Implementar um firewall de aplicativo Web no Azure Front Door

10 minutos

A Firewall de Aplicações Web (WAF) fornece uma proteção centralizada das suas aplicações Web contra exploits e vulnerabilidades comuns. A injeção de SQL e o script entre sites estão entre os ataques mais comuns.

Diagrama de uma política WAF global com permissão e negação de acesso.

Prevenir ataques no código do aplicativo é um desafio. A prevenção pode exigir manutenção, aplicação de patches e monitoramento rigorosos em várias camadas do aplicativo. Um WAF centralizado ajuda a simplificar o gerenciamento de segurança. Um WAF também oferece aos administradores de aplicativos uma melhor garantia de proteção contra ameaças e invasões.

Uma solução WAF pode reagir a uma ameaça de segurança mais rapidamente corrigindo centralmente uma vulnerabilidade conhecida, em vez de proteger cada aplicativo Web individual.

Modos de política do Web Application Firewall

Existem dois modos de política WAF: Deteção e Prevenção. Por padrão, uma política WAF está no modo de deteção. No modo de deteção, o WAF não bloqueia nenhuma solicitação. Em vez disso, as solicitações que correspondem às regras do WAF são registradas. No modo de Prevenção, as solicitações que correspondem às regras são bloqueadas e registradas.

Captura de ecrã dos modos de política WAF.

Conjunto de regras e grupos de regras padrão do Web Application Firewall

O firewall do aplicativo Web Azure Front Door protege os aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira fácil de implantar proteção contra um conjunto comum de ameaças à segurança. Um conjunto de regras do Azure é atualizado conforme necessário para proteger contra novas assinaturas de ataque.

Regras geridas

O Conjunto de Regras Padrão gerenciado pelo Azure inclui regras contra estas categorias de ameaça:

Scripting entre sites
Ataques Java
Inclusão de ficheiro local
Ataques de injeção PHP
Execução remota de comandos
Inclusão de ficheiro remoto
Fixação de sessão
Proteção contra injeção de SQL
Atacantes de protocolo

O Conjunto de Regras Padrão gerenciado pelo Azure está habilitado por padrão. A versão padrão atual é DefaultRuleSet_2.1. Outros conjuntos de regras estão disponíveis na caixa suspensa.

Para desativar uma regra individual, marque a caixa de seleção na frente do número da regra e selecione Desativar na parte superior da página. Para alterar os tipos de ação de regras individuais dentro do conjunto de regras, marque a caixa de seleção na frente do número da regra e selecione Alterar ação na parte superior da página.

Captura de tela das regras gerenciadas pela política do WAF.

Regras personalizadas

O Azure WAF com Front Door permite-lhe controlar o acesso às suas aplicações Web com base nas condições que definir. Uma regra WAF personalizada consiste em um número de prioridade, tipo de regra, condições de correspondência e uma ação.

Existem dois tipos de regras personalizadas: regras de correspondência e regras de limite de taxa. Uma regra de correspondência determina o acesso com base em um conjunto de condições correspondentes. Uma regra de limite de taxa determina o acesso com base nas condições correspondentes e nas taxas de solicitações recebidas.

Ao criar uma política WAF, você pode criar uma regra personalizada selecionando Adicionar regra personalizada na seção Regras personalizadas . Isso inicia a página de configuração de regra personalizada.

Captura de ecrã da política WAF adicionar regra personalizada.

Esta imagem de exemplo mostra a configuração de uma regra personalizada para bloquear uma solicitação se a cadeia de caracteres de consulta contiver blockme.

Captura de ecrã da configuração da regra personalizada da política WAF.

Criar uma política de Firewall de Aplicativo Web no Azure Front Door

Esta seção descreve como criar uma política WAF básica do Azure e aplicá-la a um perfil no Azure Front Door.

As principais etapas para criar uma política WAF no Azure Front Door usando o portal do Azure são:

Crie uma política do Web Application Firewall. Crie uma política WAF básica com DRS (Default Rule set) gerenciado.
Associe a política WAF a um perfil Front Door. Associe a política WAF a um perfil Front Door. Essa associação pode ser feita durante a criação da política WAF ou pode ser feita em uma política WAF criada anteriormente. Na associação, especifique o perfil Front Door e o domínio a ser aplicado à política.
Configure as definições e regras da política WAF. Uma etapa opcional, onde você pode definir configurações de política, como o Modo (Prevenção ou Deteção) e configurar regras gerenciadas e regras personalizadas.

Para exibir as etapas detalhadas de todas essas tarefas, consulte Tutorial: Criar uma política de Firewall de Aplicativo Web no Azure Front Door usando o portal do Azure.

Verifique o seu conhecimento

Quais são os dois modos que uma política WAF pode usar?

A política WAF pode estar no modo Padrão ou no modo Personalizado.

A política WAF pode estar no modo Conjunto de Regras Padrão ou no modo Deteção.

A política WAF pode estar no modo de Prevenção ou no modo de Deteção.

Quais são os dois tipos de regra personalizada em uma política WAF?

Regras de cadeia de caracteres e regras de correspondência.

Regras de correspondência e regras de limite de taxa.

Regras de prioridade e regras de limite de taxa.

Tem de responder a todas as questões antes de verificar o seu trabalho.