d’applications web Azure sur le réseau de distribution de contenu Azure est intégrée à Azure Monitor pour vous aider à suivre les alertes et à surveiller les tendances du trafic.

Contenu connexe

  • Last updated on