자습서: Azure Web Application Firewall을 사용하여 Azure Active Directory B2C 구성

사용자 지정 도메인을 사용하여 Azure AD B2C(Azure Active Directory B2C) 테넌트에 대해 Azure WAF(Web Application Firewall) 서비스를 사용하도록 설정하는 방법을 알아봅니다. WAF는 교차 사이트 스크립팅, DDoS 공격 및 악성 봇 활동과 같은 일반적인 악용 및 취약성으로부터 웹 애플리케이션을 보호합니다.

Azure Web Application Firewall이란?을 참조하세요.

필수 조건

시작하려면 다음이 필요합니다.

• Azure 구독
• 계정이 없으면 Azure 무료 계정을 만듭니다.
• Azure AD B2C 테넌트 – 테넌트에 정의된 사용자 지정 정책을 사용하여 사용자 자격 증명을 확인하는 권한 부여 서버
  • ID 공급자(IdP)라고도 함
  • 자습서: Azure Active Directory B2C 테넌트 만들기를 참조하세요.
• Azure Front Door 프리미엄 – Azure AD B2C 테넌트에 대한 사용자 지정 도메인을 사용하도록 설정하고 WAF 관리 규칙 집합에 대한 액세스로 보안에 최적화됩니다.
  • Azure Front Door 및 CDN 설명서를 참조하세요.
• WAF – 권한 부여 서버로 전송되는 트래픽을 관리합니다.
  • Azure Web Application Firewall (프리미엄 SKU 필요)

Azure AD B2C의 사용자 지정 도메인

Azure AD B2C에서 사용자 지정 도메인을 사용하려면 Azure Front Door의 사용자 지정 도메인 기능을 사용합니다. Azure AD B2C에 대한 사용자 지정 도메인 사용을 참조하세요.

WAF 활성화

WAF를 사용하도록 설정하려면 WAF 정책을 구성하고 보호를 위해 Azure Front Door 프리미엄과 연결합니다. Azure Front Door 프리미엄은 보안에 최적화되어 있으며 사이트 간 스크립팅 및 Java 익스플로잇을 비롯한 일반적인 취약성 및 익스플로잇으로부터 보호하는 Azure에서 관리하는 규칙 집합에 대한 액세스를 제공합니다. WAF는 악의적인 봇 활동으로부터 사용자를 보호하는 데 도움이 되는 규칙 집합을 제공합니다. WAF는 애플리케이션에 대한 계층 7 DDoS 보호를 제공합니다.

WAF 정책 만들기

Azure 관리형 DRS(기본 규칙 집합)를 사용하여 WAF 정책을 만듭니다. Web Application Firewall DRS 규칙 그룹 및 규칙의 내용을 참조하십시오.

1. Azure Portal에 로그인합니다.
2. 리소스 만들기를 선택합니다.
3. Azure WAF를 검색합니다.
4. Microsoft에서 Azure 서비스 WAF(웹 애플리케이션 방화벽)를 선택합니다.
5. 선택하고생성합니다.
6. WAF 정책 만들기 페이지로 이동합니다.
7. 기본 사항 탭을 선택합니다.
8. 정책의 경우 전역 WAF(Front Door)를 선택합니다.
9. Front Door SKU의 경우 프리미엄 SKU를 선택합니다.
10. 구독의 경우 Front Door 구독 이름을 선택합니다.
11. 리소스 그룹의 경우 Front Door 리소스 그룹 이름을 선택합니다.
12. 정책 이름에 대해 WAF 정책의 고유한 이름을 입력하십시오.
13. 정책 상태에 대해 사용을 선택합니다.
14. 정책 모드에서 검색을 선택합니다.
15. WAF 정책 만들기 페이지의 연결 탭으로 이동합니다.
16. + Front Door 프로필 연결을 선택합니다.
17. Front Door의 경우 Azure AD B2C 사용자 지정 도메인과 연결된 Front Door 이름을 선택합니다.
18. 도메인의 경우 WAF 정책을 연결할 Azure AD B2C 사용자 지정 도메인을 선택합니다.
19. 추가를 선택합니다.
20. Review + create를 선택합니다.
21. 선택하고생성합니다.

기본 규칙 세트

Azure Front Door에 대한 새 WAF 정책을 만들면 최신 버전의 Azure 관리 DRS(기본 규칙 집합)를 사용하여 자동으로 배포됩니다. 이 규칙 집합은 일반적인 취약성 및 악용으로부터 웹 애플리케이션을 보호합니다. Azure 관리형 규칙 세트는 일반적인 보안 위협에 대한 보호를 쉽게 배포할 수 있는 방법을 제공합니다. Azure에서 이러한 규칙 집합을 관리하므로 규칙이 새로운 공격 서명으로부터 보호가 필요할 때 업데이트됩니다. DRS에는 Microsoft Intelligence 팀과 협력하여 작성된 Microsoft Threat Intelligence Collection 규칙이 포함되어 있어 적용 범위가 늘어나고, 특정 취약성에 대한 패치가 적용되며, 오탐을 보다 효과적으로 줄일 수 있습니다.

자세한 정보: Azure Web Application Firewall DRS 규칙 그룹 및 규칙

Bot Manager 규칙 세트

기본적으로 Azure Front Door WAF는 최신 버전의 Azure 관리형 Bot Manager 규칙 집합을 사용하여 배포됩니다. 이 규칙 집합은 봇 트래픽을 양호한 봇, 나쁜 봇 및 알 수 없는 봇으로 분류합니다. 이 규칙 집합의 이면에 있는 봇 서명은 WAF 플랫폼에 의해 관리되며 동적으로 업데이트됩니다.

자세한 정보: Azure Front Door의 Azure Web Application Firewall이란?

속도 제한

속도 제한을 사용하면 모든 소켓 IP 주소에서 비정상적으로 높은 수준의 트래픽을 탐지하고 차단할 수 있습니다. Azure Front Door에서 Azure WAF를 사용하면 몇 가지 유형의 서비스 거부 공격을 완화할 수 있습니다. Rate Limiting은 짧은 기간에 많은 양의 요청을 전송하도록 실수로 잘못 구성된 클라이언트로부터 사용자를 보호합니다. 속도 제한은 사용자 지정 규칙을 사용하여 WAF에서 수동으로 구성해야 합니다.

더 알아보세요:

• Azure Front Door에 대한 웹 애플리케이션 방화벽 속도 제한
• Azure Front Door에 대한 WAF 속도 제한 규칙 구성

감지 및 방지 모드

WAF 정책을 만들 때 정책은 검색 모드에서 시작됩니다. 트래픽에 대한 WAF를 조정하는 동안 WAF 정책을 검색 모드로 두는 것이 좋습니다. 이 모드에서 WAF는 요청을 차단하지 않습니다. 대신, WAF 규칙과 일치하는 요청은 로깅이 활성화되면 WAF에 의해 기록됩니다.

로깅 사용: Azure Web Application Firewall 모니터링 및 로깅

로깅이 활성화되고 WAF가 요청 트래픽을 수신하기 시작하면 로그를 살펴봄으로써 WAF 조정을 시작할 수 있습니다.

자세한 정보: Azure Front Door에 대한 Azure Web Application Firewall 조정

다음 쿼리는 지난 24시간 동안 WAF 정책에 의해 차단된 요청을 보여 줍니다. 세부 정보에는 규칙 이름, 요청 데이터, 정책에서 수행한 작업 및 정책 모드가 포함됩니다.

AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s

WAF 로그를 검토하여 정책 규칙으로 인해 가양성이 발생하는지 여부를 확인합니다. 그런 다음, WAF 로그를 기반으로 WAF 규칙을 제외합니다.

더 알아보세요

• Azure Front Door에 대한 WAF 제외 목록 구성
• Azure Front Door의 웹 애플리케이션 방화벽 제외 목록

로깅이 설정되고 WAF가 트래픽을 수신하면 봇 트래픽 처리에 대한 봇 관리자 규칙의 효과를 평가할 수 있습니다. 다음 쿼리는 봇 관리자 규칙 집합에서 수행한 작업을 봇 유형별로 분류하여 보여줍니다. 검색 모드에 있는 동안 WAF는 봇 트래픽 작업만 기록합니다. 그러나 방지 모드로 전환되면 WAF는 원치 않는 봇 트래픽을 적극적으로 차단하기 시작합니다.

AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked

모드 전환

WAF가 요청 트래픽에 대해 조치를 취하는 것을 보려면 개요 페이지에서 방지 모드로 전환을 선택하여 모드를 감지에서 방지로 변경합니다. DRS의 규칙과 일치하는 요청은 차단되고 WAF 로그에 기록됩니다. WAF는 요청이 DRS의 하나 이상의 규칙과 일치할 때 규정된 작업을 수행하고 결과를 기록합니다. 기본적으로 DRS는 이상 징후 채점 모드로 설정됩니다. 즉, WAF는 변칙 점수 임계값이 충족되지 않는 한 요청에 대해 어떠한 작업도 수행하지 않습니다.

자세히 알아보기: 변칙 채점 Azure Web Application Firewall DRS 규칙 그룹 및 규칙

검색 모드로 되돌리려면 개요 페이지에서 검색 모드로 전환을 선택합니다.

다음 단계

• Azure Web Application Firewall에 대한 모범 사례 Azure Front Door
• 웹 애플리케이션 방화벽 정책 관리
• Azure Front Door용 Azure Web Application Firewall 조정