Este artigo responde a perguntas comuns sobre recursos e funcionalidades para o Firewall do Aplicativo Web do Azure no Azure Front Door.
O que é o Firewall do Aplicativo Web do Azure?
O Firewall do Aplicativo Web do Azure é um WAF (firewall de aplicativo Web) que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, script entre sites e outras explorações da Web. Você pode definir uma política de WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.
Você pode aplicar uma política de WAF a aplicativos Web hospedados no Gateway de Aplicativo do Azure ou no Azure Front Door.
O que é o Firewall do Aplicativo Web do Azure no Azure Front Door?
O Azure Front Door é uma rede de distribuição de conteúdo e aplicativo altamente escalonável e distribuída globalmente. O Firewall de Aplicativo Web do Azure, quando integrado ao Azure Front Door, interrompe os ataques de negação de serviço e de aplicativos direcionados na borda da rede do Azure (perto de fontes de ataque) antes de entrar em sua rede virtual. Essa combinação oferece proteção sem sacrificar o desempenho.
O Firewall de Aplicativo Web do Azure dá suporte a HTTPS?
O Azure Front Door oferece descarregamento de TLS (Transport Layer Security). O Firewall do Aplicativo Web do Azure é integrado nativamente ao Azure Front Door e pode inspecionar uma solicitação depois de descriptografada.
O Firewall de Aplicativo Web do Azure dá suporte ao IPv6?
Sim. Você pode configurar a restrição de IP para IPv4 e IPv6. Para obter mais informações, consulte a postagem no blog sobre a adoção do IPv6 para aprimorar o Firewall do Aplicativo Web do Azure no Azure Front Door.
Quão atualizados são os conjuntos de regras gerenciadas?
Fazemos o nosso melhor para acompanhar as mudanças no cenário de ameaças. Quando atualizamos uma regra, a adicionamos ao DRS (Conjunto de Regras Padrão) com um novo número de versão.
Qual é o tempo de propagação se eu alterar minha política do WAF?
A maioria das implantações de política do WAF é concluída em menos de 20 minutos. Você pode esperar que a política entre em vigor assim que a atualização for concluída em todas as localizações de borda globalmente.
As políticas de WAF podem ser diferentes para regiões diferentes?
Quando o Firewall do Aplicativo Web do Azure é integrado ao Azure Front Door, o WAF é um recurso global. A mesma configuração se aplica em todos os locais do Azure Front Door.
Como fazer para garantir que somente o Azure Front Door possa acessar o back-end na minha rede?
Você pode configurar uma lista de controle de acesso IP em seu back-end para permitir apenas intervalos de endereços IP de saída do Azure Front Door usando uma marca de serviço do Azure Front Door e negar qualquer acesso direto da Internet. As tags de serviço são suportadas para sua rede virtual. Além disso, você pode verificar se o X-Forwarded-Host campo de cabeçalho HTTP é válido para seu aplicativo Web.
Quais opções de WAF devo escolher?
Há duas opções para aplicar políticas de WAF no Azure. O Firewall do Aplicativo Web do Azure no Azure Front Door é uma solução de segurança de borda distribuída globalmente. O Firewall de Aplicação Web do Azure no Gateway de Aplicações é uma solução regional dedicada. Recomendamos que você escolha uma solução com base em seus requisitos gerais de desempenho e segurança. Para obter mais informações, consulte opções de balanceamento de carga.
Qual é a abordagem recomendada para habilitar um WAF no Azure Front Door?
Quando você habilita o WAF em um aplicativo existente, é comum ocorrer detecções falso-positivas nas quais as regras do WAF identificam o tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para os usuários, recomendamos o seguinte processo:
Habilite o WAF no modo de detecção para garantir que o WAF não bloqueie as solicitações enquanto você estiver trabalhando nesse processo. Recomendamos esta etapa para fins de testes no WAF.
Importante
Este processo descreve como habilitar o WAF em uma solução nova ou existente quando sua prioridade é minimizar os distúrbios aos usuários do aplicativo. Se você estiver sofrendo um ataque ou sob ameaça iminente, é recomendável implantar imediatamente o WAF no modo de prevenção. Em seguida, você pode usar o processo de ajuste para monitorar e ajustar o WAF ao longo do tempo. Essa abordagem provavelmente fará com que parte do seu tráfego legítimo seja bloqueado, e é por isso que recomendamos usá-lo somente quando você estiver sob ameaça.
Siga as orientações para ajustar o WAF. Esse processo requer que você habilite o log de diagnóstico, revise os logs regularmente e adicione exclusões de regras e outras mitigações.
Repita todo esse processo e verifique os logs regularmente, até que você esteja convencido de que nenhum tráfego legítimo está sendo bloqueado. Todo o processo pode levar várias semanas. Idealmente, você deve ver menos detectações de falso positivo após cada ajuste que realizar.
Por fim, habilite o WAF no modo de prevenção.
Mesmo depois de colocar o WAF em produção, você deve continuar monitorando os logs para identificar quaisquer outras detecções de falsos positivos. Revisar regularmente os logs também ajuda você a identificar todas as tentativas de ataque reais que foram bloqueadas.
Você dá suporte aos mesmos recursos do WAF em todas as plataformas integradas?
Atualmente, as regras CRS (Conjunto de Regras Principais) 3.0, CRS 3.1 e CRS 3.2 têm suporte apenas com o Firewall do Aplicativo Web do Azure no Gateway de Aplicativo. A limitação de fluxo e as regras de DRS gerenciadas pelo Azure têm suporte apenas com o Firewall de Aplicativo Web do Azure no Azure Front Door.
A proteção contra DDoS está integrada ao Azure Front Door?
O Azure Front Door é distribuído globalmente nas bordas de rede do Azure. Ele pode absorver e isolar geograficamente ataques de grande volume. Você pode criar uma política de WAF personalizada para bloquear e limitar automaticamente ataques HTTP e HTTPS que tenham assinaturas conhecidas. Você também pode habilitar a proteção de rede DDoS (negação de serviço distribuído) na rede virtual em que seus back-ends são implantados.
Os clientes do serviço proteção contra DDoS do Azure recebem benefícios adicionais, incluindo proteção de custo, uma garantia de contrato de nível de serviço (SLA) e acesso a especialistas da Equipe de Resposta Rápida do DDoS para obter ajuda imediata durante um ataque. Para obter mais informações, consulte Proteção contra DDoS no Azure Front Door.
Por que solicitações adicionais acima do limite configurado para minha regra de limite de taxa são passadas para meu servidor de back-end?
Talvez você não veja solicitações imediatamente bloqueadas pelo limite de taxa quando diferentes servidores do Azure Front Door processam solicitações. Para obter mais informações, consulte Limites de taxa e servidores do Azure Front Door.
Quais tipos de conteúdo o WAF dá suporte?
O WAF do Azure Front Door dá suporte aos seguintes tipos de conteúdo:
DRS 2.0
Regras gerenciadas:
application/jsonapplication/xmlapplication/x-www-form-urlencodedmultipart/form-data
Regras personalizadas:
application/x-www-form-urlencoded
DRS 1.x
Regras gerenciadas:
application/x-www-form-urlencodedtext/plain
Regras personalizadas:
application/x-www-form-urlencoded
Observação
O WAF do Azure Front Door não dá suporte à codificação de conteúdo. Isso significa que os corpos compactados não serão descompactados antes de serem enviados para o motor WAF.
Posso aplicar uma política de WAF do Azure Front Door a hosts de front-end em perfis Premium do Azure Front Door que pertencem a diferentes assinaturas?
Não, você não pode. O perfil do Azure Front Door e a política do WAF precisam estar na mesma assinatura.