Azure Web Application Firewall en Azure Policy

Azure Web Application Firewall (WAF) in combinatie met Azure Policy kan helpen bij het afdwingen van organisatiestandaarden en het beoordelen van naleving op schaal voor WAF-resources. Azure Policy is een governancehulpprogramma dat een geaggregeerde weergave biedt om de algehele status van de omgeving te evalueren, met de mogelijkheid om in te zoomen op de granulariteit per resource, per beleid. Azure Policy helpt ook om uw resources aan de naleving te brengen via bulkherstel voor bestaande resources en automatisch herstel voor nieuwe resources.

Azure Policy voor Web Application Firewall

Er zijn meerdere ingebouwde Azure Policy-definities voor het beheren van WAF-resources. Een uitsplitsing van de beleidsdefinities en hun functionaliteiten zijn als volgt:

Web Application Firewall (WAF) inschakelen

• Azure Web Application Firewall moet zijn ingeschakeld voor Toegangspunten van Azure Front Door: Azure Front Door Services worden geëvalueerd als er een WAF aanwezig is of niet. De beleidsdefinitie heeft drie effecten: Controleren, Weigeren en Uitschakelen. Controle houdt bij wanneer een Azure Front Door Service geen WAF heeft en gebruikers laat zien wat Azure Front Door Service niet voldoet. Weigeren voorkomt dat azure Front Door Service wordt gemaakt als er geen WAF is gekoppeld. Uitgeschakeld schakelt de beleidstoewijzing uit.

• Web Application Firewall (WAF) moet zijn ingeschakeld voor Application Gateway: Application Gateways worden geëvalueerd als er een WAF aanwezig is bij het maken van resources. De beleidsdefinitie heeft drie effecten: Controleren, Weigeren en Uitschakelen. Controle wordt bijgehouden wanneer een Application Gateway geen WAF heeft en gebruikers laat zien wat Application Gateway niet voldoet. Weigeren voorkomt dat application gateway wordt gemaakt als er geen WAF is gekoppeld. Uitgeschakeld schakelt de beleidstoewijzing uit.

Detectie- of preventiemodus van mandaat

• Web Application Firewall (WAF) moet de opgegeven modus voor Azure Front Door Service gebruiken: hiermee wordt het gebruik van de modus Detectie of Preventie verplicht om actief te zijn op alle Web Application Firewall-beleidsregels voor Azure Front Door Service. De beleidsdefinitie heeft drie effecten: Controleren, Weigeren en Uitschakelen. Controle wordt bijgehouden wanneer een WAF niet in de opgegeven modus past. Weigeren voorkomt dat WAF wordt gemaakt als deze zich niet in de juiste modus bevindt. Uitgeschakeld schakelt de beleidstoewijzing uit.

• Web Application Firewall (WAF) moet de opgegeven modus voor Application Gateway gebruiken: vereist het gebruik van de modus Detectie of Preventie om actief te zijn voor alle Web Application Firewall-beleidsregels voor Application Gateway. De beleidsdefinitie heeft drie effecten: Controleren, Weigeren en Uitschakelen. Controle wordt bijgehouden wanneer een WAF niet in de opgegeven modus past. Weigeren voorkomt dat WAF wordt gemaakt als deze zich niet in de juiste modus bevindt. Uitgeschakeld schakelt de beleidstoewijzing uit.

Aanvraaginspectie vereisen

• Voor Azure Web Application Firewall in Azure Front Door moet de inspectie van de aanvraagbody zijn ingeschakeld: Zorg ervoor dat Web Application Firewalls die zijn gekoppeld aan Azure Front Doors, de inspectie van de aanvraagbody hebben ingeschakeld. Met deze functionaliteit kan de WAF eigenschappen in de HTTP-hoofdtekst inspecteren die mogelijk niet worden geëvalueerd in de HTTP-headers, cookies of URI.

• Voor Azure Web Application Firewall op Azure-toepassing Gateway moet de inspectie van de aanvraagbody zijn ingeschakeld: Zorg ervoor dat Web Application Firewalls die zijn gekoppeld aan Azure-toepassing Gateways de inspectie van de aanvraagbody hebben ingeschakeld. Met deze functionaliteit kan de WAF eigenschappen in de HTTP-hoofdtekst inspecteren die mogelijk niet worden geëvalueerd in de HTTP-headers, cookies of URI.

Resourcelogboeken vereisen

• Voor Azure Front Door moeten resourcelogboeken zijn ingeschakeld: vereist het inschakelen van resourcelogboeken en metrische gegevens in de klassieke Azure Front Door-service, waaronder WAF. De beleidsdefinitie heeft twee effecten: AuditIfNotExists en Disable. AuditIfNotExists houdt bij wanneer een Front Door-service geen resourcelogboeken, metrische gegevens heeft ingeschakeld en de gebruiker op de hoogte stelt dat de service niet voldoet. Uitgeschakeld schakelt de beleidstoewijzing uit.

• Voor Azure Front Door Standard of Premium (Plus WAF) moeten resourcelogboeken zijn ingeschakeld: vereist het inschakelen van resourcelogboeken en metrische gegevens op de Azure Front Door Standard- en Premium-services, waaronder WAF. De beleidsdefinitie heeft twee effecten: AuditIfNotExists en Disable. AuditIfNotExists houdt bij wanneer een Front Door-service geen resourcelogboeken, metrische gegevens heeft ingeschakeld en de gebruiker op de hoogte stelt dat de service niet voldoet. Uitgeschakeld schakelt de beleidstoewijzing uit.

• Azure-toepassing Gateway moet resourcelogboeken hebben ingeschakeld: vereist het inschakelen van resourcelogboeken en metrische gegevens voor alle Application Gateways, waaronder WAF. De beleidsdefinitie heeft twee effecten: AuditIfNotExists en Disable. AuditIfNotExists houdt bij wanneer een Application Gateway geen resourcelogboeken heeft ingeschakeld, metrische gegevens heeft ingeschakeld en de gebruiker op de hoogte stelt dat de Toepassingsgateway niet voldoet. Uitgeschakeld schakelt de beleidstoewijzing uit.

Aanbevolen WAF-configuraties

• Azure Front Door-profielen moeten gebruikmaken van de Premium-laag die beheerde WAF-regels en private link ondersteunt: Mandaten dat al uw Azure Front Door-profielen zich in de Premium-laag bevinden in plaats van de standard-laag. Azure Front Door Premium is geoptimaliseerd voor beveiliging en biedt u toegang tot de meest recente WAF-regelsets en -functionaliteit, zoals botbeveiliging.

• Schakel frequentielimietregel in om te beschermen tegen DDoS-aanvallen op Azure Front Door WAF: snelheidsbeperking kan uw toepassing helpen beschermen tegen DDoS-aanvallen. De waf-frequentielimietregel (Azure Web Application Firewall) voor Azure Front Door helpt u te beschermen tegen DDoS door het aantal aanvragen te beheren dat is toegestaan van een bepaald CLIENT-IP-adres voor de toepassing tijdens een duur van de frequentielimiet.

• WAF migreren van WAF-configuratie naar WAF-beleid in Application Gateway: als u WAF-configuratie hebt in plaats van WAF-beleid, kunt u het nieuwe WAF-beleid gebruiken. WaF-beleidsregels (Web Application Firewall) bieden een uitgebreidere set geavanceerde functies via WAF-configuratie, bieden een hogere schaal, betere prestaties en in tegenstelling tot verouderde WAF-configuratie, WAF-beleidsregels kunnen eenmaal worden gedefinieerd en gedeeld tussen meerdere gateways, listeners en URL-paden. In de toekomst zijn de nieuwste functies en toekomstige verbeteringen alleen beschikbaar via WAF-beleid.

Een Azure Policy maken

1. Typ Beleid op de startpagina van Azure in de zoekbalk en selecteer het pictogram Azure Policy.

2. Selecteer Toewijzingen in de Azure Policy-service onder Ontwerpen.

3. Selecteer op de pagina Toewijzingen het pictogram Beleid toewijzen bovenaan.

4. Werk op het tabblad Basisbeginselen van de pagina Beleid toewijzen de volgende velden bij:
   1. Bereik: Selecteer op welke Azure-abonnementen en resourcegroepen het beleid van toepassing is.
   2. Uitsluitingen: selecteer alle resources uit het bereik die u wilt uitsluiten van de beleidstoewijzing.
   3. Beleidsdefinitie: Selecteer de beleidsdefinitie die moet worden toegepast op het bereik met uitsluitingen. Typ 'Web Application Firewall' in de zoekbalk om het relevante Azure Policy voor Web Application Firewall te kiezen.

5. Selecteer het tabblad Parameters en werk de beleidstoewijzingsparameters bij. Als u verder wilt verduidelijken wat de parameter doet, plaatst u de muisaanwijzer op het infopictogram naast de parameternaam voor verdere verduidelijking.

6. Selecteer Beoordelen en maken om uw beleidstoewijzing te voltooien. Het duurt ongeveer 15 minuten voordat de beleidstoewijzing actief is voor nieuwe resources.