Tutorial: Configurar o Azure Ative Directory B2C com o Azure Web Application Firewall

Saiba como habilitar o serviço Azure Web Application Firewall (WAF) para um locatário do Azure Ative Directory B2C (Azure AD B2C) com um domínio personalizado. O WAF protege os aplicativos da Web contra exploits e vulnerabilidades comuns, como scripts entre sites, ataques DDoS e atividades de bots mal-intencionados.

Consulte O que é o Azure Web Application Firewall?

Pré-requisitos

Para começar, você precisa:

• Uma assinatura do Azure
• Se não tiver uma, obtenha uma conta gratuita do Azure
• Um locatário do Azure AD B2C – servidor de autorização que verifica as credenciais do usuário usando políticas personalizadas definidas no locatário
  • Também conhecido como provedor de identidade (IdP)
  • Consulte Tutorial: Criar um locatário B2C do Azure Ative Directory
• Azure Front Door premium – habilita domínios personalizados para o locatário do Azure AD B2C e é otimizado em termos de segurança com acesso a conjuntos de regras gerenciados pelo WAF
  • Consulte a documentação do Azure Front Door e CDN
• WAF – gerencia o tráfego enviado para o servidor de autorização
  • Azure Web Application Firewall (requer o SKU Premium)

Domínios personalizados no Azure AD B2C

Para usar domínios personalizados no Azure AD B2C, use os recursos de domínio personalizados no Azure Front Door. Consulte Habilitar domínios personalizados para o Azure AD B2C.

Ativar WAF

Para habilitar o Web Application Firewall (WAF), configure uma política de WAF e associe-a ao seu Azure Front Door premium para garantir proteção. O Azure Front Door Premium vem otimizado para segurança e oferece acesso a conjuntos de regras gerenciados pelo Azure que protegem contra vulnerabilidades e explorações comuns, incluindo scripts entre sites e explorações Java. O WAF fornece conjuntos de regras que ajudam a protegê-lo contra atividades maliciosas de bots. O WAF oferece proteção contra DDoS de camada 7 para sua aplicação.

Criar uma política WAF

Crie uma política WAF com o conjunto de regras padrão (DRS) gerenciado pelo Azure. Consulte Grupos de regras e regras do DRS do Web Application Firewall.

1. Inicie sessão no portal Azure.
2. Selecione Criar um recurso.
3. Pesquise por Azure WAF.
4. Selecione o Azure Service Web Application Firewall (WAF) da Microsoft.
5. Selecione Criar.
6. Vá para a página Criar uma política WAF .
7. Selecione o separador Básico.
8. Para Política para, selecione WAF Global (Front Door).
9. Para Front Door SKU, selecione o Premium SKU.
10. Para a Subscrição de , selecione o nome da sua subscrição do Front Door.
11. Para grupo de recursos, selecione o nome do grupo de recursos do Front Door.
12. Para Nome da política, insira um nome exclusivo para sua política WAF.
13. Para o estado da política , selecione Ativado.
14. Para o Modo de Política , selecione Deteção .
15. Vá para a guia Associação da página Criar uma política WAF.
16. Selecione + Associe um perfil de porta da frente.
17. Para Front Door, selecione o nome da Front Door associado ao domínio personalizado do Azure AD B2C.
18. Em Domínios, selecione os domínios personalizados do Azure AD B2C aos quais associar a política WAF.
19. Selecione Adicionar.
20. Selecione Verificar + criar.
21. Selecione Criar.

Conjunto de regras padrão

Quando você cria uma nova política WAF para o Azure Front Door, ela é implantada automaticamente com a versão mais recente do conjunto de regras padrão gerenciado pelo Azure (DRS). Este conjunto de regras protege as aplicações Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira fácil de implantar proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia esses conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque. O DRS inclui as regras de Coleta de Inteligência de Ameaças da Microsoft que são escritas em parceria com a equipe de Inteligência da Microsoft para fornecer maior cobertura, patches para vulnerabilidades específicas e melhor redução de falsos positivos.

Saiba mais: Grupos de regras e regras DRS do Firewall de Aplicativo Web do Azure

Conjunto de regras do Bot Manager

Por padrão, o WAF do Azure Front Door é implantado com a versão mais recente do conjunto de regras do Gerenciador de Bot gerenciado pelo Azure. Esse conjunto de regras categoriza o tráfego de bots em bots bons, ruins e desconhecidos. As assinaturas de bot por trás desse conjunto de regras são gerenciadas pela plataforma WAF e são atualizadas dinamicamente.

Saiba mais: O que é o Azure Web Application Firewall no Azure Front Door?

Limitação de Velocidade

A limitação de taxa permite detetar e bloquear níveis anormalmente altos de tráfego de qualquer endereço IP de soquete. Usando o WAF do Azure no Azure Front Door, você pode mitigar alguns tipos de ataques de negação de serviço. A limitação de taxa protege você contra clientes que foram acidentalmente configurados incorretamente para enviar grandes volumes de solicitações em um curto período de tempo. O limite de taxa deve ser configurado manualmente no WAF usando regras personalizadas.

Saiba mais:

• Limitação da taxa de firewall de aplicativos Web para o Azure Front Door
• Configurar uma regra de limite de taxa WAF para o Azure Front Door

Modos de deteção e prevenção

Quando você cria uma política WAF, a política é iniciada no modo de deteção. Recomendamos que você deixe a política WAF no modo de deteção enquanto ajusta o WAF para seu tráfego. Nesse modo, o WAF não bloqueia solicitações. Em vez disso, as solicitações que correspondem às regras do WAF são registradas pelo WAF assim que o log é habilitado.

Habilitar registo: monitorização e registo do Firewall de Aplicação Web do Azure

Depois que o registro estiver habilitado e seu WAF começar a receber tráfego de solicitação, você poderá começar a ajustar seu WAF examinando seus logs.

Saiba mais: Ajustar o Firewall de Aplicação Web do Azure para Azure Front Door

A consulta a seguir mostra as solicitações bloqueadas pela política WAF nas últimas 24 horas. Os detalhes incluem, nome da regra, dados da solicitação, ação tomada pela política e o modo de política.

AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s

Analise os logs do WAF para determinar se as regras de política causam falsos positivos. Em seguida, exclua as regras do WAF com base nos logs do WAF.

Mais informações

• Configurar listas de exclusão WAF para o Azure Front Door
• Listas de exclusão de firewall de aplicativo Web no Azure Front Door

Depois de o sistema de registo de logs estar configurado e seu WAF receber tráfego, você pode avaliar a eficácia das regras do gerenciador de bots na gestão do tráfego de bots. A consulta a seguir mostra as ações executadas pelo conjunto de regras do gerenciador de bots, categorizadas por tipo de bot. Enquanto estiver no modo de Deteção, o WAF registra apenas as ações de tráfego do bot. No entanto, uma vez mudado para o modo de prevenção, o WAF começa a bloquear ativamente o tráfego indesejado de bots.

AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked

Alternar modos

Para ver o WAF agir no tráfego de solicitação, selecione Alternar para o modo de prevenção na página Visão geral, que altera o modo de Deteção para Prevenção. As solicitações que correspondem às regras no DRS são bloqueadas e registradas nos logs do WAF. O WAF executa a ação prescrita quando uma solicitação corresponde a uma ou mais regras no DRS e registra os resultados. Por padrão, o DRS é definido como modo de pontuação de anomalia; isso significa que o WAF não toma nenhuma ação em uma solicitação, a menos que o limite de pontuação de anomalia seja atingido.

Saiba mais: Pontuação de Anomalias do Firewall de Aplicativo Web do Azure em Grupos de Regras e Regras DRS

Para reverter para o modo de deteção, selecione Alternar para o modo de deteção na página Visão geral.

Próximos passos

• Práticas recomendadas para o Firewall de Aplicativo Web do Azure no Azure Front Door
• Gerenciar políticas do Web Application Firewall
• Ajustar o Azure Web Application Firewall para o Azure Front Door