Como mascarar dados confidenciais no Firewall de Aplicativo Web do Azure no Azure Front Door
A ferramenta de Remoção de Log do Firewall de Aplicativo Web (WAF) ajuda a remover dados confidenciais de seus logs de WAF. Funciona usando um mecanismo de regras que permite você criar regras personalizadas para identificar partes específicas de uma solicitação que contêm dados confidenciais. Uma vez identificada, a ferramenta limpa essas informações de seus logs e as substitui por *******.
Observação
Ao habilitar o recurso de remoção de log, a Microsoft ainda retém endereços IP em nossos logs internos para dar suporte a recursos críticos de segurança.
A tabela a seguir mostra exemplos de regras de depuração de log que podem ser usadas para proteger seus dados confidenciais:
| Variável de correspondência | Operador | Seletor | O que é depurado |
|---|---|---|---|
| Nomes do cabeçalho da solicitação | Igual a | keytoblock | {"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"****"} |
| Nomes do cookie da solicitação | Igual a | cookietoblock | {"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"****"} |
| Nomes do argumento da postagem da solicitação | Igual a | var | {"matchVariableName":"PostParamValue:var","matchVariableValue":"****"} |
| Nomes de argumentos JSON do corpo da solicitação | Igual a | JsonValue | {"matchVariableName":"JsonValue:key","matchVariableValue":"****"} |
| Consultar nomes de Arg de cadeia de caracteres | Igual a | foo | {"matchVariableName":"QueryParamValue:foo","matchVariableValue":"****"} |
| Endereço IP da solicitação* | Equals Any | NULO | {"matchVariableName":"ClientIP","matchVariableValue":"****"} |
| URI da solicitação | Equals Any | NULO | {"matchVariableName":"URI","matchVariableValue":"****"} |
* As regras de URI da solicitação e endereço IP da solicitação só dão suporte ao operador equals any e limpa todas as instâncias do endereço IP do solicitante que aparecem nos logs do WAF.
Para obter mais informações, consulte O que é o Firewall de Aplicativo Web do Azure na Proteção de Dados Confidenciais do Azure Front Door?
Habilitar proteção de dados confidenciais
Use as informações a seguir para habilitar e configurar a proteção de dados confidenciais.
Para habilitar proteção de dados confidenciais:
- Abra uma política do WAF existente do Front Door.
- Em Configurações, selecione Dados confidenciais.
- Na página Dados confidenciais , selecione Habilitar depuração de log.
Para configurar as regras de depuração de log para proteção de dados confidenciais:
- Em Regras de depuração de log, selecione uma Variável correspondente.
- Selecione um Operador (se aplicável).
- Digite um Seletor (se aplicável).
- Clique em Salvar.
Repita para adicionar mais regras.
Verificar proteção de dados confidenciais
Para verificar suas regras de proteção de dados confidenciais, abra o log do firewall do Azure Front Door e pesquise ****** no lugar dos campos confidenciais.