Azure Web Application Firewall i Azure Policy

Usługa Azure Web Application Firewall (WAF) w połączeniu z Azure Policy może pomóc w wymuszaniu standardów organizacyjnych i ocenie zgodności na dużą skalę dla zasobów zapory aplikacji internetowej. Azure Policy to narzędzie do zapewniania ładu, które zapewnia zagregowany widok do oceny ogólnego stanu środowiska, z możliwością przechodzenia do szczegółów poszczególnych zasobów, szczegółowości poszczególnych zasad. Azure Policy pomaga również zapewnić zgodność zasobów za pośrednictwem zbiorczego korygowania istniejących zasobów i automatycznego korygowania nowych zasobów.

Azure Policy dla Web Application Firewall

Istnieje wiele wbudowanych definicji Azure Policy do zarządzania zasobami zapory aplikacji internetowej. Podział definicji zasad i ich funkcjonalności są następujące:

Włączanie Web Application Firewall (zapora aplikacji internetowej)

• Usługa Azure Web Application Firewall powinna być włączona dla punktów wejścia usługi Azure Front Door: usługi Azure Front Door Services są oceniane, jeśli istnieje zapora aplikacji internetowej lub nie. Definicja zasad ma trzy efekty: Inspekcja, Odmów i Wyłącz. Inspekcja śledzi, kiedy usługa Azure Front Door Service nie ma zapory aplikacji internetowej i umożliwia użytkownikom sprawdzenie, co usługa Azure Front Door Service nie jest zgodna. Odmowa uniemożliwia utworzenie usługi Azure Front Door Service, jeśli zapora aplikacji internetowej nie jest dołączona. Wyłączone powoduje wyłączenie przypisania zasad.

• Web Application Firewall (zapora aplikacji internetowej) powinna być włączona dla Application Gateway: bramy aplikacji są oceniane w przypadku wystąpienia zapory aplikacji internetowej podczas tworzenia zasobów. Definicja zasad ma trzy efekty: Inspekcja, Odmów i Wyłącz. Inspekcja śledzi, gdy Application Gateway nie ma zapory aplikacji internetowej i pozwala użytkownikom zobaczyć, co Application Gateway nie jest zgodne. Odmowa uniemożliwia utworzenie wszelkich Application Gateway, jeśli zapora aplikacji internetowej nie jest dołączona. Wyłączone powoduje wyłączenie przypisania zasad.

Tryb wykrywania lub zapobiegania mandatom

• Web Application Firewall (zapora aplikacji internetowej) powinna używać określonego trybu dla usługi Azure Front Door Service: wymusza użycie trybu wykrywania lub zapobiegania, aby być aktywne we wszystkich zasadach Web Application Firewall dla usługi Azure Front Door Service. Definicja zasad ma trzy efekty: Inspekcja, Odmów i Wyłącz. Inspekcja śledzi, gdy zapora aplikacji internetowej nie pasuje do określonego trybu. Odmowa uniemożliwia tworzenie zapory aplikacji internetowej, jeśli nie jest w poprawnym trybie. Wyłączone powoduje wyłączenie przypisania zasad.

• Web Application Firewall (zapora aplikacji internetowej) powinna używać określonego trybu dla Application Gateway: wymusza użycie trybu wykrywania lub zapobiegania, aby był aktywny we wszystkich zasadach Web Application Firewall dla Application Gateway. Definicja zasad ma trzy efekty: Inspekcja, Odmów i Wyłącz. Inspekcja śledzi, gdy zapora aplikacji internetowej nie pasuje do określonego trybu. Odmowa uniemożliwia tworzenie zapory aplikacji internetowej, jeśli nie jest w poprawnym trybie. Wyłączone powoduje wyłączenie przypisania zasad.

Wymagaj inspekcji żądań

• Usługa Azure Web Application Firewall w usłudze Azure Front Door powinna mieć włączoną kontrolę treści żądania: upewnij się, że zapory aplikacji internetowej skojarzone z usługą Azure Front Door mają włączoną kontrolę treści żądania. Ta funkcja umożliwia zaporze aplikacji internetowej inspekcję właściwości w treści PROTOKOŁU HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI.

• Usługa Azure Web Application Firewall w systemie Azure Application Gateway powinna mieć włączoną inspekcję treści żądania: upewnij się, że zapory aplikacji internetowej skojarzone z bramami aplikacja systemu Azure mają włączoną inspekcję treści żądania. Ta funkcja umożliwia zaporze aplikacji internetowej inspekcję właściwości w treści PROTOKOŁU HTTP, które mogą nie być oceniane w nagłówkach HTTP, plikach cookie lub identyfikatorze URI.

Wymagaj dzienników zasobów

• Usługa Azure Front Door powinna mieć włączone dzienniki zasobów: umożliwia włączanie dzienników zasobów i metryk w klasycznej usłudze Azure Front Door, w tym zapory aplikacji internetowej. Definicja zasad ma dwa efekty: AuditIfNotExists i Disable. AuditIfNotExists śledzi, gdy usługa Front Door nie ma dzienników zasobów, metryki włączone i powiadamia użytkownika, że usługa nie jest zgodna. Wyłączone powoduje wyłączenie przypisania zasad.

• Usługa Azure Front Door Standard lub Premium (Plus WAF) powinna mieć włączone dzienniki zasobów: umożliwia włączenie dzienników zasobów i metryk w usługach Azure Front Door w warstwie Standardowa i Premium, w tym zapory aplikacji internetowej. Definicja zasad ma dwa efekty: AuditIfNotExists i Disable. AuditIfNotExists śledzi, gdy usługa Front Door nie ma dzienników zasobów, metryki włączone i powiadamia użytkownika, że usługa nie jest zgodna. Wyłączone powoduje wyłączenie przypisania zasad.

• Azure Application Gateway powinny być włączone dzienniki zasobów: umożliwia włączenie dzienników zasobów i metryk we wszystkich bramach aplikacji, w tym zapory aplikacji internetowej. Definicja zasad ma dwa efekty: AuditIfNotExists i Disable. AuditIfNotExists śledzi, kiedy Application Gateway nie ma dzienników zasobów, metryki włączone i powiadamia użytkownika, że Application Gateway nie jest zgodna. Wyłączone powoduje wyłączenie przypisania zasad.

Zalecane konfiguracje zapory aplikacji internetowej

• Profile usługi Azure Front Door powinny używać warstwy Premium, która obsługuje zarządzane reguły zapory aplikacji internetowej i link prywatny: mandaty, że wszystkie profile usługi Azure Front Door znajdują się w warstwie Premium zamiast warstwy Standardowa. Usługa Azure Front Door Premium jest zoptymalizowana pod kątem zabezpieczeń i zapewnia dostęp do najbardziej aktualnych zestawów reguł zapory aplikacji internetowej i funkcji, takich jak ochrona botów.

• Włącz regułę limitu szybkości, aby chronić przed atakami DDoS w zaporze aplikacji internetowej usługi Azure Front Door: ograniczanie szybkości może pomóc chronić aplikację przed atakami DDoS. Reguła limitu szybkości usługi Azure Web Application Firewall (WAF) dla usługi Azure Front Door pomaga chronić przed atakami DDoS, kontrolując liczbę żądań dozwolonych od określonego adresu IP klienta do aplikacji w czasie trwania limitu szybkości.

• Migrowanie zapory aplikacji internetowej z konfiguracji zapory aplikacji internetowej do zasad zapory aplikacji internetowej w Application Gateway: jeśli masz konfigurację zapory aplikacji internetowej zamiast zasad zapory aplikacji internetowej, możesz przejść do nowych zasad zapory aplikacji internetowej. Web Application Firewall (WAF) zasady oferują bogatszy zestaw zaawansowanych funkcji za pośrednictwem konfiguracji zapory aplikacji internetowej, zapewniają większą skalę, lepszą wydajność i w przeciwieństwie do starszej konfiguracji zapory aplikacji internetowej, zasady zapory aplikacji internetowej można definiować raz i udostępniać w wielu bramach, odbiornikach i ścieżkach adresu URL. W przyszłości najnowsze funkcje i przyszłe ulepszenia są dostępne tylko za pośrednictwem zasad zapory aplikacji internetowej.

Tworzenie Azure Policy

1. Na stronie głównej platformy Azure wpisz Zasady na pasku wyszukiwania i wybierz ikonę Azure Policy.

2. W usłudze Azure Policy w obszarze Tworzenie wybierz pozycję Przypisania.

3. Na stronie Przypisania wybierz ikonę Przypisz zasady u góry.

4. Na karcie Podstawy przypisywania zasad zaktualizuj następujące pola:
   1. Zakres: wybierz, do których subskrypcji i grup zasobów platformy Azure mają zastosowanie zasady.
   2. Wykluczenia: wybierz wszystkie zasoby z zakresu do wykluczenia z przypisania zasad.
   3. Definicja zasad: wybierz definicję zasad, która ma być stosowana do zakresu z wykluczeniami. Wpisz "Web Application Firewall" na pasku wyszukiwania, aby wybrać odpowiedni Web Application Firewall Azure Policy.

5. Wybierz kartę Parametry i zaktualizuj parametry przypisania zasad. Aby dokładniej wyjaśnić, co robi parametr, umieść kursor nad ikoną informacji obok nazwy parametru, aby uzyskać dalsze wyjaśnienie.

6. Wybierz pozycję Przejrzyj i utwórz , aby sfinalizować przypisanie zasad. Przypisanie zasad trwa około 15 minut, aż będzie aktywne dla nowych zasobów.