Utilisation de WAF Application Gateway pour protéger vos applications
Ajouter la protection WAF (Web Application Firewall) à des applications publiées avec un proxy d’application Microsoft Entra.
Pour plus d’informations sur Web Application Firewall, consultez Présentation de Web Application Firewall sur Azure Application Gateway.
Étapes du déploiement
Cet article décrit les étapes permettant d’exposer de façon sécurisée une application web sur Internet en utilisant le proxy d’application Microsoft Entra avec Azure WAF sur Application Gateway.
Configurer Azure Application Gateway pour envoyer du trafic à votre application interne
Certaines étapes de la configuration d’Application Gateway seront omises dans cet article. Pour obtenir un guide détaillé sur la création et la configuration d’une passerelle d’application, consultez Démarrage rapide : Trafic web direct avec Azure Application Gateway – Centre d’administration Microsoft Entra.
1. Créer un écouteur HTTPS privé
Créez un écouteur pour permettre aux utilisateurs d’accéder à l’application web en privé quand ils sont connectés au réseau d’entreprise.
2. Créer un pool de back-ends avec les serveurs web
Dans cet exemple, les serveurs principaux disposent d’Internet Information Services (IIS) installés.
3. Créer un paramètre de back-end
Un paramètre de back-end détermine la façon dont les requêtes atteignent les serveurs du pool de back-ends.
4. Créer une règle de routage qui lie l’écouteur, le pool de back-ends et le paramètre de back-end créés dans les étapes précédentes
5. Activer le WAF dans la passerelle d’application et la définir sur le mode Prévention
Configurer votre application pour qu’elle soit accessible à distance via un proxy d’application dans Microsoft Entra ID
Les deux machines virtuelles du connecteur, la passerelle d’application et les serveurs de back-ends ont été déployés dans le même réseau virtuel dans Azure. Cette configuration s’applique également aux applications et aux connecteurs déployés localement.
Pour obtenir un guide détaillé sur l’ajout de votre application au proxy d’application dans Microsoft Entra ID, consultez Tutoriel : Ajouter une application locale pour l’accès à distance via le proxy d’application dans Microsoft Entra ID. Pour plus d’informations sur les performances concernant les connecteurs du réseau privé, consultez Optimiser le flux de trafic avec le proxy d’application Microsoft Entra.
Dans cet exemple, la même URL a été configurée que l’URL interne et externe. Les clients distants accèdent à l’application via Internet sur le port 443, via le proxy d’application. Un client connecté au réseau d’entreprise accède à l’application en privé. L’accès se fait via la passerelle d’application directement sur le port 443. Pour une étape détaillée sur la configuration de domaines personnalisés dans le proxy d’application, consultez Configurer des domaines personnalisés avec le proxy d’application Microsoft Entra.
Une zone DNS (Domain Name System) privée Azure est créée avec un enregistrement A. L’enregistrement A pointe vers www.fabrikam.one
à l’adresse IP front-end privée de la passerelle d’application. L’enregistrement fait que les machines virtuelles du connecteur envoient les requêtes à la passerelle d’application.
Test de l’application
Après avoir ajouté un utilisateur pour le test, vous pouvez tester l’application en accédant à https://www.fabrikam.one. L’utilisateur est invité à s’authentifier dans Microsoft Entra ID et, une fois l’authentification réussie, il accède à l’application.
Simuler une attaque
Pour tester si le WAF bloque les demandes malveillantes, vous pouvez simuler une attaque à l’aide d’une signature d’injection SQL de base. Par exemple : "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Une réponse HTTP 403 confirme que WAF a bloqué la requête.
Les journaux de pare-feu Application Gateway fournissent plus de détails sur la requête et la raison pour laquelle WAF la bloque.