Sdílet prostřednictvím

Azure Web Application Firewall a Azure Policy

  • Článek

Azure Web Application Firewall (WAF) v kombinaci se službou Azure Policy může pomoct vynutit standardy organizace a vyhodnotit dodržování předpisů ve velkém měřítku pro prostředky WAF. Azure Policy je nástroj zásad správného řízení, který poskytuje agregované zobrazení pro vyhodnocení celkového stavu prostředí s možností přejít k podrobnostem jednotlivých prostředků a podrobností zásad. Azure Policy také pomáhá přenést prostředky do souladu s předpisy prostřednictvím hromadné nápravy stávajících prostředků a automatické nápravy pro nové prostředky.

Azure Policy pro firewall webových aplikací

Ke správě prostředků WAF existuje několik předdefinovaných definic Azure Policy. Rozdělení definic zásad a jejich funkcí je následující:

Povolení firewallu webových aplikací (WAF)

  • Brána firewall webových aplikací Azure by měla být povolená pro vstupní body služby Azure Front Door: Služby Azure Front Door se vyhodnocují, pokud je k dispozici WAF nebo ne. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, kdy služba Azure Front Door Service nemá WAF a umožňuje uživatelům zjistit, co služba Azure Front Door Service nevyhovuje. Odepření zabrání vytvoření jakékoli služby Azure Front Door Service, pokud není připojený WAF. Zakázané vypne přiřazení zásad.

  • Firewall webových aplikací (WAF) by měl být povolený pro službu Application Gateway: Služba Application Gateway se vyhodnocuje, jestli při vytváření prostředků existuje WAF. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, kdy služba Application Gateway nemá WAF a umožňuje uživatelům zjistit, co Služba Application Gateway nevyhovuje. Odepřít zabrání vytvoření služby Application Gateway, pokud není připojený WAF. Zakázané vypne přiřazení zásad.

Režim detekce nebo prevence mandátu

  • Firewall webových aplikací (WAF) by měl používat zadaný režim pro službu Azure Front Door Service: Vyžaduje použití režimu Detekce nebo Prevence, aby byl aktivní ve všech zásadách firewallu webových aplikací pro službu Azure Front Door Service. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, kdy WAF neodpovídá zadanému režimu. Odepřít zabrání vytvoření WAF, pokud není ve správném režimu. Zakázané vypne přiřazení zásad.

  • Firewall webových aplikací (WAF) by měl používat zadaný režim pro Službu Application Gateway: Vyžaduje, aby byl pro službu Application Gateway aktivní režim Detekce nebo Prevence ve všech zásadách firewallu webových aplikací. Definice zásady má tři účinky: Audit, Odepřít a Zakázat. Audit sleduje, kdy WAF neodpovídá zadanému režimu. Odepřít zabrání vytvoření WAF, pokud není ve správném režimu. Zakázané vypne přiřazení zásad.

Vyžadovat kontrolu žádosti

  • Brána firewall webových aplikací Azure ve službě Azure Front Door by měla mít povolenou kontrolu textu požadavku: Ujistěte se, že brány firewall webových aplikací přidružené ke službě Azure Front Door mají povolenou kontrolu těla požadavku. Tato funkce umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI.

  • Brána firewall webových aplikací Azure ve službě Aplikace Azure lication Gateway by měla mít povolenou kontrolu těla požadavku: Ujistěte se, že brány firewall webových aplikací přidružené k Aplikace Azure lication Gateway mají povolenou kontrolu těla požadavku. Tato funkce umožňuje WAF kontrolovat vlastnosti v těle HTTP, které nemusí být vyhodnoceny v hlavičkách HTTP, souborech cookie nebo identifikátoru URI.

Vyžadovat protokoly prostředků

  • Služba Azure Front Door by měla mít povolené protokoly prostředků: Vyžaduje povolení protokolů prostředků a metrik ve službě Azure Front Door Classic, včetně WAF. Definice zásady má dva účinky: AuditIfNotExists a Disable. AuditIfNotExists sleduje, kdy služba Front Door nemá protokoly prostředků, metriky jsou povolené a upozorní uživatele, že služba nevyhovuje. Zakázané vypne přiřazení zásad.

  • Služba Azure Front Door Standard nebo Premium (Plus WAF) by měla mít povolené protokoly prostředků: Vyžaduje povolení protokolů prostředků a metrik ve službách Azure Front Door Standard a Premium, včetně WAF. Definice zásady má dva účinky: AuditIfNotExists a Disable. AuditIfNotExists sleduje, kdy služba Front Door nemá protokoly prostředků, metriky jsou povolené a upozorní uživatele, že služba nevyhovuje. Zakázané vypne přiřazení zásad.

  • Aplikace Azure lication Gateway by měla mít povolené protokoly prostředků: Vyžaduje povolení protokolů prostředků a metrik pro všechny aplikační brány, včetně WAF. Definice zásady má dva účinky: AuditIfNotExists a Disable. AuditIfNotExists sleduje, když služba Application Gateway nemá protokoly prostředků, metriky jsou povolené a upozorní uživatele, že služba Application Gateway nevyhovuje. Zakázané vypne přiřazení zásad.

  • Profily služby Azure Front Door by měly používat úroveň Premium, která podporuje spravovaná pravidla WAF a privátní propojení: Vyžaduje, aby všechny profily služby Azure Front Door byly na úrovni Premium místo na úrovni Standard. Azure Front Door Premium je optimalizovaný pro zabezpečení a poskytuje přístup k nejaktuálnějším sadům pravidel a funkcím WAF, jako je ochrana robotů.

  • Povolení pravidla omezení rychlosti pro ochranu před útoky DDoS na WAF služby Azure Front Door: Omezení rychlosti může pomoct chránit vaši aplikaci před útoky DDoS. Pravidlo omezení rychlosti firewallu webových aplikací Azure (WAF) pro Službu Azure Front Door pomáhá chránit před útoky DDoS tím, že řídí počet požadavků povolených z konkrétní IP adresy klienta do aplikace během doby trvání omezení rychlosti.

  • Migrace WAF z konfigurace WAF na zásady WAF ve službě Application Gateway: Pokud máte konfiguraci WAF místo zásad WAF, možná budete chtít přejít na novou zásadu WAF. Zásady firewallu webových aplikací (WAF) nabízejí bohatší sadu pokročilých funkcí oproti konfiguraci WAF, poskytují vyšší škálování, lepší výkon a na rozdíl od starší konfigurace WAF je možné zásady WAF definovat jednou a sdílet mezi několika branami, naslouchacími procesy a cestami url. V budoucnu jsou nejnovější funkce a budoucí vylepšení k dispozici pouze prostřednictvím zásad WAF.

Vytvoření služby Azure Policy

  1. Na domovské stránce Azure zadejte na panelu hledání zásady a vyberte ikonu Azure Policy.

  2. Ve službě Azure Policy v části Vytváření vyberte Přiřazení.

Snímek obrazovky s kartou Přiřazení ve službě Azure Policy

  1. Na stránce Přiřazení vyberte nahoře ikonu Přiřadit zásadu .

Snímek obrazovky s kartou Základy na stránce Přiřadit zásadu

  1. Na kartě Základy přiřazení zásad aktualizujte následující pole:
    1. Rozsah: Vyberte, na jaká předplatná a skupiny prostředků Azure se zásady vztahují.
    2. Vyloučení: Vyberte všechny prostředky z oboru, které chcete vyloučit z přiřazení zásad.
    3. Definice zásady: Vyberte definici zásady, která se má použít na obor s vyloučeními. Na panelu hledání zadejte "Firewall webových aplikací" a zvolte příslušnou službu Azure Policy firewallu webových aplikací.

Snímek obrazovky znázorňující kartu Definice zásad na stránce Dostupné definice

  1. Vyberte kartu Parametry a aktualizujte parametry přiřazení zásad. Pokud chcete dále objasnit, co parametr dělá, najeďte myší na ikonu informací vedle názvu parametru, abyste ho mohli podrobněji objasnit.

  2. Výběrem možnosti Zkontrolovat a vytvořit dokončete přiřazení zásad. Přiřazení zásady trvá přibližně 15 minut, než bude aktivní pro nové prostředky.