Jak maskować poufne dane w usłudze Azure Web Application Firewall
Narzędzie do czyszczenia dzienników zapory aplikacji internetowej (WAF) pomaga usunąć poufne dane z dzienników zapory aplikacji internetowej. Działa przy użyciu aparatu reguł, który umożliwia tworzenie niestandardowych reguł w celu identyfikowania określonych części żądania zawierającego poufne dane. Po zidentyfikowaniu narzędzie usuwa te informacje z dzienników i zastępuje je ciągiem *******.
Uwaga
Funkcja czyszczenia dzienników jest obsługiwana tylko w zaporach aplikacji internetowych z uruchomionym najnowszym aparatem zapory aplikacji internetowej. Wybierz opcję OWASP CRS 3.2 lub Domyślny zestaw reguł 2.1 jako zestaw reguł zarządzanych.
Uwaga
Po włączeniu funkcji czyszczenia dzienników firma Microsoft nadal przechowuje adresy IP w naszych dziennikach wewnętrznych w celu obsługi krytycznych funkcji zabezpieczeń.
W poniższej tabeli przedstawiono przykłady reguł czyszczenia dzienników, których można użyć do ochrony poufnych danych:
| Dopasuj zmienną | Operator | Selektor | Co zostaje szorowane |
|---|---|---|---|
| Nazwy nagłówków żądania | Równa się | X-Forwarded-for | REQUEST_HEADERS:x-forwarded-for.","data":"******" |
| Żądania nazw plików cookie | Równa się | cookie1 | "Dopasowane dane: ****** znalezione w REQUEST_COOKIES:cookie1: ******" |
| Żądanie nazw Arg | Równa się | arg1 | "requestUri":"/?arg1=******" |
| Żądanie po nazwach Arg | Równa się | Post1 | "data":"Dopasowane dane: ****** znalezione w usłudze ARGS:post1: ******" |
| Żądanie nazw Arg w formacie JSON | Równa się | Jsonarg | "data":"Dopasowane dane: ****** znalezione w usłudze ARGS:jsonarg: ******" |
| Żądanie adresu IP* | Równa się dowolnemu | NULL | "clientIp":"******" |
* Reguły żądań adresów IP obsługują tylko dowolny operator i czyści wszystkie wystąpienia adresu IP osoby żądającej, która jest wyświetlana w dziennikach zapory aplikacji internetowej.
Aby uzyskać więcej informacji, zobacz Co to jest ochrona poufnych danych zapory aplikacji internetowej platformy Azure?
Włączanie ochrony poufnych danych
Skorzystaj z poniższych informacji, aby włączyć i skonfigurować ochronę danych poufnych.
Aby włączyć ochronę poufnych danych:
- Otwórz istniejące zasady zapory aplikacji internetowej usługi Application Gateway.
- W obszarze Ustawienia wybierz pozycję Poufne dane.
- Na stronie Poufne dane wybierz pozycję Włącz czyszczenie dzienników.
Aby skonfigurować reguły kontroli dzienników na potrzeby ochrony danych poufnych:
- W obszarze Reguły czyszczenia dzienników wybierz zmienną Dopasowywanie.
- Wybierz operator (jeśli ma to zastosowanie).
- Wpisz selektor (jeśli dotyczy).
- Wybierz pozycję Zapisz.
Powtórz, aby dodać więcej reguł.
Weryfikowanie ochrony poufnych danych
Aby zweryfikować reguły ochrony danych poufnych, otwórz dziennik zapory usługi Application Gateway i wyszukaj ****** je zamiast poufnych pól.