Jak maskovat citlivá data ve službě Azure Web Application Firewall ve službě Azure Front Door

Nástroj pro scrubbing protokolu firewallu webových aplikací (WAF) pomáhá odebrat citlivá data z protokolů WAF. Funguje pomocí modulu pravidel, který umožňuje vytvářet vlastní pravidla k identifikaci konkrétních částí požadavku, které obsahují citlivá data. Jakmile zjistíte, nástroj vyčistí informace z vašich protokolů a nahradí je *******.

Poznámka:

Když povolíte funkci scrubbingu protokolů, Společnost Microsoft si stále uchovává IP adresy v našich interních protokolech, aby podporovala důležité funkce zabezpečení.

Následující tabulka uvádí příklady pravidel scrubbingu protokolů, která se dají použít k ochraně citlivých dat:

Shoda s proměnnou	Operátor	Výběr	Co se vyčistí
Názvy hlaviček požadavků	Je rovno	keytoblock	{"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"***"}
Žádosti o názvy souborů cookie	Je rovno	cookietoblock	{"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"***"}
Žádost o názvy post Arg	Je rovno	var	{"matchVariableName":"PostParamValue:var","matchVariableValue":"***"}
Názvy Arg json textu požadavku	Je rovno	JsonValue	{"matchVariableName":"JsonValue:key","matchVariableValue":"***"}
Názvy arg řetězců dotazů	Je rovno	foo	{"matchVariableName":"QueryParamValue:foo","matchVariableValue":"***"}
Ip adresa požadavku*	Rovná se libovolným	NULL	{"matchVariableName":"ClientIP","matchVariableValue":"***"}
Identifikátor URI žádosti	Rovná se libovolným	NULL	{"matchVariableName":"URI","matchVariableValue":"****"}

* Pravidla IP adresy požadavku a identifikátoru URI požadavku podporují pouze všechny operátory a scrubuje všechny instance IP adresy žadatele, které se zobrazují v protokolech WAF.

Další informace najdete v tématu Co je Azure Web Application Firewall ve službě Azure Front Door Sensitive Data Protection?

Povolení ochrany citlivých dat

K povolení a konfiguraci ochrany citlivých dat použijte následující informace.

Azure Portal

Povolení ochrany citlivých dat:

1. Otevřete existující zásady WAF služby Front Door.
2. V části Nastavení vyberte Citlivá data.
3. Na stránce Citlivá data vyberte Povolit scrubbing protokolu.

Konfigurace pravidel scrubbingu protokolu pro ochranu citlivých dat:

1. V části Pravidla scrubbingu protokolu vyberte proměnnou Shoda.
2. Vyberte operátor (pokud je k dispozici).
3. Zadejte selektor (pokud je k dispozici).
4. Zvolte Uložit.

Opakováním přidáte další pravidla.

PowerShell

Pomocí následujících příkazů Azure PowerShellu vytvořte a nakonfigurujte pravidla scrubbingu protokolů pro ochranu citlivých dat:

New-AzFrontDoorWafLogScrubbingRuleObject -MatchVariable <String> -SelectorMatchOperator <String>
 -State <String> [-Selector <String>] [-DefaultProfile <IAzureContextContainer>]
 [<CommonParameters>]

New-AzFrontDoorWafLogScrubbingSettingObject -ScrubbingRule <PSFrontDoorWafLogScrubbingRule[]> -State <String>
 [-DefaultProfile <IAzureContextContainer>] [<CommonParameters>]

Rozhraní příkazového řádku

Pomocí následujících příkazů rozhraní příkazového řádku vytvořte a nakonfigurujte pravidla scrubbingu protokolu pro ochranu citlivých dat:

az network front-door waf-policy update -g <MyResourceGroup> -n <MyPolicyName> --log-scrubbing "{scrubbing-rules:[{match-variable:<MatchVariable>,selector-match-operator:<Operator>}],state:<Enabled/Disabled>}"

Ověření ochrany citlivých dat

Pokud chcete ověřit pravidla ochrany citlivých dat, otevřete protokol brány firewall služby Front Door a vyhledejte ****** místo citlivých polí.

Další kroky

• Monitorování a protokolování služby Azure Web Application Firewall
• Bližší pohled na možnosti maskování dat v Azure WAF pro Azure Front Door