Jak maskovat citlivá data ve službě Azure Web Application Firewall

Nástroj pro čištění protokolů firewallu webových aplikací (WAF) pomáhá odebrat citlivá data z protokolů WAF. Funguje pomocí modulu pravidel, který umožňuje vytvářet vlastní pravidla k identifikaci konkrétních částí požadavku, které obsahují citlivá data. Jakmile zjistíte, nástroj vyčistí informace z vašich protokolů a nahradí je *******.

Poznámka:

Funkce scrubbingu protokolů je podporována pouze ve firewallech webových aplikací s nejnovějším modulem WAF. Jako spravovanou sadu pravidel vyberte OWASP CRS 3.2 nebo Výchozí sada pravidel 2.1.

Poznámka:

Když povolíte funkci scrubbingu protokolů, Společnost Microsoft si stále uchovává IP adresy v našich interních protokolech, aby podporovala důležité funkce zabezpečení.

Následující tabulka uvádí příklady pravidel scrubbingu protokolů, která se dají použít k ochraně citlivých dat:

Shoda s proměnnou	Operátor	Výběr	Co se vyčistí
Názvy hlaviček požadavků	Je rovno	X-forwarded-for	REQUEST_HEADERS:x-forwarded-for,"data":"******"
Žádosti o názvy souborů cookie	Je rovno	cookie1	"Matched Data: ****** found within REQUEST_COOKIES:cookie1: ******"
Žádost o názvy Arg	Je rovno	arg1	"requestUri":"/?arg1=******"
Žádost o názvy post Arg	Je rovno	Příspěvek 1	"data":"Matched Data: ****** found within ARGS:post1: ******"
Žádost o názvy Arg JSON	Je rovno	Jsonarg	"data":"Matched Data: ****** found within ARGS:jsonarg: ******"
Ip adresa požadavku*	Rovná se libovolným	NULL	"clientIp":"******"

* Pravidla IP adres požadavku podporují pouze všechny operátory a scrubuje všechny instance IP adresy žadatele, které se zobrazují v protokolech WAF.

Další informace najdete v tématu Co je Ochrana citlivých dat v Bráně firewall webových aplikací Azure?

Povolení ochrany citlivých dat

K povolení a konfiguraci ochrany citlivých dat použijte následující informace.

Azure Portal

Povolení ochrany citlivých dat:

1. Otevřete existující zásadu WAF služby Application Gateway.
2. V části Nastavení vyberte Citlivá data.
3. Na stránce Citlivá data vyberte Povolit scrubbing protokolu.

Konfigurace pravidel scrubbingu protokolu pro ochranu citlivých dat:

1. V části Pravidla scrubbingu protokolu vyberte proměnnou Shoda.
2. Vyberte operátor (pokud je k dispozici).
3. Zadejte selektor (pokud je k dispozici).
4. Zvolte Uložit.

Opakováním přidáte další pravidla.

PowerShell

Pomocí následujících příkazů Azure PowerShellu vytvořte a nakonfigurujte pravidla scrubbingu protokolů pro ochranu citlivých dat:

$logScrubbingRule1 = New-AzApplicationGatewayFirewallPolicyLogScrubbingRule `
  -State <String> -MatchVariable <String> `
  -SelectorMatchOperator <String> -Selector <String>

$logScrubbingRuleConfig = New-AzApplicationGatewayFirewallPolicyLogScrubbingConfiguration `
  -State <String> -ScrubbingRule $logScrubbingRule1

Rozhraní příkazového řádku

Pomocí následujících příkazů rozhraní příkazového řádku vytvořte a nakonfigurujte pravidla scrubbingu protokolu pro ochranu citlivých dat:

az network application-gateway waf-policy policy-setting update -g <MyResourceGroup> --policy-name <MyPolicySetting> --log-scrubbing-state <Enabled/Disabled> --scrubbing-rules "[{state:<Enabled/Disabled>,match-variable:<MatchVariable>,selector-match-operator:<Operator>,selector:<Selector>}]"

Ověření ochrany citlivých dat

Pokud chcete ověřit pravidla ochrany citlivých dat, otevřete protokol brány firewall služby Application Gateway a vyhledejte ****** místo citlivých polí.

Další kroky

• Použití Log Analytics k prozkoumání protokolů firewallu webových aplikací služby Application Gateway (WAF)