Usar o WAF do Gateway de Aplicativo para proteger os seus aplicativos
Adicione a proteção do Firewall de Aplicativo Web (WAF) para aplicativos publicados com o proxy de aplicativo do Microsoft Entra.
Para saber mais sobre o Firewall do Aplicativo Web, confira O que é o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure?
Etapas de implantação
Este artigo fornece as etapas para expor com segurança um aplicativo Web na Internet usando o proxy de aplicativo do Microsoft Entra com o WAF do Azure no Gateway de Aplicativo.
Configurar o Gateway de Aplicativo do Azure para enviar tráfego para o seu aplicativo interno
Algumas etapas da configuração do Gateway de Aplicativo foram omitidas neste artigo. Para obter um guia detalhado sobre como criar e configurar um Gateway de Aplicativo, confira Início rápido: direcionar o tráfego da Web com o Gateway de Aplicativo do Azure – Centro de administração do Microsoft Entra.
1. Criar um ouvinte HTTPS voltado para o privado
Crie um ouvinte para que os usuários possam acessar o aplicativo Web em privado quando conectados à rede corporativa.
2. Criar um pool de back-end com os servidores Web
Neste exemplo, os servidores de back-end têm os Serviços de Informações da Internet (IIS) instalados.
3. Criar uma configuração de back-end
Uma configuração de back-end determina como as solicitações chegam aos servidores do pool de back-end.
4. Crie uma regra de roteamento que vincule o ouvinte, o pool de back-end e a configuração de back-end criada nas etapas anteriores
5. Habilite o WAF no Gateway de Aplicativo e defina-o no Modo de prevenção
Configurar o seu aplicativo para ser acessado remotamente por meio do proxy de aplicativo no Microsoft Entra ID
As VMs do conector, o Gateway de Aplicativo e os servidores de back-end são implantados na mesma rede virtual no Azure. A instalação também se aplica a aplicativos e conectores implantados localmente.
Para obter um guia detalhado sobre como adicionar seu aplicativo ao proxy de aplicativo no Microsoft Entra ID, confira Tutorial: adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID. Para obter mais informações sobre considerações de desempenho sobre os conectores de rede privada, confira Otimizar o fluxo de tráfego com o proxy de aplicativo do Microsoft Entra ID.
Neste exemplo, a mesma URL foi configurada como a URL interna e externa. Os clientes remotos acessam o aplicativo pela Internet na porta 443, por meio do proxy de aplicativo. Um cliente conectado à rede corporativa acessa o aplicativo em privado. O acesso é por meio do Gateway de Aplicativo diretamente na porta 443. Para obter uma etapa detalhada sobre como configurar domínios personalizados no proxy de aplicativo, confira Configurar domínios personalizados com o proxy de aplicativo do Microsoft Entra.
Uma zona DNS (Sistema de Nomes de Domínio) privada do Azure é criada com um registro A. O registro A aponta www.fabrikam.one para o endereço IP de front-end privado do Gateway de Aplicativo. O registro garante que as VMs do conector enviem solicitações para o Gateway de Aplicativo.
Testar o aplicativo
Depois de adicionar um usuário para teste, você pode testar o aplicativo acessando https://www.fabrikam.one. O usuário é solicitado a autenticar-se no Microsoft Entra ID e, após a autenticação bem-sucedida, ele acessa o aplicativo.
Simular um ataque
Para testar se o WAF está bloqueando solicitações mal-intencionadas, você pode simular um ataque usando uma assinatura básica de injeção de SQL. (Por exemplo, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Uma resposta HTTP 403 confirma que o WAF bloqueou a solicitação.
Os logs do Firewall do Gateway de Aplicativo fornecem mais detalhes sobre a solicitação e por que o WAF está bloqueando ela.
