Azure Front Door の Azure Web アプリケーション ファイアウォールに関してよく寄せられる質問

Azure Web Application Firewall は、SQL インジェクション、クロスサイト スクリプティング、その他の Web エクスプロイトなどの一般的な脅威から Web アプリケーションを保護するのに役立つ Web アプリケーション ファイアウォール (WAF) です。 カスタムルールとマネージドルールの組み合わせで構成される WAF ポリシーを定義して、Web アプリケーションへのアクセスを制御できます。

AZURE Application Gateway または Azure Front Door でホストされている Web アプリケーションに WAF ポリシーを適用できます。

Azure Front Door は、高度にスケーラブルでグローバルに分散されたアプリケーションとコンテンツ配信ネットワークです。 Azure Web Application Firewall は、Azure Front Door と統合されると、仮想ネットワークに入る前に、Azure ネットワーク エッジ (攻撃ソースに近い) でサービス拒否攻撃と対象アプリケーション攻撃を停止します。 この組み合わせは、パフォーマンスを犠牲にすることなく保護を提供します。

Azure Front Door では、トランスポート層セキュリティ (TLS) オフロードが提供されます。 Azure Web Application Firewall は Azure Front Door とネイティブに統合されており、復号化後に要求を検査できます。

はい。 IPv4 と IPv6 に IP 制限を構成できます。 詳細については、 Azure Front Door の Azure Web アプリケーション ファイアウォールを強化するための IPv6 導入に関するブログ記事を参照してください。

変化する脅威の状況に対応するために最善を尽くしています。 ルールを更新すると、新しいバージョン番号を使用して既定のルール セット (DRS) に追加されます。

ほとんどの WAF ポリシーのデプロイは、20 分以内に完了します。 すべてのエッジ ロケーションでグローバルに更新が完了した直後にポリシーが有効になることを期待できます。

Azure Web Application Firewall が Azure Front Door と統合されている場合、WAF はグローバル リソースです。 同じ構成は、すべての Azure Front Door の場所に適用されます。

バックエンドで IP アクセス制御リストを構成して、Azure Front Door サービス タグを使用して Azure Front Door の送信 IP アドレス範囲のみを許可し、インターネットからの直接アクセスを拒否できます。 サービス タグは、仮想ネットワークでサポートされています。 さらに、 X-Forwarded-Host HTTP ヘッダー フィールドが Web アプリケーションに対して有効であることを確認できます。

Azure で WAF ポリシーを適用するには、2 つのオプションがあります。 Azure Front Door 上の Azure Web アプリケーション ファイアウォールは、グローバルに分散されたエッジ セキュリティ ソリューションです。 Application Gateway 上の Azure Web Application Firewall は、リージョン専用のソリューションです。 全体的なパフォーマンスとセキュリティの要件に基づいてソリューションを選択することをお勧めします。 詳細については、「 負荷分散オプション」を参照してください。

既存のアプリケーションで WAF を有効にすると、WAF ルールが正当なトラフィックを脅威として検出する誤検知が行われるのが一般的です。 ユーザーへの影響のリスクを最小限に抑えるには、次のプロセスをお勧めします。

1. 検出 モード で WAF を有効にして、このプロセスの実行中に WAF が要求をブロックしないようにします。 この手順は、WAF でテストを行う場合にお勧めします。

   重要

   このプロセスでは、アプリケーションのユーザーにもたらされる支障を最小限に抑えることが最優先される場合に、新規または既存のソリューションで WAF を有効にする方法について説明します。 攻撃や差し迫った脅威にさらされている場合は、代わりに WAF をすぐに防止モードでデプロイすることをお望みかもしれません。 その後、チューニング プロセスを使用して、時間の経過に伴う WAF の監視と調整を行うことができます。 この方法では、正当なトラフィックの一部がブロックされる可能性があるため、脅威にさらされている場合にのみ使用することをお勧めします。

2. WAF の チューニングに関するガイダンスに従ってください。 このプロセスでは、診断ログを有効にし、ログを定期的に確認して、ルールの除外やその他の軽減策を追加する必要があります。

3. 正当なトラフィックがブロックされていないことに満足するまで、このプロセス全体を繰り返し、ログを定期的に確認します。 プロセス全体には数週間かかる場合があります。 チューニングを変更するたびに、誤検出が少なくなるのが理想的です。

4. 最後に、防止モードで WAF を有効にします。

運用環境で WAF を実行した後でも、ログを監視し続けて、他の誤検知検出を特定する必要があります。 ログを定期的に確認すると、ブロックされた実際の攻撃の試行を特定するのにも役立ちます。

現在、コア ルール セット (CRS) 3.0、CRS 3.1、および CRS 3.2 の規則は、Application Gateway 上の Azure Web アプリケーション ファイアウォールでのみサポートされています。 レート制限と Azure で管理される DRS ルールは、Azure Front Door 上の Azure Web アプリケーション ファイアウォールでのみサポートされます。

Azure Front Door は、Azure ネットワーク エッジでグローバルに分散されています。 大量の攻撃を吸収して地理的に分離できます。 カスタム WAF ポリシーを作成して、既知の署名を持つ HTTP 攻撃と HTTPS 攻撃を自動的にブロックおよびレート制限することができます。 バックエンドがデプロイされている仮想ネットワークで、分散型サービス拒否 (DDoS) ネットワーク保護を有効にすることもできます。

Azure DDoS Protection サービスのお客様には、コスト保護、サービス レベル アグリーメント (SLA) の保証、DDoS Rapid Response Team の専門家へのアクセスなど、攻撃中にすぐに役立つ追加の利点があります。 詳細については、 Azure Front Door での DDoS Protection に関するページを参照してください。

異なる Azure Front Door サーバーが要求を処理するときに、レート制限によって要求がすぐにブロックされない場合があります。 詳細については、「 レート制限と Azure Front Door サーバー」を参照してください。

Azure Front Door WAF では、次のコンテンツ タイプがサポートされています。

• DRS 2.0

  マネージド ルール:

  • application/json
  • application/xml
  • application/x-www-form-urlencoded
  • multipart/form-data

  カスタム ルール:

  • application/x-www-form-urlencoded

• DRS 1.x

  マネージド ルール:

  • application/x-www-form-urlencoded
  • text/plain

  カスタム ルール:

  • application/x-www-form-urlencoded

いいえ、できません。 Azure Front Door プロファイルと WAF ポリシーは、同じサブスクリプション内にある必要があります。

関連コンテンツ

• Azure Web アプリケーション ファイアウォールとは
• Azure Front Door とは何ですか？