Che cos'è Web application firewall di Azure nel gateway applicazione di Azure?

Web application firewall (WAF) di Azure nel gateway applicazione di Azure protegge attivamente le applicazioni Web da exploit e vulnerabilità comuni. A manó a mano che le applicazioni Web diventano obiettivi più frequenti per attacchi dannosi, questi attacchi spesso sfruttano vulnerabilità note come SQL injection e scripting tra siti.

Web application firewall (WAF) nel gateway applicazione si basa sulCRS (Core Rule Set) dell'OWASP (Open Web Application Security Project).

Tutte le funzionalità WAF seguenti sono presenti all'interno di un criterio WAF. È possibile creare più criteri, che possono essere associati a un gateway applicazione, a singoli listener o a regole di routing basate su percorso in un gateway applicazione. In questo modo, se necessario, è possibile avere criteri distinti per ogni sito dietro il gateway applicazione. Per altre informazioni sui criteri WAF, vedere Creare un criterio WAF.

Nota

Il gateway applicazione ha due versioni dello SKU WAF: gateway applicazione WAF_v1 e gateway applicazione WAF_v2. Le associazioni di criteri WAF sono supportate solo per lo SKU del gateway applicazione WAF_v2.

Diagramma di WAF nel gateway applicazione

Il gateway applicazione funziona da controller per la distribuzione di applicazioni (ADC, Application Delivery Controller). Offre TLS (Transport Layer Security), noto in precedenza come SSL (Secure Sockets Layer), terminazione, affinità di sessione basata su cookie, distribuzione del carico round robin, routing basato sul contenuto, possibilità di ospitare più siti Web e miglioramenti della sicurezza.

Il gateway applicazione migliora la sicurezza tramite la gestione dei criteri TLS e il supporto TLS end-to-end. Grazie all'integrazione di WAF nel gateway applicazione, la sicurezza delle applicazioni viene fortificata. Questa combinazione protegge attivamente le applicazioni Web da vulnerabilità comuni e offre una posizione gestibile e facile da configurare centralmente.

Vantaggi

Questa sezione descrive i vantaggi principali offerti da WAF nel gateway applicazione.

Protezione

  • Protezione dell'applicazione Web dalle vulnerabilità e dagli attacchi del Web, senza alcuna modifica del codice di back-end.

  • Protezione contemporanea di più applicazioni Web. Un'istanza del gateway applicazione può ospitare fino a 40 siti Web protetti da Web Application Firewall.

  • Creare criteri WAF personalizzati per siti diversi dietro lo stesso WAF.

  • Proteggere le applicazioni Web da bot dannosi con il set di regole reputazione IP.

  • Proteggere l'applicazione da attacchi DDoS. Per altre informazioni, vedere Protezione DDoS dell'applicazione.

Monitoraggio

  • Monitoraggio degli attacchi contro le applicazioni Web tramite il log in tempo reale di WAF. Il log è integrato in Monitoraggio di Azure per tenere traccia degli avvisi di WAF e monitorare con facilità le tendenze.

  • Web application firewall del gateway applicazione è integrato con Microsoft Defender per il cloud. Defender per il cloud offre una visualizzazione centrale dello stato di sicurezza di tutte le risorse di Azure, ibride e multi-cloud.

Personalizzazione

  • Personalizzazione di regole e gruppi di regole di WAF in base ai requisiti delle applicazioni ed eliminazione di falsi positivi.

  • Associazione di un criterio di WAF per ogni sito dietro WAF per consentire la configurazione specifica per sito

  • Creazione di regole personalizzate per soddisfare le esigenze dell'applicazione

Funzionalità

  • Protezione dagli attacchi SQL injection.
  • Protezione da attacchi tramite script da altri siti.
  • Protezione da altri attacchi Web comuni, ad esempio l'inserimento di comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'inclusione di file remoti.
  • Protezione da violazioni del protocollo HTTP.
  • Protezione contro eventuali anomalie del protocollo HTTP, ad esempio user agent host mancante e accept header.
  • Protezione da crawler e scanner.
  • Rilevamento di errori di configurazione comuni dell'applicazione (ad esempio, Apache e IIS).
  • Limiti inferiori e superiori configurabili per le dimensioni delle richieste.
  • Elenchi di esclusione che consentono di omettere determinati attributi delle richieste da una valutazione di WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione o per i campi delle password.
  • Creazione di regole personalizzate per soddisfare le esigenze delle applicazioni.
  • Traffico con filtro basato sull'area geografica per consentire o impedire a determinati paesi/aree geografiche di accedere alle applicazioni.
  • Protezione delle applicazioni dai bot con il set di regole di mitigazione dei bot.
  • Analisi del codice JSON e XML nel corpo della richiesta

Regole e criteri di WAF

Per abilitare web application firewall nel gateway applicazione, è necessario creare un criterio di WAF. Questo criterio include tutte le regole gestite, le regole personalizzate, le esclusioni e altre personalizzazioni, come il limite per il caricamento di file.

È possibile configurare un criterio di WAF e associarlo a uno o più gateway applicazione per la protezione. I criteri di WAF sono costituiti da due tipi di regole di sicurezza:

  • Regole personalizzate che vengono create

  • Set di regole gestite, ovvero una raccolta di set di regole preconfigurate gestite da Azure

Quando sono presenti entrambi i tipi, le regole personalizzate vengono elaborate prima di quelle incluse in un set di regole gestito. Una regola è costituita da una condizione di corrispondenza, una priorità e un'azione. I tipi di azione supportati sono: ALLOW, BLOCK, e LOG. È possibile creare criteri completamente personalizzati che soddisfino specifici requisiti di protezione delle applicazioni combinando regole gestite e personalizzate.

Le regole all'interno dei criteri vengono elaborate in ordine di priorità. La priorità è un numero intero univoco che definisce l'ordine di elaborazione delle regole. Un valore intero più basso indica una priorità più alta e quindi le regole con valori di priorità più bassi vengono elaborate prima di quelle con valori più alti. Una volta trovata una corrispondenza per una regola, alla richiesta viene applicata l'azione definita in tale regola. Dopo l'elaborazione di una corrispondenza di questo tipo, le regole con priorità più bassa non vengono elaborate ulteriormente.

Un'applicazione Web distribuita dal gateway applicazione può essere associata a un criterio di WAF a livello globale, a livello di singolo sito o a livello di singolo URI.

Set di regole principali

Il gateway applicazione supporta più set di regole, tra cui CRS 3.2, CRS 3.1 e CRS 3.0. Queste regole proteggono le applicazioni Web da attività dannose.

Per altre informazioni, vedere Regole e gruppi di regole CRS di Web Application Firewall.

Regole personalizzate

Il gateway applicazione supporta anche regole personalizzate, ossia regole che è possibile creare e che vengono valutate per ogni richiesta che passa attraverso WAF. Queste regole hanno una priorità più elevata rispetto alle altre dei set di regole gestiti. Se viene soddisfatto un set di condizioni, viene intrapresa un'azione per consentire o bloccare le richieste.

L'operatore di corrispondenza geografica è ora disponibile per le regole personalizzate. Per altre informazioni, vedere Regole personalizzate di corrispondenza geografica.

Per altre informazioni, vedere Regole personalizzate per il gateway applicazione.

Set di regole di protezione bot

È possibile abilitare un set di regole di protezione del bot gestito per eseguire azioni personalizzate sulle richieste da tutte le categorie di bot.

Sono supportate tre categorie di bot:

  • Non valido

    I bot dannosi sono bot con indirizzi IP dannosi e bot che hanno falsificato le proprie identità. I bot dannosi includono indirizzi IP dannosi che vengono originati dal feed di Intelligence per le minacce Microsoft, indicatori IP con attendibilità elevata dei feed di compromissione e reputazione IP. I bot non validi includono anche bot che si identificano come bot validi, ma gli indirizzi IP non appartengono a autori di bot legittimi.

  • Bene

    I bot validi sono agenti utente attendibili. Le regole del bot valide sono suddivise in più categorie per fornire un controllo granulare sulla configurazione dei criteri WAF. Queste categorie includono:

    • bot del motore di ricerca verificati (ad esempio Googlebot e Bingbot)
    • bot di controllo dei collegamenti convalidati
    • bot di social media verificati (ad esempio Facebookbot e LinkedInBot)
    • bot di pubblicità verificati
    • bot di controllo del contenuto verificati
    • bot vari convalidati
  • Unknown

    I bot sconosciuti sono agenti utente senza convalida aggiuntiva. I bot sconosciuti includono anche indirizzi IP dannosi che vengono originati dagli indicatori IP di attendibilità media del feed di Intelligence per le minacce di Microsoft.

La piattaforma WAF gestisce e aggiorna in modo dinamico le firme del bot.

È possibile assegnare Microsoft_BotManagerRuleSet_1.0 usando l'opzione assegna in Set di regole gestite:

Screenshot di Assegna set di regole gestiti.

Quando la protezione bot è abilitata, blocca, consente o registra le richieste in ingresso che corrispondono alle regole del bot in base all'azione configurata. Blocca i bot dannosi, consente ricerche per indicizzazione verificate del motore di ricerca, blocca i crawler sconosciuti del motore di ricerca e registra bot sconosciuti per impostazione predefinita. È possibile impostare azioni personalizzate per bloccare, consentire o registrare diversi tipi di bot.

È possibile accedere ai log WAF da un account di archiviazione, un hub eventi, analisi dei log o inviare log a una soluzione partner.

Per altre informazioni sulla protezione dei bot gateway applicazione, vedere Panoramica di Web application firewall di Azure sulla protezione bot del gateway di app Azure lication.

Modalità di WAF

WAF nel gateway applicazione può essere configurato per l'esecuzione nelle due modalità seguenti:

  • Modalità di rilevamento: Monitora e registra tutti gli avvisi sulle minacce. Attivare la registrazione diagnostica per il gateway applicazione usando la sezione Diagnostica. È anche necessario assicurarsi che il log di WAF sia selezionato e attivato. Quando viene eseguito in modalità di rilevamento, Web Application Firewall non blocca le richieste in ingresso.
  • Modalità di prevenzione: Blocca intrusioni e attacchi rilevati dalle regole. L'autore dell'attacco riceve un'eccezione di "accesso non autorizzato 403" e la connessione viene chiusa. La modalità di prevenzione registra tali attacchi nei log di WAF.

Nota

Negli ambienti di produzione è consigliabile eseguire una nuova distribuzione di WAF in modalità di rilevamento per un breve periodo di tempo. In questo modo è possibile ottenere i log del firewall e aggiornare eventuali eccezioni o regole personalizzate prima della transizione alla modalità di prevenzione. Ciò consente di ridurre la possibilità che il traffico venga bloccato in modo imprevisto.

Motori WAF

Il motore web application firewall (WAF) di Azure è il componente che controlla il traffico e determina se una richiesta include una firma che rappresenta un potenziale attacco. Quando si usa CRS 3.2 o versione successiva, WAF esegue il nuovo motore WAF, che offre prestazioni più elevate e un set di funzionalità migliorato. Quando si usano versioni precedenti di CRS, il WAF viene eseguito in un motore precedente. Le nuove funzionalità sono disponibili solo nel nuovo motore WAF di Azure.

Azioni di WAF

È possibile scegliere quale azione viene eseguita quando una richiesta corrisponde a una condizione della regola. Sono supportate le azioni seguenti:

  • Allow: la richiesta passa attraverso Web application firewall e viene inoltrata al back-end. Nessuna regola con priorità più bassa può bloccare questa richiesta. Le azioni consentite sono applicabili solo al set di regole di Bot Manager e non sono applicabili al set di regole di base.
  • Blocca: La richiesta viene bloccata e WAF invia una risposta al client senza inoltrare la richiesta al back-end.
  • Log: la richiesta viene registrata nei log di Web application firewall, che prosegue la valutazione delle regole con priorità più bassa.
  • Punteggio di anomalia: Questa è l'azione predefinita per il set di regole CRS in cui viene incrementato il punteggio totale di anomalie quando viene trovata una regola con questa azione. L'assegnazione di punteggi di anomalie non è applicabile per il set di regole di Bot Manager.

Modalità di assegnazione di punteggi di anomalia

OWASP ha due modalità per decidere se bloccare il traffico: modalità tradizionale e modalità di assegnazione dei punteggi anomalie.

In modalità tradizionale, il traffico che corrisponde a qualsiasi regola viene considerato in modo indipendente da qualsiasi altra regola corrispondente. Questa modalità è facile da comprendere. Ma la mancanza di informazioni sul numero di regole che corrispondono a una specifica richiesta costituisce una limitazione. Per questo motivo, è stata introdotta la modalità di assegnazione di punteggi di anomalia. Si tratta dell'impostazione predefinita per OWASP 3.x.

In questa modalità, il traffico che corrisponde a qualsiasi regola non viene immediatamente bloccato se il firewall è in modalità di prevenzione. Le regole hanno una certa gravità: Critico, Errore, Attenzione o Avviso. Questo livello determina un valore numerico per la richiesta, ossia il punteggio di anomalia. Ad esempio, una regola di tipo avviso aggiunge 3 al punteggio. Una regola di livello critico aggiunge 5.

Gravità Valore
Critico 5
Error 4
Avviso 3
Preavviso 2

Per bloccare il traffico, il punteggio di anomalia deve raggiungere la soglia 5. Quindi, una singola corrispondenza con una regola di livello critico è sufficiente perché WAF nel gateway applicazione blocchi una richiesta, anche in modalità di prevenzione. Invece una singola corrispondenza con una regola di tipo avviso si limita a incrementare di 3 il punteggio di anomalia, quindi non è sufficiente per bloccare il traffico.

Nota

Il messaggio registrato quando una regola di WAF corrisponde al traffico include il valore di azione "Matched", ossia abbinato. Se il punteggio totale di anomalie di tutte le regole corrispondenti è 5 o superiore e il criterio WAF è in esecuzione in modalità prevenzione, la richiesta attiverà una regola di anomalia obbligatoria con il valore di azione "Bloccato" e la richiesta verrà arrestata. Tuttavia, se il criterio WAF è in esecuzione in modalità rilevamento, la richiesta attiverà il valore dell'azione "Rilevato" e la richiesta verrà registrata e passata al back-end. Per altre informazioni, vedere Risolvere i problemi di Web application firewall (WAF) per il gateway applicazione di Azure.

Impostazione

È possibile configurare e distribuire tutti i criteri WAF usando il portale di Azure, le API REST, i modelli di Azure Resource Manager e Azure PowerShell. È anche possibile configurare e gestire i criteri WAF di Azure su larga scala usando l'integrazione di Gestione firewall (anteprima). Per altre informazioni, vedere Usare Gestione firewall di Azure per gestire i criteri di Web application firewall (anteprima).

Monitoraggio di WAF

È importante monitorare l'integrità del gateway applicazione. È possibile supportarlo integrando WAF e le applicazioni protette con i Microsoft Defender per il Cloud, Monitoraggio di Azure e log di Monitoraggio di Azure.

Diagramma della diagnostica di WAF nel gateway applicazione

Monitoraggio di Azure

I log del gateway applicazione sono integrati con Monitoraggio di Azure. Ciò consente di tenere traccia delle informazioni diagnostiche, inclusi i log e gli avvisi di WAF. È possibile accedere a questa funzionalità nella scheda Diagnostica della risorsa Gateway applicazione nel portale o direttamente tramite Monitoraggio di Azure. Per altre informazioni sull'abilitazione dei log, vedere Diagnostica del gateway applicazione.

Microsoft Defender for Cloud

Defender per il Cloud consente di prevenire, rilevare e rispondere alle minacce. Offre maggiore visibilità e controllo sulla sicurezza delle risorse di Azure. Il gateway applicazione è integrato con Defender per il cloud. Defender per il Cloud analizza l'ambiente per rilevare applicazioni Web non protette. e può consigliare a WAF nel gateway applicazione di proteggere queste risorse vulnerabili. I firewall vengono creati direttamente da Defender per il cloud. Queste istanze WAF sono integrate con Defender per il cloud. Inviano avvisi e informazioni sull'integrità a Defender per il Cloud per la creazione di report.

Finestra di panoramica di Defender per il Cloud

Microsoft Sentinel

Microsoft Sentinel è una soluzione di tipo SIEM (Security Information and Event Management) e SOAR (Security Orchestration, Automation and Response) scalabile e nativa del cloud. Microsoft Sentinel fornisce funzionalità intelligenti di analisi sicurezza e intelligence sulle minacce per l'azienda, offrendo un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.

Con la cartella di lavoro predefinita degli eventi del firewall Azure WAF, è possibile ottenere una panoramica degli eventi di sicurezza in WAF. Sono inclusi eventi, regole corrispondenti e bloccanti e tutto quello che viene registrato nei log del firewall. Sono disponibili altre informazioni sulla registrazione.

Screenshot degli eventi del firewall WAF.

Cartella di lavoro di Monitoraggio di Azure per WAF

Questa cartella di lavoro consente la visualizzazione personalizzata degli eventi di WAF pertinenti per la sicurezza in diversi pannelli filtrabili. È compatibile con tutti i tipi di WAF, tra cui gateway applicazione, Frontdoor e rete CDN, e può essere filtrata in base al tipo di WAF o a una specifica istanza di WAF. Importarla tramite un modello di Resource Manager o un modello di raccolta. Per distribuire questa cartella di lavoro, vedere Cartella di lavoro di WAF.

Registrazione

WAF nel gateway applicazione fornisce report dettagliati su ogni minaccia rilevata. La registrazione è integrata con i log di Diagnostica di Azure. Gli avvisi vengono registrati nel formato JSON. Questi log possono essere integrati con i log di Monitoraggio di Azure.

Finestre dei log di diagnostica del gateway applicazione

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Prezzi dello SKU WAF del gateway applicazione

I modelli di determinazione dei prezzi sono diversi per gli SKU WAF_v1 e WAF_v2. Per altre informazioni, vedere la pagina relativa ai prezzi del gateway applicazione.

Novità

Per informazioni sulle novità di Azure web application firewall, vedere aggiornamenti di Azure.

Passaggi successivi