Tutorial: Configurar o Azure Active Directory B2C com o Firewall do Aplicativo Web do Azure

Saiba como habilitar o serviço WAF (Firewall de Aplicativo Web) do Azure para um locatário do Azure AD B2C (Azure Active Directory B2C) com um domínio personalizado. O WAF protege os aplicativos Web contra explorações e vulnerabilidades comuns, como scripts entre sites, ataques de DDoS e atividade de bot mal-intencionado.

Veja o que é o Firewall do Aplicativo Web do Azure?

Pré-requisitos

Para começar, você precisa do seguinte:

• Uma assinatura do Azure
• Se você não tiver uma, obtenha uma conta gratuita do Azure
• Um locatário do Azure AD B2C – servidor de autorização que verifica as credenciais do usuário usando políticas personalizadas definidas no locatário
  • Também conhecido como IdP (provedor de identidade)
  • Confira o Tutorial: Criar um locatário do Azure Active Directory B2C
• Azure Front Door Premium – habilita domínios personalizados para o locatário do Azure AD B2C e é otimizado para segurança com acesso aos conjuntos de regras gerenciados pelo WAF
  • Consulte a documentação do Azure Front Door e da CDN
• WAF – gerencia o tráfego enviado ao servidor de autorização
  • Firewall do Aplicativo Web do Azure (é necessário SKU Premium)

Domínios personalizados no Azure AD B2C

Para usar domínios personalizados no Azure AD B2C, use os recursos de domínio personalizados no Azure Front Door. Consulte Habilitar domínios personalizados para o Azure AD B2C.

Habilitar WAF

Para habilitar o WAF, configure uma política de WAF e associe-a ao Azure Front Door Premium para proteção. O Azure Front Door Premium vem otimizado para segurança e fornece acesso a conjuntos de regras gerenciados pelo Azure que protegem contra vulnerabilidades e explorações comuns, incluindo scripts entre sites e explorações de Java. O WAF fornece conjuntos de regras que ajudam a protegê-lo contra atividades de bot mal-intencionadas. O WAF oferece proteção contra DDoS da camada 7 para seu aplicativo.

Criar uma política de WAF

Crie uma política de WAF com o DRS (conjunto de regras padrão) gerenciado pelo Azure. Consulte os grupos de regras e as regras do DRS do Web Application Firewall.

1. Entre no portal do Azure.
2. Selecione Criar um recurso.
3. Pesquise o WAF do Azure.
4. Selecione o Firewall de Aplicativo Web (WAF) do Serviço do Azure da Microsoft.
5. Selecione Criar.
6. Vá para a página Criar uma política do WAF .
7. Selecione a guia Noções Básicas.
8. Na Política para, selecione WAF Global (Front Door).
9. Para Front Door SKU, selecione Premium SKU.
10. Em Assinatura, selecione o nome da assinatura do Front Door.
11. Para Grupo de recursos, selecione o nome do grupo de recursos do Front Door.
12. Em Nome da política, Insira um nome exclusivo para a política de WAF.
13. Para Estado da política, selecione Habilitada.
14. No Modo de política, selecione Detecção.
15. Acesse a guia Associação da página Criar uma política de WAF.
16. Selecione + Associar um perfil do Front Door.
17. Para Front Door, selecione o nome do Front Door, que está associado ao domínio personalizado do Azure AD B2C.
18. Para Domínios, selecione os domínios personalizados do Azure AD B2C aos quais associar a política do WAF.
19. Selecione Adicionar.
20. Selecione Examinar + criar.
21. Selecione Criar.

Conjunto de regras padrão

Quando você cria uma nova política de WAF para o Azure Front Door, ela é implantada automaticamente com a versão mais recente do DRS (conjunto de regras padrão) gerenciado pelo Azure. Esse conjunto de regras protege os aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Visto que esses conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque. O DRS inclui as regras da Coleção de Inteligência contra Ameaças da Microsoft escritas em parceria com a equipe do Microsoft Intelligence para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Saiba mais: Regras e grupos de regras de DRS do Firewall do Aplicativo Web do Azure

Conjunto de regras do Gerenciador de Bot

Por padrão, o WAF do Azure Front Door é implantado com a versão mais recente do conjunto de regras do Gerenciador de Bot gerenciado pelo Azure. Esse conjunto de regras categoriza o tráfego de bot em bots bons, ruins e desconhecidos. As assinaturas de bot por trás desse conjunto de regras são gerenciadas pela plataforma WAF e são atualizadas dinamicamente.

Saiba mais: O que é o Firewall do Aplicativo Web do Azure no Azure Front Door?

Limitação de taxa

A limitação de taxa permite detectar e bloquear níveis anormalmente altos de tráfego de qualquer endereço IP de soquete. Usando o WAF do Azure no Azure Front Door, você pode atenuar alguns tipos de ataques de negação de serviço. A limitação de taxa protege você contra clientes que foram acidentalmente configurados incorretamente para enviar grandes volumes de solicitações em um curto período de tempo. A limitação de taxa deve ser configurada manualmente no WAF usando regras personalizadas.

Saiba Mais:

• Limitação da taxa de firewall do aplicativo Web para o Azure Front Door
• Configurar uma regra de limite de taxa de WAF para o Azure Front Door

Modos de detecção e prevenção

Quando você cria uma política de WAF, a política é iniciada no modo de detecção. Recomendamos que você deixe a política do WAF no Modo de detecção enquanto ajusta o WAF ao seu tráfego. Nesse modo, o WAF não bloqueia solicitações. Em vez disso, as solicitações que correspondem às regras do WAF são registradas pelo WAF quando o registro em log é habilitado.

Habilitar o registro em log: Monitoramento e registro em log do Firewall de Aplicativo Web do Azure

Após habilitar o log e o WAF começar a receber tráfego de requisições, você poderá começar a configurar o WAF analisando os logs.

Saiba mais: Ajustar o Firewall do Aplicativo Web do Azure para o Azure Front Door

A consulta a seguir mostra as solicitações bloqueadas pela política do WAF nas últimas 24 horas. Os detalhes incluem, nome da regra, dados de solicitação, ação executada pela política e o modo de política.

AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s

Examine os logs do WAF para determinar se as regras de política causam falsos positivos. Depois, exclua as regras do WAF baseadas nos logs do WAF.

Saiba Mais

• Configurar listas de exclusão do WAF para o Azure Front Door
• Listas de exclusão de firewall de aplicativo Web no Azure Front Door

Depois que o log for configurado e o WAF estiver recebendo tráfego, você poderá avaliar a eficácia das regras do gerenciador de bots no tratamento do tráfego de bot. A consulta a seguir mostra as ações executadas pelo conjunto de regras do gerenciador de bot, categorizado por tipo de bot. Enquanto estiver no modo de detecção, o WAF registra somente ações de tráfego de bot. No entanto, uma vez alternado para o modo de prevenção, o WAF começa a bloquear ativamente o tráfego de bot indesejado.

AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked

Alternar os modos

Para ver o WAF tomar medidas no tráfego de solicitação, selecione Alternar para o modo de prevenção na página Visão Geral, que altera o modo de Detecção para Prevenção. As solicitações que correspondem às regras no DRS são bloqueadas e registradas nos logs do WAF. O WAF toma a ação prescrita quando uma solicitação corresponde a uma ou mais regras no DRS e registra os resultados. Por padrão, o DRS é definido como modo de pontuação de anomalias; isso significa que o WAF não toma nenhuma ação em uma solicitação, a menos que o limite de pontuação de anomalias seja atingido.

Saiba mais: pontuação de anomalias das Regras e grupos de regras do DRS do Firewall de Aplicativo Web do Azure

Para reverter para o modo de detecção, selecione Alternar para o modo de detecção na página Visão Geral.

Próximas etapas

• As práticas recomendadas para o Firewall do Aplicativo Web do Azure no Azure Front Door
• Gerenciar políticas de Firewall de Aplicativo Web
• Ajustar o Firewall de Aplicativo Web do Azure no Azure Front Door