Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wdrożenie usługi Azure Web Application Firewall w usłudze Azure Application Gateway aktywnie chroni aplikacje internetowe przed typowymi lukami w zabezpieczeniach i lukami w zabezpieczeniach. Ponieważ aplikacje internetowe stają się częstszymi celami złośliwych ataków, ataki te często wykorzystują dobrze znane luki w zabezpieczeniach, takie jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami.
Zapora aplikacji internetowej platformy Azure w usłudze Application Gateway jest oparta na podstawowym zestawie reguł (CRS) z projektu Open Web Application Security Project (OWASP).
Wszystkie następujące funkcje zapory aplikacji internetowej platformy Azure istnieją wewnątrz zasad zapory aplikacji internetowej (WAF). Można utworzyć wiele zasad i skojarzyć je z bramą aplikacji, z poszczególnymi odbiornikami lub regułami routingu opartymi na ścieżkach w bramie aplikacji. To skojarzenie umożliwia definiowanie oddzielnych zasad dla każdej lokacji za bramą aplikacji w razie potrzeby. Aby uzyskać więcej informacji na temat zasad zapory aplikacji internetowej, zobacz Tworzenie zasad zapory aplikacji internetowej dla usługi Application Gateway.
Uwaga
Usługa Application Gateway ma dwie wersje zapory aplikacji internetowej: WAF_v1 i WAF_v2. Skojarzenia zasad zapory aplikacji internetowej są obsługiwane tylko w przypadku WAF_v2.
Usługa Application Gateway działa jako kontroler dostarczania aplikacji. Oferuje ona zakończenie protokołu Transport Layer Security (TLS) (wcześniej nazywane kończeniem protokołu Secure Sockets Layer lub SSL), koligacją sesji opartą na plikach cookie, dystrybucją obciążenia okrężnego, routingiem opartym na zawartości, możliwością hostowania wielu witryn internetowych i ulepszeń zabezpieczeń.
Usługa Application Gateway zwiększa bezpieczeństwo dzięki zarządzaniu zasadami TLS i kompleksowej obsłudze protokołu TLS. Integrowanie usługi Azure Web Application Firewall z usługą Application Gateway wzmacnia zabezpieczenia aplikacji. Ta kombinacja aktywnie broni aplikacji internetowych przed typowymi lukami w zabezpieczeniach i oferuje centralnie zarządzaną lokalizację.
Świadczenia
W tej sekcji opisano podstawowe korzyści zapewniane przez usługę Azure Web Application Firewall w usłudze Application Gateway.
Ochrona
Pomóż chronić aplikacje internetowe przed lukami w zabezpieczeniach internetowych i atakami bez modyfikacji kodu zaplecza.
Pomóż chronić wiele aplikacji internetowych w tym samym czasie. Wystąpienie usługi Application Gateway może hostować maksymalnie 40 witryn internetowych korzystających z zapory aplikacji internetowej.
Utwórz niestandardowe zasady WAF dla różnych witryn za tą samą zaporą.
Pomóż chronić aplikacje internetowe przed złośliwymi botami za pomocą zestawu reguł reputacji adresów IP.
Pomóż chronić aplikację przed atakami DDoS. Aby uzyskać więcej informacji, zobacz Application (Warstwa 7) Ochrona przed atakami DDoS.
Monitorowanie
Monitorowanie ataków na aplikacje internetowe przy użyciu dziennika zapory aplikacji internetowych w czasie rzeczywistym. Dziennik jest zintegrowany z usługą Azure Monitor , aby śledzić alerty zapory aplikacji internetowej i monitorować trendy.
Zapora aplikacji internetowej usługi Application Gateway jest zintegrowana z Microsoft Defender dla platformy chmurowej. Defender dla Chmury zapewnia centralny widok stanu zabezpieczeń wszystkich zasobów platformy Azure, hybrydowego i wielochmurowego.
Dostosowanie
Dostosuj reguły zapory aplikacji internetowej (WAF) oraz grupy reguł, aby odpowiadały wymaganiom Twojej aplikacji, w celu wyeliminowania wyników fałszywie dodatnich.
Skojarz zasady zapory aplikacji internetowej dla każdej lokacji za zaporą aplikacji internetowej, aby umożliwić konfigurację specyficzną dla lokacji.
Utwórz reguły niestandardowe, aby odpowiadały potrzebom aplikacji.
Funkcje
- Ochrona przed wstrzyknięciem kodu SQL.
- Ochrona przed wykonywaniem skryptów między witrynami.
- Ochrona przed innymi typowymi atakami internetowymi, takimi jak wstrzykiwanie poleceń, przemyt żądań HTTP, dzielenie odpowiedzi HTTP i dołączanie plików zdalnych.
- Ochrona przed naruszeniami protokołu HTTP.
- Ochrona przed anomaliami protokołu HTTP, takimi jak brakujące
Hostnagłówki ,User-AgentiAccept. - Ochrona przed przeszukiwarkami i skanerami.
- Wykrywanie typowych błędów konfiguracji aplikacji (na przykład Apache i IIS).
- Konfigurowalne limity rozmiaru żądania z dolną i górną granicą.
- Listy wykluczeń, które pozwalają pominąć niektóre atrybuty żądania z oceny zapory aplikacji internetowej. Typowym przykładem są tokeny wstawiane przez Active Directory, które są używane do uwierzytelniania lub dla pól hasła.
- Możliwość tworzenia niestandardowych reguł odpowiadających konkretnym potrzebom aplikacji.
- Możliwość filtrowania geograficznego ruchu, zezwalania na dostęp do aplikacji lub blokowania niektórych krajów/regionów.
- Zestaw reguł usługi Bot Manager, który pomaga chronić aplikacje przed botami.
- Możliwość inspekcji kodu JSON i XML w treści żądania.
Polityka i zasady zapory aplikacji internetowej
Aby użyć zapory aplikacji internetowej w usłudze Application Gateway, należy utworzyć zasady zapory aplikacji internetowej. Te zasady polegają na tym, że istnieją wszystkie reguły zarządzane, reguły niestandardowe, wykluczenia i inne dostosowania (takie jak limit przekazywania plików).
Zasady zapory aplikacji internetowej można skonfigurować i skojarzyć te zasady z co najmniej jedną bramą aplikacji na potrzeby ochrony. Zasady WAF składają się z dwóch typów reguł zabezpieczeń:
- Reguły niestandardowe, które tworzysz
- Zarządzane zestawy reguł, które są kolekcjami wstępnie skonfigurowanych reguł zarządzanych przez platformę Azure
Gdy obie są obecne, zapora aplikacji internetowej przetwarza reguły niestandardowe przed przetworzeniem reguł w zarządzanym zestawie reguł.
Reguła składa się z warunku dopasowania, priorytetu i akcji. Obsługiwane typy akcji to ALLOW, BLOCKi LOG. Można utworzyć w pełni dostosowane zasady spełniające określone wymagania dotyczące ochrony aplikacji, łącząc reguły zarządzane i niestandardowe.
Zapora aplikacji internetowej przetwarza reguły w ramach zasad w kolejności priorytetu. Priorytet to unikatowa liczba całkowita, która definiuje kolejność reguł przetwarzania. Mniejsza wartość całkowita oznacza wyższy priorytet, a zapora aplikacji internetowej ocenia te reguły przed regułami, które mają wyższą wartość całkowitą. Gdy zapora aplikacji internetowej dopasuje regułę do żądania, stosuje odpowiednią akcję zdefiniowaną przez regułę do żądania. Po przetworzeniu takiego dopasowania zapory aplikacji internetowej reguły o niższych priorytetach nie są przetwarzane dalej.
Aplikacja internetowa dostarczana przez usługę Application Gateway może mieć skojarzone z nią zasady zapory aplikacji internetowej na poziomie globalnym, na poziomie poszczególnych witryn lub na poziomie poszczególnych identyfikatorów URI.
Reguły niestandardowe
Usługa Application Gateway obsługuje tworzenie własnych reguł niestandardowych. Usługa Application Gateway ocenia reguły niestandardowe dla każdego żądania przekazywanego przez zaporę aplikacji internetowej. Te reguły mają wyższy priorytet niż pozostałe reguły w zarządzanych zestawach reguł. Jeśli żądanie spełnia zestaw warunków, zapora aplikacji internetowej podejmuje akcję zezwalania lub blokowania. Aby uzyskać więcej informacji na temat reguł niestandardowych, zobacz Reguły niestandardowe dla usługi Application Gateway.
Operator Geomatch jest teraz dostępny dla reguł niestandardowych. Aby uzyskać więcej informacji, zobacz Geomatch custom rules (Reguły niestandardowe dotyczące niezgodności geograficznej).
Zestawy reguł
Usługa Application Gateway obsługuje wiele zestawów reguł, w tym CRS 3.2, CRS 3.1 i CRS 3.0. Te reguły pomagają chronić aplikacje internetowe przed złośliwym działaniem. Aby uzyskać więcej informacji, zobacz Zapora aplikacji internetowej drS i CRS reguły i reguły.
Zestaw reguł menedżera botów
Zestaw reguł zarządzanego menedżera botów umożliwia wykonywanie niestandardowych akcji na żądaniach ze wszystkich kategorii botów.
Usługa Application Gateway obsługuje trzy kategorie botów:
Złe boty: boty, które mają złośliwe adresy IP lub które sfałszowały swoje tożsamości. Złośliwe adresy IP mogą być pozyskiwane ze wskaźników IP wysokiego poziomu zaufania kanału informacyjnego analizy zagrożeń firmy Microsoft dotyczące naruszenia zabezpieczeń i z kanałów informacyjnych reputacji adresów IP. Złe boty obejmują również boty, które identyfikują się jako dobre boty, ale mają adresy IP, które nie należą do uprawnionych wydawców botów.
Dobre boty: zaufani agenci użytkowników. Reguły dla dobrych botów są sortowane w wiele kategorii, aby zapewnić szczegółową kontrolę nad konfiguracją zasad zapory aplikacji internetowej. Te kategorie obejmują:
- Zweryfikowane boty wyszukiwarki (takie jak Googlebot i Bingbot).
- Zweryfikowane boty sprawdzania linków.
- Zweryfikowane boty mediów społecznościowych (takie jak FacebookBot i LinkedInBot).
- Zweryfikowane boty reklamowe.
- Zweryfikowane boty sprawdzania zawartości.
- Zweryfikowane różne boty.
Nieznane boty: agenci użytkowników bez dodatkowej weryfikacji. Nieznane boty mogą również mieć złośliwe adresy IP, które pochodzą ze średnich wskaźników IP naruszenia bezpieczeństwa w kanale analizy zagrożeń firmy Microsoft.
Zapora aplikacji internetowej platformy Azure aktywnie zarządza i dynamicznie aktualizuje podpisy bota.
Po włączeniu ochrony bota blokuje, zezwala lub rejestruje przychodzące żądania zgodne z regułami bota na podstawie skonfigurowanej akcji. Blokuje złośliwe boty, umożliwia zweryfikowane przeszukiwarki aparatu wyszukiwania, blokuje domyślnie nieznane przeszukiwarki aparatu wyszukiwania i rejestruje nieznane boty. Możesz ustawić akcje niestandardowe, aby blokować, zezwalać lub rejestrować różne typy botów.
Dostęp do dzienników zapory aplikacji internetowej można uzyskać z konta magazynu, centrum zdarzeń lub usługi Log Analytics. Dzienniki można również wysyłać do rozwiązania partnerskiego.
Aby uzyskać więcej informacji na temat ochrony botów usługi Application Gateway, zobacz Web Application Firewall on Application Gateway bot protection overview (Zapora aplikacji internetowej w usłudze Application Gateway — omówienie ochrony botów).
Tryby zapory aplikacji internetowej
Zapora aplikacji internetowej usługi Application Gateway można skonfigurować do uruchamiania w następujących trybach:
- Tryb wykrywania: monitoruje i rejestruje wszystkie alerty zagrożeń. W sekcji Diagnostyka włączasz diagnostykę rejestrowania dla Application Gateway. Należy również upewnić się, że wybrano i włączono dziennik WAF. Zapora aplikacji internetowej nie blokuje żądań przychodzących, gdy działa w trybie wykrywania.
- Tryb ochrony zapobiegawczej: blokuje włamania i ataki wykrywane przez reguły. Osoba atakująca otrzymuje wyjątek "403 nieautoryzowany dostęp" i połączenie jest zamknięte. Tryb zapobiegania rejestruje takie ataki w dziennikach WAF.
Uwaga
Zalecamy uruchomienie nowo wdrożonej zapory aplikacji internetowej w trybie wykrywania przez krótki okres w środowisku produkcyjnym. Dzięki temu można uzyskać dzienniki zapory i zaktualizować wszelkie wyjątki lub reguły niestandardowe przed przejściem do trybu zapobiegania. Pomaga również zmniejszyć występowanie nieoczekiwanego zablokowanego ruchu.
Silnik zapory aplikacji internetowych (WAF)
Aparat zapory aplikacji internetowej to składnik, który sprawdza ruch i wykrywa, czy żądanie zawiera podpis wskazujący potencjalny atak. W przypadku korzystania z protokołu CRS 3.2 lub nowszego zapora aplikacji internetowej uruchamia nowy aparat zapory aplikacji internetowej, co zapewnia większą wydajność i ulepszony zestaw funkcji. W przypadku korzystania z wcześniejszych wersji CRS, zapora aplikacyjna działa na starszym silniku. Nowe funkcje są dostępne tylko w nowym aficie zapory aplikacji internetowej.
Akcje zapor aplikacji internetowych
Możesz wybrać akcję uruchamianą przez zaporę aplikacji internetowej, gdy żądanie pasuje do warunku reguły. Usługa Application Gateway obsługuje następujące akcje:
- Zezwalaj: żądanie przechodzi przez zaporę aplikacji internetowej i jest przekazywane do zaplecza. Żadne dalsze reguły o niższym priorytcie nie mogą blokować tego żądania. Te akcje dotyczą tylko zestawu reguł menedżera botów. Nie mają zastosowania do CRS.
- Blokuj: żądanie jest zablokowane. Zapora aplikacji internetowej wysyła odpowiedź do klienta bez przekazywania żądania do zaplecza.
- Dziennik: żądanie jest rejestrowane w dziennikach zapory aplikacji internetowej. Zapora aplikacji internetowej nadal ocenia reguły o niższym priorytcie.
- Wynik anomalii: ta akcja jest domyślna dla crS. Łączny wynik anomalii jest zwiększany, gdy żądanie pasuje do reguły z tą akcją. Ocenianie anomalii nie ma zastosowania do zestawu reguł menedżera botów.
Tryb oceniania anomalii
Program OWASP ma dwa tryby podejmowania decyzji, czy blokować ruch: tradycyjne i ocenianie anomalii.
W trybie tradycyjnym ruch zgodny z dowolną regułą jest traktowany niezależnie od innych dopasowań reguł. Ten tryb jest łatwy do zrozumienia, ale brak informacji o tym, ile reguł pasuje do określonego żądania, jest ograniczeniem. Dlatego tryb oceniania anomalii został wprowadzony jako domyślny dla programu OWASP 3. x.
W trybie oceniania anomalii ruch zgodny z dowolną regułą nie jest natychmiast blokowany, gdy zapora jest w trybie zapobiegania. Reguły mają pewną ważność: Krytyczne, Błąd, Ostrzeżenie lub Powiadomienie. Ta ważność ma wpływ na wartość liczbową dla żądania, która jest wynikiem anomalii. Na przykład jedno dopasowanie reguły ostrzeżenia przyczynia się do wyniku 3. Jedno Krytyczne dopasowanie reguły przyczynia się do 5.
| Ważność | Wartość |
|---|---|
| Krytyczne | 5 |
| Błąd | 4 |
| Ostrzeżenie | 3 |
| Uwaga | 2 |
Istnieje próg 5 dla wyniku anomalii w celu blokowania ruchu. Dlatego pojedyncze dopasowanie reguły krytycznej wystarczy, aby zapora aplikacji internetowej usługi Application Gateway zablokowała żądanie w trybie zapobiegania. Jednak jedna reguła ostrzeżenia tylko zwiększa wynik anomalii o 3, co nie wystarczy, aby zablokować ruch.
Uwaga
Komunikat rejestrowany, gdy reguła zapory aplikacji internetowej pasuje do ruchu, zawiera wartość akcji Dopasowane. Jeśli łączny wynik anomalii wszystkich pasowanych reguł wynosi 5 lub więcej, a zasady zapory aplikacji internetowej działają w trybie zapobiegania, żądanie wyzwala obowiązkową regułę anomalii z wartością akcji Zablokowane, a żądanie zostanie zatrzymane. Jeśli zasady zapory aplikacji internetowej są uruchomione w trybie wykrywania, żądanie wyzwala wartość akcji Wykryto, a żądanie jest rejestrowane i przekazywane do zaplecza. Aby uzyskać więcej informacji, zobacz Omówienie dzienników zapory aplikacji internetowej.
Konfigurowanie
Wszystkie zasady zapory aplikacji internetowej można skonfigurować i wdrożyć przy użyciu witryny Azure Portal, interfejsów API REST, szablonów usługi Azure Resource Manager i programu Azure PowerShell. Zasady zapory aplikacji internetowej na dużą skalę można również skonfigurować i zarządzać nimi przy użyciu integracji z usługą Azure Firewall Manager. Aby uzyskać więcej informacji, zapoznaj się z Konfigurowanie zasad usługi WAF przy użyciu Azure Firewall Manager.
Monitorowanie WAF
Monitorowanie kondycji bramy aplikacji jest ważne. Można to osiągnąć, integrując zaporę aplikacji internetowej (i aplikacje, które pomaga chronić) za pomocą usługi Microsoft Defender dla chmury, usługi Azure Monitor i dzienników usługi Azure Monitor.
Azure Monitor
Dzienniki usługi Application Gateway są zintegrowane z usługą Azure Monitor , dzięki czemu można śledzić informacje diagnostyczne, w tym alerty zapory aplikacji internetowej i dzienniki. Dostęp do tej funkcji można uzyskać w witrynie Azure Portal na karcie Diagnostyka zasobu usługi Application Gateway. Możesz też uzyskać do niego dostęp bezpośrednio w usłudze Azure Monitor.
Aby dowiedzieć się więcej na temat korzystania z dzienników, zobacz Dzienniki diagnostyczne dla usługi Application Gateway.
Microsoft Defender dla Chmury
Defender dla Chmury pomaga zapobiegać zagrożeniom, wykrywać je i reagować na nie. Zapewnia ona zwiększony wgląd w zasoby platformy Azure i kontrolę nad nimi. Usługa Application Gateway jest zintegrowana z Defender dla Chmury.
Defender dla Chmury skanuje środowisko w celu wykrywania niechronionych aplikacji internetowych. Może ona zalecić zaporę aplikacji internetowej usługi Application Gateway, aby chronić te wrażliwe zasoby.
Zapory są tworzone bezpośrednio z Defender dla Chmury. Te wystąpienia WAF są zintegrowane z usługą Defender dla Chmury. Wysyłają alerty i informacje o kondycji do Defender for Cloud na potrzeby raportowania.
Microsoft Sentinel
Microsoft Sentinel to skalowalne, natywne dla chmury rozwiązanie obejmujące zarządzanie zdarzeniami zabezpieczeń (SIEM) i automatyczne reagowanie na orkiestrację zabezpieczeń (SOAR). Usługa Microsoft Sentinel zapewnia inteligentną analizę zabezpieczeń i analizę zagrożeń w całym przedsiębiorstwie. Zapewnia pojedyncze rozwiązanie do wykrywania alertów, widoczności zagrożeń, proaktywnego wyszukiwania zagrożeń i reagowania na zagrożenia.
Za pomocą skoroszytu zdarzeń zapory wbudowanego w zaporę aplikacji internetowej platformy Azure możesz uzyskać przegląd zdarzeń zabezpieczeń w zaporze aplikacji internetowej. Omówienie obejmuje zgodne reguły, zablokowane reguły i wszystkie inne zarejestrowane działania zapory.
Skoroszyt usługi Azure Monitor dla zapory aplikacji internetowej
Skoroszyt usługi Azure Monitor dla zapory aplikacji internetowej umożliwia niestandardową wizualizację zdarzeń zapory aplikacji internetowej związanych z zabezpieczeniami w kilku panelach, które można filtrować. Współpracuje ona ze wszystkimi typami zapory aplikacji internetowej, w tym usługą Application Gateway, usługą Azure Front Door i usługą Azure Content Delivery Network.
Ten skoroszyt można filtrować na podstawie typu zapory aplikacji internetowej lub określonego wystąpienia zapory aplikacji internetowej. Importujesz go za pomocą szablonu usługi Azure Resource Manager lub szablonu galerii.
Aby wdrożyć ten skoroszyt, zobacz repozytorium GitHub dla usługi Azure Web Application Firewall.
Rejestrowanie
Zapora aplikacji internetowej usługi Application Gateway udostępnia szczegółowe raporty dotyczące każdego wykrytego zagrożenia. Logowanie jest zintegrowane z dziennikami diagnostycznymi Azure. Alerty są rejestrowane w formacie JSON. Te dzienniki można zintegrować z dziennikami usługi Azure Monitor.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "203.0.113.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
Cennik zapory aplikacji internetowej usługi Application Gateway
Modele cenowe różnią się w przypadku wersji WAF_v1 i WAF_v2. Aby uzyskać więcej informacji, zobacz Cennik usługi Application Gateway.
Co nowego
Aby dowiedzieć się, co nowego w usłudze Azure Web Application Firewall, zobacz Aktualizacje platformy Azure.
Powiązana zawartość
- Zapora aplikacji internetowej platformy Azure DRS i grupy reguł CRS i reguły
- Niestandardowe reguły zapory aplikacji internetowej platformy Azure w wersji 2 w usłudze Azure Application Gateway
- Usługa Azure Web Application Firewall w usłudze Azure Front Door
- Dokumentacja zabezpieczeń sieci platformy Azure