Partilhar via

Firewall de Aplicativo Web do Azure na Rede de Entrega de Conteúdo do Azure

Uma implantação do Firewall de Aplicativo Web do Azure na Rede de Entrega de Conteúdo do Azure fornece proteção centralizada para seu conteúdo da Web. O Azure Web Application Firewall defende seus serviços Web contra exploits e vulnerabilidades comuns. Ele ajuda a manter seu serviço altamente disponível para seus usuários e ajuda você a atender aos requisitos de conformidade.

Importante

A visualização do Firewall de Aplicativo Web do Azure na Rede de Entrega de Conteúdo do Azure não está mais aceitando novos clientes. Em vez disso, incentivamos os clientes a usar o Firewall de Aplicativo Web do Azure na Porta da Frente do Azure .

Fornecemos aos clientes existentes um contrato de nível de serviço de visualização. Algumas funcionalidades poderão não ser suportadas ou poderão ter capacidades limitadas. Para obter detalhes, consulte Termos de Uso Suplementares para Visualizações do Microsoft Azure.

O Azure Web Application Firewall na Rede de Entrega de Conteúdo do Azure é uma solução global e centralizada. Ele é implantado em pontos de presença de rede do Azure em todo o mundo. O Azure Web Application Firewall impede ataques mal-intencionados perto das fontes de ataque, antes que eles cheguem à sua origem. Você obtém proteção global em escala sem sacrificar o desempenho.

Uma política de firewall de aplicativo da Web (WAF) vincula-se a qualquer ponto de extremidade de rede de distribuição de conteúdo (CDN) em sua assinatura. Você pode implantar novas regras em poucos minutos, para que possa responder rapidamente às mudanças nos padrões de ameaça.

Diagrama que mostra como o Firewall de Aplicativo Web do Azure na Rede de Entrega de Conteúdo do Azure age em solicitações de entrada.

Política e regras do WAF

Você pode configurar uma política WAF e associá-la a um ou mais pontos de extremidade CDN para proteção. Uma política WAF consiste em dois tipos de regras de segurança:

  • Regras personalizadas: regras que você mesmo pode criar.
  • Conjuntos de regras gerenciadas: regras pré-configuradas gerenciadas pelo Azure que você pode habilitar.

Quando ambos estão presentes, o WAF processa regras personalizadas antes de processá-las em um conjunto de regras gerenciadas.

Uma regra consiste em uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação suportados são ALLOW, BLOCK, LOGe REDIRECT. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos específicos de proteção de aplicativos combinando regras gerenciadas e personalizadas.

O WAF processa regras dentro de uma política em uma ordem de prioridade. A prioridade é um número inteiro exclusivo que define a ordem das regras a serem processadas. Números menores são uma prioridade maior, e o WAF avalia essas regras antes das regras que têm um valor maior. Depois que o WAF faz a correspondência de uma regra com uma solicitação, ele aplica a ação correspondente que a regra define à solicitação. Depois que o WAF processa essa correspondência, as regras que têm prioridades mais baixas não são processadas.

Um aplicativo Web hospedado na Rede de Entrega de Conteúdo do Azure pode ter apenas uma política WAF associada a ele de cada vez. No entanto, você pode ter um ponto de extremidade CDN sem nenhuma política WAF associada a ele. Se uma política WAF estiver presente, ela será replicada para todos os pontos de presença para garantir políticas de segurança consistentes em todo o mundo.

Regras personalizadas

As regras personalizadas podem incluir:

  • Regras de correspondência: você pode configurar as seguintes regras de correspondência personalizadas:

    • Lista de permissões e listas de bloqueio de IP: Você pode controlar o acesso aos seus aplicativos da Web com base em uma lista de endereços IP de clientes ou intervalos de endereços IP. Os tipos de endereços IPv4 e IPv6 são suportados.

      As regras de lista de IP usam o RemoteAddress IP contido no cabeçalho da X-Forwarded-For solicitação e não o SocketAddress valor que o WAF usa. Você pode configurar listas de IP para bloquear ou permitir solicitações em que o IP corresponda a RemoteAddress um IP na lista.

      Se você tiver um requisito para bloquear solicitações no endereço IP de origem que o WAF usa (por exemplo, o endereço do servidor proxy se o usuário estiver atrás de um proxy), você deve usar a camada Azure Front Door Standard ou Premium. Para obter mais informações, consulte Configurar uma regra de restrição de IP com um WAF para a Porta da Frente do Azure.

    • Controle de acesso baseado em geografia: você pode controlar o acesso aos seus aplicativos da Web com base no código do país associado ao endereço IP de um cliente.

    • Controle de acesso baseado em parâmetros HTTP: Você pode basear regras em correspondências de cadeia de caracteres em parâmetros de solicitação HTTP ou HTTPS. Os exemplos incluem cadeias de caracteres de consulta, POST argumentos, URI de solicitação, cabeçalho de solicitação e corpo de solicitação.

    • Controle de acesso baseado em método de solicitação: você pode basear as regras no método de solicitação HTTP da solicitação. Exemplos incluem GET, PUTe HEAD.

    • Restrição de tamanho: você pode basear as regras nos comprimentos de partes específicas de uma solicitação, como cadeia de caracteres de consulta, URI ou corpo da solicitação.

  • Regras de controle de taxa: Essas regras limitam o tráfego anormalmente alto de qualquer endereço IP do cliente.

    Você pode configurar um limite no número de solicitações da Web permitidas a partir de um endereço IP do cliente durante uma duração de um minuto. Esta regra é distinta de uma regra personalizada baseada em lista de IP que permite todas ou bloqueia todas as solicitações de um endereço IP do cliente.

    Os limites de taxa podem ser combinados com mais condições de correspondência, como correspondências de parâmetros HTTP ou HTTPS, para controle granular da taxa.

Conjuntos de regras gerenciados pelo Azure

Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira de implantar proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia esses conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque. O Conjunto de Regras Padrão gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:

  • Scripting entre sites
  • Ataques Java
  • Inclusão de ficheiro local
  • Ataques de injeção PHP
  • Execução remota de comandos
  • Inclusão de ficheiro remoto
  • Fixação de sessão
  • Proteção contra injeção de SQL
  • Atacantes de protocolo

O número da versão do Conjunto de Regras Padrão aumenta quando novas assinaturas de ataque são adicionadas ao conjunto de regras.

O Conjunto de Regras Padrão é habilitado por padrão no modo de deteção em suas políticas WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Padrão para atender aos requisitos do seu aplicativo. Você também pode definir ações específicas (ALLOW, BLOCK, LOGe REDIRECT) por regra. A ação padrão para o Conjunto de Regras Padrão gerenciado é BLOCK.

As regras personalizadas são sempre aplicadas antes de o WAF avaliar as regras no Conjunto de Regras Padrão. Se uma solicitação corresponder a uma regra personalizada, o WAF aplicará a ação de regra correspondente. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra ou regra personalizada no Conjunto de Regras Padrão é processada. Você também pode remover o Conjunto de Regras Padrão de suas políticas WAF.

Modos WAF

Você pode configurar uma política WAF para ser executada nos dois modos a seguir:

  • Modo de deteção: o WAF não executa nenhuma outra ação além de monitorar e registrar a solicitação e sua regra WAF correspondente em logs WAF. Você pode ativar o diagnóstico de log para a Rede de Entrega de Conteúdo do Azure. Quando você usa o portal do Azure, vá para a seção Diagnóstico .
  • Modo de prevenção: o WAF executa a ação especificada se uma solicitação corresponder a uma regra. Se encontrar uma correspondência, não avaliará outras regras que tenham uma prioridade menor. Todas as solicitações correspondentes também são registradas nos logs do WAF.

Ações do WAF

Você pode escolher uma das seguintes ações quando uma solicitação corresponde às condições de uma regra:

  • ALLOW: A solicitação passa pelo WAF e é encaminhada para o back-end. Nenhuma outra regra de prioridade inferior pode bloquear este pedido.
  • BLOCK: O pedido está bloqueado. O WAF envia uma resposta ao cliente sem encaminhar a solicitação para o back-end.
  • LOG: A solicitação é registrada nos logs do WAF. O WAF continua a avaliar as regras de prioridade mais baixa.
  • REDIRECT: O WAF redireciona a solicitação para o URI especificado. O URI especificado é uma configuração de nível de política. Depois de definir a configuração, todas as solicitações que correspondem à REDIRECT ação são enviadas para esse URI.

Configuração

Você pode configurar e implantar todos os tipos de regra WAF usando o portal do Azure, APIs REST, modelos do Azure Resource Manager e Azure PowerShell.

Monitorização

O monitoramento do Firewall de Aplicativo Web do Azure na Rede de Entrega de Conteúdo do Azure é integrado ao Azure Monitor para ajudá-lo a rastrear alertas e monitorar tendências de tráfego.

Conteúdo relacionado

  • Last updated on