Azure Front Door で Web アプリケーション ファイアウォールを実装する

  • 6 分

Web アプリケーション ファイアウォール (WAF) では、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。 Web アプリケーションが、一般的な既知の脆弱性を悪用した悪意のある攻撃の標的になるケースが増えています。 よくある攻撃の例として、SQL インジェクションやクロスサイト スクリプティングが挙げられます。

WAF overview diagram showing a global WAF policy can allow or deny access to resources in Azure regions or on-premises.

アプリケーション コードでのこのような攻撃の阻止は困難です。 アプリケーション トポロジの複数の層で厳格な保守、パッチ適用、監視が必要になる場合があります。 Web アプリケーション ファイアウォールを一元化することで、セキュリティの管理がはるかに簡単になります。 また、WAF を使用すると、アプリケーション管理者にとっては脅威や侵入に対する保護がより確実になります。

WAF のソリューションでは、個々の Web アプリケーションをセキュリティで保護するのではなく、一元的に既知の脆弱性の修正プログラムを適用することで、さらに迅速にセキュリティの脅威に対応できます。

Web Application Firewall ポリシーのモード

Web Application Firewall (WAF) ポリシーを作成すると、WAF ポリシーは既定で検出モードになります。 検出モードの WAF では、どの要求もブロックされず、代わりに、WAF 規則に一致する要求は WAF ログに記録されます。 WAF の動作を確認するには、モードの設定を [検出] から [防止] に変更できます。 防止モードでは、既定の規則セット (DRS) で定義されている規則に一致する要求はブロックされ、WAF ログに記録されます。

Screenshot that shows the WAF policy modes.

Web Application Firewall の既定の規則セットの規則グループと規則

Azure Front Door の Web Application Firewall (WAF) により、Web アプリケーションは一般的な脆弱性や悪用から保護されます。 Azure で管理される規則セットでは、一般的なセキュリティ脅威のセットに対する保護をデプロイする簡単な方法が提供されます。 そのような規則セットは Azure によって管理されるので、規則は、新しい攻撃シグネチャから保護するため、必要に応じて更新されます。

マネージド ルール

Azure で管理される既定の規則セットには、次の脅威カテゴリに対する規則が含まれます。

  • クロスサイト スクリプティング
  • Java 攻撃
  • ローカル ファイル インクルージョン
  • PHP インジェクション攻撃
  • リモート コマンド実行
  • リモート ファイル インクルージョン
  • セッション固定
  • SQL インジェクションからの保護
  • プロトコル攻撃者

Azure で管理される既定の規則セットは既定で有効になります。 現在の既定のバージョンは DefaultRuleSet_2.1 です。 その他のルール セットは、ドロップダウン ボックスで使用できます。

個々の規則を無効にするには、規則番号の前にあるチェック ボックスをオンにして、ページの上部にある [無効にする] を選択します。 規則セット内の個々の規則のアクションの種類を変更するには、規則番号の前にあるチェック ボックスをオンにして、ページの上部にある [アクションを変更する] を選択します。

Screenshot that shows WAF policy managed rules.

カスタム規則

Front Door で Azure WAF を使用すると、ユーザーが定義した条件に基づいて Web アプリケーションへのアクセスを制御できます。 カスタム WAF 規則は、優先順位番号、規則の種類、一致条件、およびアクションで構成されます。 カスタム規則には、一致規則とレート制限規則の 2 種類があります。 一致規則では一連の一致条件に基づいてアクセスが制御されるのに対し、レート制限規則では一致条件と着信要求のレートに基づいてアクセスが制御されます。 カスタム規則を無効にして評価されないようにできますが、その場合でも構成は維持されます。

WAF ポリシーを作成するときに、[カスタム規則] セクションで [カスタム ルールの追加] を選択して、カスタム規則を作成できます。 これで、カスタム ルールの構成ページが起動されます。

Screenshot that shows the WAF policy add custom rule.

次のスクリーンショットの例では、クエリ文字列に blockme が含まれている場合に要求をブロックするカスタム ルールの構成が示されています。

Screenshot that shows the WAF policy custom rule configuration.

Azure Front Door で Web Application Firewall ポリシーを作成する

このセクションでは、基本的な Azure Web Application Firewall (WAF) ポリシーを作成し、Azure Front Door でプロファイルにそれを適用する方法について説明します。

Azure portal を使用して Azure Front Door で WAF ポリシーを作成するための主なステージは次のとおりです。

  1. Web Application Firewall ポリシーを作成する

    ここでは、管理された既定のルール セット (DRS) を使って、基本的な WAF ポリシーを作成します。

  2. WAF ポリシーと Front Door プロファイルを関連付ける

    ここでは、ステージ 1 で作成した WAF ポリシーを、Front Door プロファイルと関連付けます。 この関連付けは、WAF ポリシーの作成中に行うことも、以前に作成した WAF ポリシーに対して行うこともできます。 関連付けでは、Front Door プロファイルと、WAF ポリシーを適用する Front Door プロファイル内のドメインを指定します。 このステージの間に、ドメインが WAF ポリシーに関連付けられている場合は、淡色表示になります。最初に、関連付けられているポリシーからドメインを削除した後、新しい WAF ポリシーにドメインを再度関連付ける必要があります。

  3. WAF ポリシーの設定とルールを構成する

    これは省略可能なステージであり、モード (防止または検出) などのポリシー設定と、管理された規則やカスタム規則を構成できます。

これらのすべてのタスクの詳細な手順については、「チュートリアル: Azure portal を使用して Azure Front Door で Web アプリケーション ファイアウォール ポリシーを作成する」を参照してください。

自分の知識をチェックする

1.

WAF ポリシーで使用できる 2 つのモードは何ですか?

2.

WAF ポリシーの 2 種類のカスタム規則は何ですか?