Procedure consigliate per Web application firewall di Azure in Frontdoor di Azure
Questo articolo riepiloga le procedure consigliate per l'uso di Web application firewall di Azure in Frontdoor di Azure.
Procedure consigliate generali
Questa sezione illustra le procedure consigliate generali.
Abilitare WAF
Per le applicazioni con connessione Internet, è consigliabile abilitare un web application firewall (WAF) e configurarlo per l'uso di regole gestite. Quando si usano un WAF e regole gestite da Microsoft, l'applicazione è protetta da una serie di attacchi.
Ottimizzare il WAF
Le regole nel WAF devono essere ottimizzate per il carico di lavoro. Se non si ottimizza il WAF, potrebbe bloccare accidentalmente le richieste che devono essere consentite. L'ottimizzazione potrebbe comportare la creazione di esclusioni di regole per ridurre i rilevamenti falsi positivi.
Durante l'ottimizzazione del WAF, è consigliabile usare la modalità di rilevamento. Questa modalità registra le richieste e le azioni eseguite normalmente da WAF, ma in realtà non blocca alcun traffico.
Per altre informazioni, vedere Ottimizzare Web application firewall di Azure per Frontdoor di Azure.
Usare la modalità di prevenzione
Dopo aver ottimizzato waf, configurarlo per l'esecuzione in modalità di prevenzione. Eseguendo in modalità di prevenzione, assicurarsi che il WAF blocchi le richieste rilevate siano dannose. L'esecuzione in modalità di rilevamento è utile durante l'ottimizzazione e la configurazione del WAF, ma non offre alcuna protezione.
Definire la configurazione waf come codice
Quando si ottimizza waf per il carico di lavoro dell'applicazione, in genere si crea un set di esclusioni di regole per ridurre i rilevamenti falsi positivi. Se si configurano manualmente queste esclusioni usando il portale di Azure, quando si aggiorna waf per usare una versione più recente del set di regole, è necessario riconfigurare le stesse eccezioni rispetto alla nuova versione del set di regole. Questo processo può richiedere molto tempo e può essere soggetto a errori.
È invece consigliabile definire le esclusioni delle regole WAF e altre configurazioni come codice, ad esempio usando l'interfaccia della riga di comando di Azure, Azure PowerShell, Bicep o Terraform. Quando è necessario aggiornare la versione del set di regole WAF, è possibile riutilizzare facilmente le stesse esclusioni.
Procedure consigliate per il set di regole gestite
Questa sezione illustra le procedure consigliate per i set di regole.
Abilitare i set di regole predefiniti
I set di regole predefiniti di Microsoft sono progettati per proteggere l'applicazione rilevando e bloccando gli attacchi comuni. Le regole sono basate su varie origini, tra cui i tipi di attacco OWASP top-10 e le informazioni di Microsoft Threat Intelligence.
Per altre informazioni, vedere Set di regole gestite da Azure.
Abilitare le regole di gestione dei bot
I bot sono responsabili di una percentuale significativa di traffico verso le applicazioni Web. Il set di regole di protezione del bot di WAF classifica i bot in base al fatto che siano validi, non validi o sconosciuti. I bot non validi possono quindi essere bloccati, mentre i bot validi come i crawler del motore di ricerca sono autorizzati all'applicazione.
Per altre informazioni, vedere Set di regole di protezione bot.
Usare le versioni più recenti del set di regole
Microsoft aggiorna regolarmente le regole gestite per tenere conto del panorama delle minacce corrente. Assicurarsi di controllare regolarmente la disponibilità di aggiornamenti ai set di regole gestite da Azure.
Per altre informazioni, vedere Regole e gruppi di regole drS di Web Application Firewall di Azure.
Procedure consigliate per la limitazione della frequenza
Questa sezione illustra le procedure consigliate per la limitazione della frequenza.
Aggiungere una limitazione della velocità
Frontdoor di Azure WAF consente di controllare il numero di richieste consentite dall'indirizzo IP di ogni client in un periodo di tempo. È consigliabile aggiungere una limitazione della frequenza per ridurre l'effetto dei client accidentalmente o intenzionalmente inviando grandi quantità di traffico al servizio, ad esempio durante una tempesta di tentativi.
Per ulteriori informazioni, vedi le seguenti risorse:
- Che cos'è la limitazione della frequenza per Frontdoor di Azure?.
- Configurare una regola di limite di frequenza di Web Application Firewall di Azure usando Azure PowerShell.
- Perché le richieste aggiuntive al di sopra della soglia configurata per la regola del limite di velocità vengono passate al server back-end?
Usare una soglia elevata per i limiti di frequenza
In genere è consigliabile impostare la soglia del limite di velocità in modo che sia elevata. Ad esempio, se si sa che un singolo indirizzo IP client potrebbe inviare circa 10 richieste al server ogni minuto, valutare la possibilità di specificare una soglia di 20 richieste al minuto.
Le soglie di limite elevato evitano di bloccare il traffico legittimo. Queste soglie offrono comunque protezione da un numero molto elevato di richieste che potrebbero sovraccaricare l'infrastruttura.
Procedure consigliate per il filtro geografico
Questa sezione illustra le procedure consigliate per il filtro geografico.
Traffico con filtro geografico
Molte applicazioni Web sono progettate per gli utenti all'interno di un'area geografica specifica. Se questa situazione si applica all'applicazione, è consigliabile implementare il filtro geografico per bloccare le richieste provenienti dall'esterno dei paesi o delle aree geografiche da cui si prevede di ricevere traffico.
Per altre informazioni, vedere Che cos'è il filtro geografico in un dominio per Frontdoor di Azure?.
Specificare la posizione sconosciuta (ZZ)
Alcuni indirizzi IP non vengono mappati alle posizioni nel set di dati. Quando non è possibile eseguire il mapping di un indirizzo IP a una posizione, WAF assegna il traffico al paese o all'area geografica sconosciuta (ZZ). Per evitare di bloccare le richieste valide da questi indirizzi IP, valutare la possibilità di consentire il paese o l'area geografica sconosciuta (ZZ) tramite il filtro geografico.
Per altre informazioni, vedere Che cos'è il filtro geografico in un dominio per Frontdoor di Azure?.
Registrazione
In questa sezione viene descritta la registrazione.
Aggiungere le impostazioni di diagnostica per salvare i log di WAF
Frontdoor di Azure WAF si integra con Monitoraggio di Azure. È importante salvare i log WAF in una destinazione come Log Analytics. È consigliabile esaminare regolarmente i log waf. La revisione dei log consente di ottimizzare i criteri WAF per ridurre i rilevamenti falsi positivi e di comprendere se l'applicazione è stata oggetto di attacchi.
Per altre informazioni, vedere Monitoraggio e registrazione di Web Application Firewall di Azure.
Inviare i log a Microsoft Sentinel
Microsoft Sentinel è un sistema siem (Security Information and Event Management), che importa log e dati da più origini per comprendere il panorama delle minacce per l'applicazione Web e l'ambiente Azure complessivo. I log WAF di Frontdoor di Azure devono essere importati in Microsoft Sentinel o in un altro sistema SIEM in modo che le proprietà con connessione Internet siano incluse nell'analisi. Per Microsoft Sentinel, usare il connettore WAF di Azure per importare facilmente i log WAF.
Per altre informazioni, vedere Usare Microsoft Sentinel con Web Application Firewall di Azure.
Passaggi successivi
Informazioni su come creare un criterio WAF di Frontdoor di Azure.