Osvědčené postupy pro firewall webových aplikací Azure ve službě Azure Front Door
Tento článek shrnuje osvědčené postupy pro používání služby Azure Web Application Firewall ve službě Azure Front Door.
Obecné osvědčené postupy
Tato část popisuje obecné osvědčené postupy.
Povolení WAF
U internetových aplikací doporučujeme povolit firewall webových aplikací (WAF) a nakonfigurovat ho tak, aby používala spravovaná pravidla. Pokud používáte pravidla WAF a spravovaná Microsoftem, vaše aplikace je chráněná před celou řadou útoků.
Ladění WAF
Pravidla ve vašem WAF by měla být pro vaši úlohu vyladěná. Pokud waF nenaladíte, může se stát, že nechtěně zablokuje požadavky, které by měly být povolené. Ladění může zahrnovat vytvoření vyloučení pravidel pro omezení falešně pozitivních detekcí.
Při ladění WAF zvažte použití režimu detekce. Tento režim protokoluje požadavky a akce, které by WAF normálně podnikl, ale ve skutečnosti neblokuje žádný provoz.
Další informace najdete v tématu Ladění firewallu webových aplikací Azure pro Službu Azure Front Door.
Použití režimu prevence
Jakmile vyladíte WAF, nakonfigurujte ho tak, aby běžel v režimu prevence. Spuštěním v režimu prevence zajistíte, že WAF blokuje požadavky, které detekuje, jsou škodlivé. Spuštění v režimu detekce je užitečné při ladění a konfiguraci WAF, ale neposkytuje žádnou ochranu.
Definování konfigurace WAF jako kódu
Když vyladíte WAF pro úlohu aplikace, obvykle vytvoříte sadu vyloučení pravidel, která omezí falešně pozitivní detekce. Pokud tato vyloučení nakonfigurujete ručně pomocí webu Azure Portal, při upgradu WAF na novější verzi sady pravidel je potřeba překonfigurovat stejné výjimky oproti nové verzi sady pravidel. Tento proces může být časově náročný a náchylný k chybám.
Místo toho zvažte definování vyloučení pravidel WAF a další konfigurace jako kódu, například pomocí Azure CLI, Azure PowerShellu, Bicep nebo Terraformu. Pokud potřebujete aktualizovat verzi sady pravidel WAF, můžete snadno použít stejná vyloučení.
Osvědčené postupy sady spravovaných pravidel
Tato část popisuje osvědčené postupy pro sady pravidel.
Povolení výchozích sad pravidel
Výchozí sady pravidel Od Microsoftu jsou navržené tak, aby chránily vaši aplikaci detekcí a blokováním běžných útoků. Pravidla jsou založená na různých zdrojích, včetně typů útoků OWASP top-10 a informací z Microsoft Threat Intelligence.
Další informace najdete v tématu Sady pravidel spravovaných Azure.
Povolení pravidel správy robotů
Roboti zodpovídají za významný podíl provozu do webových aplikací. Sada pravidel ochrany robotů WAF kategorizuje roboty podle toho, jestli jsou dobré, špatné nebo neznámé. Chybní roboti je pak možné zablokovat, zatímco přes vaši aplikaci jsou povoleni vhodné roboty, jako jsou prohledávací moduly vyhledávacího webu.
Další informace najdete v tématu Sada pravidel ochrany robota.
Použití nejnovějších verzí sady pravidel
Společnost Microsoft pravidelně aktualizuje spravovaná pravidla, aby zohlednila aktuální situaci hrozeb. Ujistěte se, že pravidelně kontrolujete aktualizace sad pravidel spravovaných Azure.
Další informace najdete v tématu Skupiny pravidel a pravidla služby Azure Web Application Firewall pro zotavení po havárii.
Osvědčené postupy omezování rychlosti
Tato část popisuje osvědčené postupy pro omezování rychlosti.
Přidání omezování rychlosti
WaF služby Azure Front Door umožňuje řídit počet požadavků povolených z IP adresy každého klienta v určitém časovém období. Doporučujeme přidat omezení rychlosti, abyste snížili účinek klientů omylem nebo záměrně odesílali velké objemy provozu do vaší služby, například během opakovaného útoku.
Další informace naleznete v následujících zdrojích:
- Co je omezení rychlosti pro Službu Azure Front Door?
- Nakonfigurujte pravidlo omezení rychlosti firewallu webových aplikací Azure pomocí Azure PowerShellu.
- Proč se na back-endový server předávají další požadavky nad prahovou hodnotu nakonfigurovanou pro pravidlo omezení rychlosti?
Použití vysoké prahové hodnoty pro omezení rychlosti
Obvykle je vhodné nastavit prahovou hodnotu limitu rychlosti tak, aby byla vysoká. Pokud například víte, že jedna IP adresa klienta může každou minutu odesílat na váš server přibližně 10 požadavků, zvažte určení prahové hodnoty 20 požadavků za minutu.
Prahové hodnoty s vysokým limitem rychlosti se vyhýbají blokování legitimního provozu. Tyto prahové hodnoty stále poskytují ochranu před velmi vysokým počtem požadavků, které by mohly vaši infrastrukturu zahltit.
Osvědčené postupy geografického filtrování
Tato část popisuje osvědčené postupy pro geografické filtrování.
Geografické filtrování provozu
Mnoho webových aplikací je určeno pro uživatele v rámci konkrétní geografické oblasti. Pokud tato situace platí pro vaši aplikaci, zvažte implementaci geografického filtrování, abyste zablokovali požadavky přicházející mimo země nebo oblasti, ze kterých očekáváte příjem provozu.
Další informace najdete v tématu Co je geografické filtrování v doméně pro Azure Front Door?.
Zadejte neznámé umístění (ZZ).
Některé IP adresy se nemapují na umístění v naší datové sadě. Pokud IP adresu nejde namapovat na umístění, WAF přiřadí provoz neznámé zemi nebo oblasti (ZZ). Pokud se chcete vyhnout blokování platných požadavků z těchto IP adres, zvažte povolení neznámé země nebo oblasti prostřednictvím geografického filtru.
Další informace najdete v tématu Co je geografické filtrování v doméně pro Azure Front Door?.
Protokolování
Tato část popisuje protokolování.
Přidání nastavení diagnostiky pro ukládání protokolů WAF
Azure Front Door WAF se integruje se službou Azure Monitor. Protokoly WAF je důležité uložit do cíle, jako je Log Analytics. Protokoly WAF byste měli pravidelně kontrolovat. Kontrola protokolů vám pomůže ladit zásady WAF tak , aby se omezily falešně pozitivní detekce a pochopili, jestli vaše aplikace byla předmětem útoků.
Další informace najdete v tématu Monitorování a protokolování služby Azure Web Application Firewall.
Odesílání protokolů do Služby Microsoft Sentinel
Microsoft Sentinel je systém pro správu bezpečnostních informací a událostí (SIEM), který importuje protokoly a data z více zdrojů, aby porozuměl prostředí hrozeb pro vaši webovou aplikaci a celkové prostředí Azure. Protokoly WAF služby Azure Front Door by se měly importovat do Microsoft Sentinelu nebo jiného SYSTÉMU SIEM, aby vaše vlastnosti přístupné z internetu byly zahrnuty do analýzy. Pro Microsoft Sentinel použijte konektor Azure WAF k snadnému importu protokolů WAF.
Další informace najdete v tématu Použití služby Microsoft Sentinel se službou Azure Web Application Firewall.
Další kroky
Naučte se vytvářet zásady WAF služby Azure Front Door.