Como mascarar dados confidenciais no Firewall de Aplicativo Web do Azure na Porta da Frente do Azure
A ferramenta de depuração de logs do Web Application Firewall (WAF) ajuda a remover dados confidenciais dos logs WAF. Ele funciona usando um mecanismo de regras que permite criar regras personalizadas para identificar partes específicas de uma solicitação que contêm dados confidenciais. Uma vez identificada, a ferramenta limpa essas informações de seus logs e as substitui por *******.
Nota
Quando você habilita o recurso de depuração de logs, a Microsoft ainda retém endereços IP em nossos logs internos para oferecer suporte a recursos de segurança críticos.
A tabela a seguir mostra exemplos de regras de depuração de log que podem ser usadas para proteger seus dados confidenciais:
| Variável de correspondência | Operador | Seletor | O que é esfregado |
|---|---|---|---|
| Solicitar nomes de cabeçalho | Igual a | keytoblock | {"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"****"} |
| Solicitar nomes de cookies | Igual a | cookietoblock | {"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"****"} |
| Solicitar Post Arg Nomes | Igual a | VAR | {"matchVariableName":"PostParamValue:var","matchVariableValue":"****"} |
| Solicitar Nome JSON Arg do Corpo | Igual a | JsonValue | {"matchVariableName":"JsonValue:key","matchVariableValue":"****"} |
| Nomes Arg da cadeia de caracteres de consulta | Igual a | foo | {"matchVariableName":"QueryParamValue:foo","matchVariableValue":"****"} |
| Solicitar endereço IP* | Igual a qualquer | NULL | {"matchVariableName":"ClientIP","matchVariableValue":"****"} |
| URI do pedido | Igual a qualquer | NULL | {"matchVariableName":"URI","matchVariableValue":"****"} |
* As regras Request IP Address e Request URI suportam apenas o igual a qualquer operador e elimina todas as instâncias do endereço IP do solicitante que aparece nos logs WAF.
Para obter mais informações, consulte O que é o Firewall de Aplicativo Web do Azure na Proteção de Dados Confidenciais da Porta da Frente do Azure?
Habilite a proteção de dados confidenciais
Use as informações a seguir para habilitar e configurar a Proteção de Dados Confidenciais.
Para habilitar a Proteção de Dados Sensíveis:
- Abra uma política WAF de porta frontal existente.
- Em Configurações, selecione Dados confidenciais.
- Na página Dados confidenciais, selecione Habilitar depuração de log.
Para configurar regras de depuração de logs para proteção de dados confidenciais:
- Em Regras de depuração de log, selecione uma variável Corresponder .
- Selecione um Operador (se aplicável).
- Digite um seletor (se aplicável).
- Selecione Guardar.
Repita para adicionar mais regras.
Verificar a proteção de dados confidenciais
Para verificar suas regras de Proteção de Dados Confidenciais, abra o log do firewall Front Door e pesquise ****** no lugar dos campos confidenciais.