Maskieren vertraulicher Daten in Azure Web Application Firewall
Mit dem Protokollbereinigungstool von Web Application Firewall (WAF) können Sie vertrauliche Daten aus Ihren WAF-Protokollen entfernen. Dies funktioniert mithilfe einer Regel-Engine, mit der Sie benutzerdefinierte Regeln erstellen können, um bestimmte Teile einer Anforderung, die vertrauliche Daten enthalten, zu identifizieren. Nach der Identifizierung entfernt das Tool diese Informationen aus Ihren Protokollen und ersetzt sie durch *******.
Hinweis
Das Protokollbereinigungsfeature wird nur für Webanwendungsfirewalls unterstützt, die das neueste WAF-Modul ausführen. Wählen Sie OWASP CRS 3.2 oder Standardregelsatz 2.1 als verwalteten Regelsatz aus.
Hinweis
Wenn Sie das Protokollbereinigungsfeature aktivieren, speichert Microsoft weiterhin IP-Adressen in unseren internen Protokollen, um wichtige Sicherheitsfeatures zu unterstützen.
Die folgende Tabelle enthält Beispiele für Protokollbereinigungsregeln, die zum Schutz Ihrer vertraulichen Daten verwendet werden können:
| Übereinstimmungsvariable | Betreiber | Auswahl | Das wird bereinigt: |
|---|---|---|---|
| Anforderungsheadernamen | Equals | X-Forwarded-For | REQUEST_HEADERS:x-forwarded-for.","data":"******" |
| Anforderungscookienamen | Equals | cookie1 | "Matched Data: ****** gefunden in REQUEST_COOKIES:cookie1: ******" |
| Anforderungsargumentnamen | Equals | arg1 | "requestUri":"/?arg1=******" |
| Anforderungs-Post-Argumentnamen | Equals | Post1 | "data":"Matched Data: ****** gefunden in ARGS:post1: ******" |
| Anforderungs-JSON-Argumentnamen | Equals | Jsonarg | "data":"Matched Data: ****** gefunden in ARGS:jsonarg: ******" |
| Anforderungs-IP-Adresse* | Gleicht beliebig | NULL | "clientIp":"******" |
* Anforderungs-IP-Adressregeln unterstützen nur den Operator gleicht beliebig und bereinigen alle Instanzen der IP-Adresse des Anforderers, die in den WAF-Protokollen angezeigt wird.
Weitere Informationen finden Sie unter Was ist der Schutz vertraulicher Daten von Azure Web Application Firewall?
Aktivieren des Schutzes vertraulicher Daten
Verwenden Sie die folgenden Informationen, um den Schutz vertraulicher Daten zu aktivieren und zu konfigurieren.
So aktivieren Sie den Schutz vertraulicher Daten:
- Öffnen Sie eine vorhandene Application Gateway WAF-Richtlinie.
- Wählen Sie unter Einstellungen die Option Vertrauliche Daten aus.
- Wählen Sie auf der Seite Vertrauliche Daten die Option Protokollbereinigung aktivieren aus.
So konfigurieren Sie Protokollbereinigungsregeln für den Schutz vertraulicher Daten:
- Wählen Sie unter Protokollbereinigungsregeln eine Übereinstimmungsvariable aus.
- Wählen Sie einen Operator aus (falls zutreffend).
- Geben Sie einen Selektor ein (falls zutreffend).
- Wählen Sie Speichern aus.
Wiederholen Sie die Schritte, um weitere Regeln hinzuzufügen.
Überprüfen des Schutzes vertraulicher Daten
Um Ihre Datenschutzregeln zu überprüfen, öffnen Sie das Application Gateway-Firewallprotokoll, und suchen Sie nach ****** anstatt nach den vertraulichen Feldern.