Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zapora aplikacji sieciowych Azure (WAF) w połączeniu z Azure Policy może pomóc w egzekwowaniu standardów organizacyjnych i ocenie zgodności na dużą skalę dla zasobów WAF. Usługa Azure Policy to narzędzie do zapewniania ładu, które zapewnia zagregowany widok do oceny ogólnego stanu środowiska z możliwością przechodzenia do szczegółów poszczególnych zasobów i szczegółowości poszczególnych zasad. Usługa Azure Policy pomaga również zapewnić zgodność zasobów dzięki zbiorczemu korygowaniu istniejących zasobów i automatycznemu korygowaniu nowych zasobów.
Polityka Azure dla zapory aplikacji internetowej
Istnieje wiele wbudowanych definicji Azure Policy do zarządzania zasobami WAF. Podział definicji zasad i ich funkcjonalności są następujące:
Włączanie zapory aplikacji internetowej (WAF)
Zapora aplikacji internetowej platformy Azure powinna być włączona dla punktów dostępowych usługi Azure Front Door: usługi Azure Front Door są oceniane, na podstawie tego, czy obecna jest zapora aplikacji internetowej (WAF), czy jej brak. Definicja zasad ma trzy efekty: Audyt, Odmowa i Wyłącz. Inspekcja śledzi przypadki, gdy usługa Azure Front Door nie ma zapory aplikacji internetowej (WAF) i pozwala użytkownikom sprawdzić, w jakim zakresie usługa Azure Front Door nie spełnia wymagań bezpieczeństwa. Zapobiega się utworzeniu jakiejkolwiek usługi Azure Front Door, jeśli nie jest dołączona WAF. Wyłączenie powoduje dezaktywację przypisania zasad.
Zapora aplikacji internetowej (WAF) powinna być włączona dla bramy aplikacji: Bramy aplikacji są oceniane pod kątem obecności zapory aplikacji internetowej podczas tworzenia zasobu. Definicja zasad ma trzy efekty: Audyt, Odmowa i Wyłącz. Inspekcja śledzi, kiedy usługa Application Gateway nie ma zapory aplikacji internetowej i umożliwia użytkownikom sprawdzenie, co nie jest zgodne z usługą Application Gateway. Odmowa uniemożliwia utworzenie jakiejkolwiek bramy aplikacji (Application Gateway), jeśli zapora aplikacji internetowej (WAF) nie jest dołączona. Wyłączenie powoduje dezaktywację przypisania zasad.
Wykrywanie mandatów lub tryb zapobiegania
Zaporę aplikacji internetowej (WAF) należy skonfigurować w określonym trybie dla usługi Azure Front Door Service: Wymaga się, aby tryb 'Wykrywanie' lub 'Zapobieganie' był aktywny we wszystkich zasadach zapory aplikacji internetowej dla usługi Azure Front Door Service. Definicja zasad ma trzy efekty: Audyt, Odmowa i Wyłącz. Rejestr śledzi, kiedy WAF nie pasuje do określonego trybu. Deny uniemożliwia utworzenie WAF, jeśli nie jest w odpowiednim trybie. Wyłączenie powoduje dezaktywację przypisania zasad.
Zapora aplikacji internetowej (WAF) powinna używać określonego trybu dla usługi Application Gateway: wymusza użycie trybu wykrywania lub zapobiegania, aby były aktywne we wszystkich zasadach zapory aplikacji internetowej dla usługi Application Gateway. Definicja zasad ma trzy efekty: Audyt, Odmowa i Wyłącz. Rejestr śledzi, kiedy WAF nie pasuje do określonego trybu. Deny uniemożliwia utworzenie WAF, jeśli nie jest w odpowiednim trybie. Wyłączenie powoduje dezaktywację przypisania zasad.
Wymagaj przeglądu żądań
Zapora aplikacji internetowej Azure w usłudze Azure Front Door powinna mieć włączoną inspekcję treści żądania: upewnij się, że zapory aplikacji internetowych skojarzone z usługą Azure Front Door mają włączoną inspekcję treści żądania. Ta funkcja umożliwia zaporze aplikacji webowej analizowanie parametrów w treści protokołu HTTP, które mogą nie być analizowane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI.
Zapora aplikacji internetowej platformy Azure na Bramie aplikacji Azure powinna mieć włączoną inspekcję treści żądań: Upewnij się, że zapory aplikacji internetowej skojarzone z Bramami aplikacji Azure mają włączoną inspekcję treści żądań. Ta funkcja umożliwia zaporze aplikacji webowej analizowanie parametrów w treści protokołu HTTP, które mogą nie być analizowane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI.
Potrzebne dzienniki zasobów
Usługa Azure Front Door powinna mieć włączone dzienniki zasobów: obowiązkiem jest włączenie rejestrów zasobów i metryk w klasycznej usłudze Azure Front Door, w tym zapory sieciowej. Definicja polityki ma dwa efekty: AuditIfNotExists i Disable. AuditIfNotExists śledzi, kiedy usługa Front Door nie ma dzienników zasobów, włączone metryki i powiadamia użytkownika, że usługa nie spełnia wymagań. Wyłączenie powoduje dezaktywację przypisania zasad.
Usługa Azure Front Door Standard lub Premium (Plus WAF) powinna mieć włączone dzienniki zasobów: Nakazuje włączenie dzienników zasobów oraz metryk dla usług Azure Front Door w wersjach Standard i Premium, w tym dla zapory aplikacyjnej sieci Web. Definicja polityki ma dwa efekty: AuditIfNotExists i Disable. AuditIfNotExists śledzi, kiedy usługa Front Door nie ma dzienników zasobów, włączone metryki i powiadamia użytkownika, że usługa nie spełnia wymagań. Wyłączenie powoduje dezaktywację przypisania zasad.
Brama aplikacji Azure powinna mieć włączone dzienniki zasobów: nakazuje włączenie dzienników zasobów i metryk we wszystkich bramach aplikacji, w tym WAF. Definicja polityki ma dwa efekty: AuditIfNotExists i Disable. AuditIfNotExists śledzi, kiedy usługa Application Gateway nie ma włączonych dzienników zasobów i metryk oraz powiadamia użytkownika, że usługa Application Gateway nie jest zgodna. Wyłączenie powoduje dezaktywację przypisania zasad.
Zalecane konfiguracje WAF
Profile Azure Front Door powinny używać warstwy Premium, która obsługuje zarządzane reguły zapory aplikacji internetowej i prywatne łącze: Wymaga, aby wszystkie profile Azure Front Door były w warstwie premium zamiast w warstwie standardowej. Usługa Azure Front Door Premium jest zoptymalizowana dla bezpieczeństwa i zapewnia dostęp do najnowszych zestawów reguł WAF oraz funkcji, takich jak ochrona botów.
Włącz regułę ograniczenia szybkości, aby chronić przed atakami DDoS w zaporze aplikacji internetowej Azure Front Door: Ograniczenie szybkości może pomóc chronić Twoją aplikację przed atakami DDoS. Reguła limitu szybkości usługi Azure Web Application Firewall (WAF) dla usługi Azure Front Door pomaga chronić przed atakami DDoS, kontrolując liczbę żądań dozwolonych z określonego adresu IP klienta do aplikacji w czasie trwania limitu szybkości.
Migracja WAF z konfiguracji WAF do zasad WAF w Application Gateway: Jeśli używasz konfiguracji WAF zamiast zasad WAF, warto rozważyć przejście na nowe zasady WAF. Zasady działania zapory aplikacji internetowych (WAF) oferują bogatszy zestaw zaawansowanych funkcji w porównaniu do konfiguracji WAF, zapewniając większą skalowalność, lepszą wydajność oraz, w przeciwieństwie do starszych konfiguracji WAF, możliwość zdefiniowania raz i ponownego użycia w wielu bramach, odbiornikach i ścieżkach URL. W przyszłości najnowsze funkcje i przyszłe ulepszenia są dostępne tylko za pośrednictwem zasad zapory aplikacji internetowej (WAF).
Tworzenie usługi Azure Policy
Na stronie głównej platformy Azure wpisz Zasady na pasku wyszukiwania i wybierz ikonę Azure Policy.
W usłudze Azure Policy w obszarze Tworzenie wybierz pozycję Przypisania.
Na stronie Przypisania wybierz ikonę Przypisz politykę u góry.
Na karcie Podstawy przypisywania zasad zaktualizuj następujące pola:
- Zakres: wybierz, do których subskrypcji platformy Azure i grup zasobów mają zastosowanie zasady.
- Wykluczenia: wybierz wszystkie zasoby z zakresu, które mają zostać wykluczone z przypisania zasad.
- Definicja zasad: wybierz definicję zasad, która ma być stosowana do zakresu z wykluczeniami. Wpisz "Web Application Firewall" na pasku wyszukiwania, aby wybrać odpowiednią Web Application Firewall Azure Policy.
Wybierz kartę Parametry i zaktualizuj parametry przypisania zasad. Aby dokładniej wyjaśnić, co robi parametr, umieść kursor na ikonie informacji obok nazwy parametru w celu uzyskania dalszych wyjaśnień.
Wybierz Przejrzyj i utwórz, aby sfinalizować przypisanie zasad. Przypisanie zasad trwa około 15 minut, zanim stanie się aktywne dla nowych zasobów.