Azure Web Application Firewall für Azure Front Door

Azure Web Application Firewall (WAF) für Azure Front Door bietet zentralen Schutz für Ihre Webanwendungen. Eine Web Application Firewall WAF schützt Ihre Webdienste von gängigen Exploits und Sicherheitsrisiken. Die Lösung gewährleistet eine hohe Verfügbarkeit Ihres Diensts für Benutzer und unterstützt Sie bei der Erfüllung von Complianceanforderungen.

Azure Web Application Firewall für Azure Front Door ist eine globale und zentralisierte Lösung. Sie wird an Edgestandorten des Azure-Netzwerks auf der ganzen Welt bereitgestellt. WAF-fähige Webanwendungen untersuchen jede eingehende Anforderung, die von Azure Front Door im Edgebereich des Netzwerks übermittelt wird.

WAF vereitelt böswillige Angriffe in der Nähe der Angriffsquellen, bevor sie Ihr virtuelles Netzwerk erreichen. Sie erhalten globalen bedarfsgerechten Schutz ohne Leistungseinbußen. Eine WAF-Richtlinie kann problemlos mit einem beliebigen Azure Front Door-Profil in Ihrem Abonnement verknüpft werden. Neue Regeln lassen sich innerhalb weniger Minuten bereitstellen, um schnell auf veränderte Bedrohungsmuster zu reagieren.

Screenshot: Azure Web Application Firewall.

Hinweis

Für Webworkloads wird dringend empfohlen, den Azure DDoS-Schutz und eine Webanwendungsfirewall zum Schutz vor neuen DDoS-Angriffen zu verwenden. Eine weitere Option besteht darin, Azure Front Door zusammen mit einer Webanwendungsfirewall zu verwenden. Azure Front Door bietet auf Plattformebene Schutz vor DDoS-Angriffen auf Netzwerkebene. Weitere Informationen finden Sie unter Sicherheitsbaseline für Azure-Dienste.

Azure Front Door umfasst zwei Ebenen:

  • Standard
  • Premium

Azure Web Application Firewall ist nativ in Azure Front Door Premium integriert und verfügt über sämtliche Funktionen. Bei Azure Front Door Standard werden nur benutzerdefinierte Regeln unterstützt.

Schutz

Azure Web Application Firewall schützt Ihre:

  • Webanwendungen vor Sicherheitsrisiken und Angriffen im Web, ohne den Back-End-Code zu verändern.
  • Webanwendungen mithilfe des Regelsatzes für die IP-Zuverlässigkeit vor schädlichen Bots.
  • Anwendungen vor DDoS-Angriffen. Weitere Informationen finden Sie unter Azure DDoS-Schutz.

WAF-Richtlinien und -Regeln

Sie können eine WAF-Richtlinie konfigurieren und diese Richtlinie zu Schutzzwecken einer oder mehreren Azure Front Door-Domänen zuordnen. Eine WAF-Richtlinie besteht aus zwei verschiedenen Arten von Sicherheitsregeln:

  • Benutzerdefinierte Regeln, die der Kunde erstellt hat.
  • Verwaltete Regelsätze (eine Sammlung vorkonfigurierter Regelsätze, die von Azure verwaltet werden).

Wenn beides vorhanden ist, werden die benutzerdefinierten Regeln vor den Regeln eines verwalteten Regelsatzes verarbeitet. Eine Regel besteht aus einer Übereinstimmungsbedingung, einer Priorität und einer Aktion. Folgende Aktionstypen werden unterstützt: ALLOW, BLOCK, LOG und REDIRECT. Sie können eine vollständig angepasste Richtlinie erstellen, die Ihre speziellen Anforderungen an die Anwendungssicherheit erfüllt, indem Sie verwaltete und benutzerdefinierte Regeln kombinieren.

Die Regeln innerhalb einer Richtlinie werden nach Priorität verarbeitet. Bei der Priorität handelt es sich um eine eindeutige ganze Zahl, die die Reihenfolge der Regelverarbeitung definiert. Ein kleinerer ganzzahliger Wert steht für eine höhere Priorität und wird vor Regeln mit einem höheren ganzzahligen Wert ausgewertet. Sobald eine Übereinstimmung mit einer Regel erkannt wurde, wird die entsprechende Aktion, die in der Regel definiert ist, auf die Anforderung angewendet. Nach der Verarbeitung einer derartigen Übereinstimmung werden Regeln mit niedrigerer Priorität nicht weiter verarbeitet.

Einer von Azure Front Door bereitgestellten Webanwendung kann jeweils nur eine WAF-Richtlinie zugeordnet werden. Sie können jedoch eine Azure Front Door-Konfiguration auch ohne eine zugehörige WAF-Richtlinie erstellen. Ist eine WAF-Richtlinie vorhanden, wird sie in allen unseren Edgestandorten repliziert, um bei den Sicherheitsrichtlinien auf der ganzen Welt Konsistenz zu gewährleisten.

WAF-Modi

Für die Ausführung einer WAF-Richtlinie können zwei Modi konfiguriert werden:

  • Erkennung: Wenn eine WAF im Erkennungsmodus ausgeführt wird, wird die Anforderung und die entsprechende WAF-Regel nur überwacht und in WAF-Protokollen protokolliert. Es werden keine anderen Aktionen ausgeführt. Sie können die Protokollierung von Diagnosedaten für Azure Front Door aktivieren. Navigieren Sie bei Verwendung des Portals zum Abschnitt Diagnose.
  • Schutz: Im Schutzmodus führt eine WAF die angegebene Aktion aus, wenn eine Anforderung einer Regel entspricht. Nachdem eine Entsprechung gefunden wurde, werden keine weiteren Regeln mit niedrigerer Priorität mehr ausgewertet. Jede Anforderung mit einer Regelübereinstimmung wird außerdem in den WAF-Protokollen protokolliert.

WAF-Aktionen

Für WAF-Kunden stehen die folgenden Aktionen zur Auswahl, die beim Erfüllen einer Regelbedingung durch eine Anforderung ausgeführt werden:

  • Zulassen (Allow): Die Anforderung passiert die WAF und wird an den Ursprung weitergeleitet. Diese Anforderung kann mit Regeln niedrigerer Priorität nicht mehr gesperrt werden.
  • Blockieren (Block): Die Anforderung wird gesperrt und die WAF sendet eine Antwort an den Client, ohne die Anforderung an den Ursprung weiterzuleiten.
  • Protokollieren (Log): Die Anforderung wird in den WAF-Protokollen protokolliert, und die WAF setzt den Vorgang mit dem Auswerten von Regeln mit niedrigerer Priorität fort.
  • Umleiten (Redirect): WAF leitet die Anforderung an den angegebenen URI weiter. Der URI wird als Einstellung auf Richtlinienebene angegeben. Nach der Konfiguration werden alle Anforderungen, die der Aktion Redirect entsprechen, an diesen URI gesendet.
  • Anomaliescore: Der Gesamtanomaliescore wird inkrementell erhöht, wenn eine Regel mit dieser Aktion abgeglichen wird. Diese Standardaktion gilt für Standardregelsatz 2.0 oder höher. Sie gilt nicht für den Bot Manager-Regelsatz.

WAF-Regeln

Eine WAF-Richtlinie kann aus zwei verschiedenen Arten von Sicherheitsregeln bestehen:

  • Benutzerdefinierte, vom Kunden erstellte und verwaltete Regelsätze
  • Von Azure verwaltete, vorkonfigurierte Regelsätze

Benutzerdefinierte Regeln

Verwenden Sie die folgenden Steuerelemente, um benutzerdefinierte Regeln für eine WAF zu konfigurieren:

  • Liste zugelassener und gesperrter IP-Adressen: Sie können den Zugriff auf Ihre Webanwendungen auf der Grundlage einer Liste von Client-IP-Adressen (oder IP-Adressbereichen) steuern. Unterstützt werden sowohl IPv4- als auch IPv6-Adresstypen. Diese Liste können Sie so konfigurieren, dass Anforderungen, deren Quell-IP-Adresse mit einer IP-Adresse in der Liste übereinstimmt, entweder gesperrt oder zugelassen werden.
  • Geografiebasierte Zugriffssteuerung: Sie können den Zugriff auf Ihre Webanwendungen anhand der Landeskennzahl einer IP-Clientadresse steuern.
  • Zugriffssteuerung auf Basis von HTTP-Parametern: Sie können Zeichenfolgenübereinstimmungen in HTTP/HTTPS-Anforderungsparametern als Grundlage für Regeln verwenden. Hierzu zählen beispielsweise Abfragezeichenfolgen, POST-Argumente, Anforderungs-URI, Anforderungsheader und Anforderungstext.
  • Zugriffssteuerung auf Basis der Anforderungsmethode: Sie können Regeln verwenden, die auf der HTTP-Anforderungsmethode der Anforderung basieren. Beispiele hierfür sind GET, PUT oder HEAD.
  • Größenbeschränkung: Sie können Regeln verwenden, die auf der Länge bestimmter Teile einer Anforderung (z. B. Abfragezeichenfolge, URI oder Anforderungstext) basieren.
  • Ratenbegrenzung: Mit einer Regel für die Ratenbegrenzung kann außergewöhnlich hoher Datenverkehr von einer beliebigen Client-IP-Adresse eingeschränkt werden. Sie können einen Schwellenwert für die Anzahl der Webanforderungen konfigurieren, die von einer Client-IP-Adresse während einer Minute zulässig sind. Diese Regel unterscheidet sich von der benutzerdefinierten Regel mit einer Liste zugelassener oder gesperrter IP-Adressen, die alle Anforderungen von einer Client-IP-Adresse entweder zulässt oder blockiert. Für eine präzise Ratensteuerung kann die Ratenbegrenzung mit anderen Übereinstimmungsbedingungen (etwa mit HTTP(S)-Parametern) kombiniert werden.

Von Azure verwaltete Regelsätze

Von Azure verwaltete Regelsätze bieten eine einfache Möglichkeit zum Bereitstellen von Schutz vor allgemeinen Sicherheitsbedrohungen. Da Azure diese Regelsätze verwaltet, werden die Regeln bei Bedarf aktualisiert, um vor neuen Angriffssignaturen zu schützen. Der von Azure verwaltete Standardregelsatz enthält Regeln für die folgenden Bedrohungskategorien:

  • Cross-Site-Scripting
  • Java-Angriffe
  • Local File Inclusion
  • PHP Code-Injection
  • Remotebefehlsausführung
  • Remote File Inclusion
  • Session Fixation
  • Schutz vor Einschleusung von SQL-Befehlen
  • Protokollangreifer

Benutzerdefinierte Regeln werden immer vor den Regeln im Standardregelsatz ausgewertet. Wenn eine Anforderung einer benutzerdefinierten Regel entspricht, wird die entsprechende Regelaktion angewendet. Die Anforderung wird entweder gesperrt oder an das Back-End weitergeleitet. Es werden keine weiteren benutzerdefinierten Regeln oder Regeln im Standardregelsatz verarbeitet. Der Standardregelsatz kann auch aus WAF-Richtlinien entfernt werden.

Weitere Informationen finden Sie unter Standardregelsatzregelgruppen und Regeln der Web Application Firewall.

Bot-Schutzregelsatz

Sie können einen verwalteten Bot-Schutzregelsatz aktivieren, damit bei Anforderungen aus allen Bot-Kategorien benutzerdefinierte Aktionen ausgeführt werden.

Drei Bot-Kategorien werden unterstützt: Ungültig, Gut und Unbekannt. Bot-Signaturen werden von der WAF-Plattform verwaltet und dynamisch aktualisiert.

  • Ungültig: Zu ungültigen Bots zählen Bots mit schädlicher IP-Adresse sowie Bots mit gefälschter Identität. Zu ungültigen Bots gehören schädliche IP-Adressen, die anhand der IP-Indikatoren des Microsoft Threat Intelligence-Feeds mit hoher Konfidenz, die eine Kompromittierung anzeigen, sowie anhand von Feeds zur IP-Zuverlässigkeit bezogen werden. Zu ungültigen Bots zählen außerdem Bots, die sich als gute Bots ausgeben, deren IP-Adressen aber nicht zu legitimen Bot-Herausgebern gehören.
  • Gut: Gute Bots sind vertrauenswürdige Benutzer-Agents. Regeln guter Bots werden in mehrere Kategorien unterteilt, um eine präzise Kontrolle über die WAF-Richtlinienkonfiguration zu ermöglichen. Diese Kategorien umfassen überprüfte Suchmaschinen-Bots (wie Googlebot und Bingbot), überprüfte Bots für die Linküberprüfung, überprüfte Social Media-Bots (z. B. Facebookbot und LinkedInBot), überprüfte Werbe-Bots, überprüfte Bots für die Inhaltsüberprüfung und überprüfte sonstige Bots.
  • Unbekannt: Unbekannte Bots sind Benutzer-Agents ohne zusätzliche Überprüfung. Zu den unbekannten Bots gehören auch schädliche IP-Adressen, die anhand der IP-Indikatoren des Microsoft Threat Intelligence-Feeds mit mittlerer Konfidenz, die eine Kompromittierung anzeigen, bezogen werden.

Die WAF-Plattform verwaltet und aktualisiert Botsignaturen dynamisch. Sie können benutzerdefinierte Aktionen festlegen, um Bots der unterschiedlichen Kategorien zu sperren, zuzulassen, zu protokollieren oder umzuleiten.

Screenshot: Regelsatz für Bot-Schutz.

Wenn der Bot-Schutz aktiviert ist, werden eingehende Anforderungen, die Bot-Regeln entsprechen, basierend auf der konfigurierten Aktion blockiert, zugelassen oder protokolliert. Standardmäßig gilt: Ungültige Bots werden blockiert, gute Bots werden zugelassen, und unbekannte Bots werden protokolliert. Sie können benutzerdefinierte Aktionen festlegen, um Bots der unterschiedlichen Kategorien zu sperren, zuzulassen, zu protokollieren oder per JS-Captcha zu überprüfen. Sie können von einem Speicherkonto, Event Hub oder Log Analytics aus auf WAF-Protokolle zugreifen oder Protokolle an eine Partnerlösung senden.

Der Bot Manager 1.1-Regelsatz ist in der Premium-Version von Azure Front Door verfügbar.

Weitere Informationen finden Sie unter Bot Manager 1.1 und JavaScript-Überprüfung von Azure WAF: Navigieren im Terrain der Botbedrohungen.

Konfiguration

Alle WAF-Richtlinien können über das Azure-Portal, mithilfe von REST-APIs, unter Verwendung von Azure Resource Manager-Vorlagen und per Azure PowerShell konfiguriert und bereitgestellt werden. Sie können Azure WAF-Richtlinien auch in großem Maßstab über die Azure Firewall Manager-Integration konfigurieren und verwalten. Weitere Informationen finden Sie unter Verwenden von Azure Firewall Manager zum Verwalten von Azure Web Application Firewall-Richtlinien.

Überwachung

Die Überwachung für eine WAF für Azure Front Door ist in Azure Monitor integriert und dient zum Nachverfolgen von Warnungen und zum einfachen Überwachen von Datenverkehrstrends. Weitere Informationen finden Sie unter Azure Web Application Firewall-Überwachung und -Protokollierung.

Nächste Schritte