Firewall do Aplicativo Web do Azure no Azure Front Door

O WAF (Firewall de Aplicativo Web do Azure) do Azure no Azure Front Door fornece proteção centralizada para seus aplicativos Web. Um WAF (firewall de aplicativo Web) defende seus serviços Web contra explorações e vulnerabilidades comuns. Ele mantém seu serviço altamente disponível para seus usuários e ajuda você a atender aos requisitos de conformidade.

O Firewall de Aplicativo Web do Azure no Azure Front Door é uma solução global e centralizada. Ele é implantado em localizações de borda da rede do Azure em todo o mundo. Os aplicativos Web habilitados para WAF inspecionam todas as solicitações de entrada entregues pelo Azure Front Door na borda da rede.

Um WAF impede ataques mal-intencionados próximos às fontes de ataque, antes que eles entrem em sua rede virtual. Você obtém proteção global em escala sem sacrificar o desempenho. Uma política WAF vincula-se facilmente a qualquer perfil do Azure Front Door em sua assinatura. Novas regras podem ser implantadas em minutos. Portanto, você pode responder rapidamente a padrões de ameaça em constante mudança.

Captura de tela que mostra o Firewall de Aplicativo Web do Azure.

Observação

Para cargas de trabalho da Web, é altamente recomendável utilizar a proteção contra DDoS do Azure e um firewall de aplicativo Web para proteger contra ataques de DDoS emergentes. Outra opção é empregar o Azure Front Door junto com um firewall de aplicativo Web. O Azure Front Door oferece proteção no nível da plataforma contra ataques de DDoS no nível da rede. Para obter mais informações, confira linha de base de segurança dos serviços do Azure.

O Azure Front Door tem duas camadas:

  • Standard
  • Premium

O Firewall de Aplicativo Web do Azure é integrado nativamente ao Azure Front Door Premium com recursos completos. Para o Azure Front Door Standard, há suporte apenas para regras personalizadas.

Proteção

O Firewall de Aplicativo Web do Azure protege seus:

  • Aplicativos Web de vulnerabilidades e ataques da Web sem modificar o código de back-end.
  • Aplicativos Web contra bots mal-intencionados com o conjunto de regras de Reputação de IP.
  • Aplicativos contra DDoS. Para saber mais, consulte Proteção contra DDoS para aplicativos.

Política e regras do WAF

É possível configurar uma política do WAF e associá-la a um ou mais domínios do Azure Front Door para proteção. Uma política do WAF consiste em dois tipos de regras de segurança:

  • Regras personalizadas que o cliente criou.
  • Conjuntos de regras gerenciados que são uma coleção do conjunto de regras pré-configurado gerenciado pelo Azure.

Quando ambas estiverem presentes, as regras personalizadas serão processadas antes das regras em um conjunto de regras gerenciado. Uma regra é composta por uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação com suporte são ALLOW, BLOCK, LOG, e REDIRECT. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos de proteção de aplicativo específicos combinando regras gerenciadas e personalizadas.

As regras em uma política são processadas em uma ordem de prioridade. A prioridade é um inteiro exclusivo que define a ordem de regras a serem processadas. Um valor inteiro menor denota uma prioridade maior. Essas regras são avaliadas antes daquelas com um valor inteiro mais alto. Após a correspondência de uma regra, a ação relevante definida na regra é aplicada à solicitação. Depois de essa correspondência ser processada, as regras com prioridades menores não serão mais processadas.

Um aplicativo Web entregue pelo Azure Front Door pode ter apenas uma política WAF associada por vez. No entanto, você pode ter uma configuração do Azure Front Door sem nenhuma política de WAF associada. Se uma política WAF estiver presente, ela será replicada para todas as localizações de borda para garantir a consistência em políticas de segurança em todo o mundo.

Modos de WAF

A política do WAF pode ser configurada para ser executada nos dois modos:

  • Detecção: quando um WAF é executado no modo de detecção, ele monitora e registra apenas a solicitação e sua regra WAF correspondente aos logs do WAF. Ele não toma nenhuma outra ação. Você pode ativar o diagnóstico de log para o Azure Front Door. Ao usar o portal, vá para a seção Diagnóstico.
  • Prevenção: No modo de prevenção, um WAF executará a ação especificada se uma solicitação corresponder a uma regra. Se uma correspondência for encontrada, nenhuma regra adicional com prioridade mais baixa será avaliada. Qualquer solicitação correspondente também é registrada nos logs do WAF.

Ações de WAF

Os clientes do WAF podem optar por executar uma das ações quando uma solicitação corresponde às condições de uma regra:

  • Permitir: a solicitação passa pelo WAF e é encaminhada para a origem. Nenhuma outra regra de prioridade mais baixa pode bloquear essa solicitação.
  • Bloquear: a solicitação é bloqueada e o WAF envia uma resposta ao cliente sem encaminhar a solicitação à origem.
  • Log: a solicitação é registrada nos logs do WAF e o WAF continua avaliando as regras de prioridade mais baixa.
  • Redirecionar: o WAF redireciona a solicitação para o URI especificado. O URI especificado é uma configuração em nível de política. Depois de configuradas, todas as solicitações que correspondem à ação Redirecionar são enviadas para esse URI.
  • Pontuação de anomalias: a pontuação total de anomalias é aumentada incrementalmente quando uma regra com essa ação é correspondida. Essa ação padrão é para Conjunto de Regras Padrão 2.0 ou posterior. Ele não é aplicável ao Conjunto de Regras do Gerenciador de Bots.

Regras de WAF

Uma política de WAF pode ter dois tipos de regras de segurança:

  • Regras personalizadas, criadas pelo cliente e conjuntos de regras gerenciadas
  • Conjuntos de regras pré-configurados gerenciados pelo Azure

Regras criadas personalizadas

Para configurar regras personalizadas para um WAF, use os seguintes controles:

  • Lista de contatos bloqueados e lista de permissões de IP: você pode controlar o acesso a aplicativos Web com base em uma lista de endereços IP ou intervalos de endereço IP do cliente. Há suporte para os tipos de endereço IPv4 e IPv6. Essa lista pode ser configurada para bloquear ou permitir as solicitações em que o IP de origem corresponde a um IP na lista.
  • Controle de acesso baseado em região geográfica: você pode controlar o acesso a seus aplicativos Web com base no código do país associado ao endereço IP de um cliente.
  • Controle de acesso baseado em parâmetros HTTP: Você pode basear regras em correspondências de cadeia de caracteres em parâmetros de solicitação HTTP/HTTPS. Exemplos incluem cadeias de caracteres de consulta, argumentos POST, URI de Solicitação, Cabeçalho de Solicitação e Corpo da Solicitação.
  • Controle de acesso baseado em método de solicitação: As regras são baseadas no método de solicitação HTTP da solicitação. Os exemplos incluem GET, PUT ou HEAD.
  • Restrição de tamanho: você pode basear regras nos comprimentos de partes específicas de uma solicitação, como cadeia de consulta, URI ou corpo da solicitação.
  • Regras de limite de taxa: uma regra de limite de taxa limita o tráfego anormalmente alto proveniente de qualquer endereço IP de cliente. Você pode configurar um número limite de solicitações Web permitidas de um IP de cliente no intervalo de um minuto. Essa regra é diferente de uma regra personalizada de permitir/bloquear baseada em lista de IPs que permite ou bloqueia todas as solicitações de um IP do cliente. Os limites de taxa podem ser combinados com outras condições de correspondência, como correspondências de parâmetros HTTP(S) para controle de taxa granular.

Conjuntos de regras gerenciados pelo Azure

Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Visto que esses conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque. O Conjunto de Regras Padrão gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:

  • Script entre sites
  • Ataques de Java
  • Inclusão de arquivo local
  • Ataque de injeção de PHP
  • Execução de comando remoto
  • Inclusão de arquivo remoto
  • Fixação da sessão
  • Proteção contra injeção de SQL
  • Invasores de protocolo

As regras personalizadas sempre são aplicadas antes de as regras no conjunto de regras padrão serem avaliadas. Se uma solicitação corresponder a uma regra personalizada, a ação de regra correspondente será aplicada. A solicitação é bloqueada ou passada pelo back-end. Nenhuma outra regra personalizada ou as regras no Conjunto de Regras Padrão são processadas. Você também pode remover o Conjunto de Regras Padrão de suas políticas WAF.

Para obter mais informações, confira Regras, grupos de regras, e conjunto de regras padrão do Firewall de Aplicativo Web.

Conjunto de regras de proteção contra bots

Você pode habilitar um conjunto de regras de proteção contra bots gerenciado para executar ações personalizadas em solicitações de todas as categorias de bots.

Há suporte para três categorias de bot: Ruim, Bom e Desconhecido. As assinaturas de bot são gerenciadas e atualizadas dinamicamente pela plataforma WAF.

  • Ruim: bots ruins são aqueles com endereços IP mal-intencionados e bots com identidades falsificadas. Os bots ruins incluem endereços IP mal-intencionados provenientes dos Indicadores de comprometimento e reputação de IP do feeds de IP altamente confiáveis do Informações sobre ameaças da Microsoft. Bots ruins também incluem aqueles identificados como bots bons, mas com endereços IP que não pertencem a editores de bot legítimos.
  • Bom: bots bons são agentes de usuário confiáveis. As regras de bots bons são categorizadas em várias categorias para fornecer controle granular da configuração de política do WAF. Essas categorias incluem bots verificados do mecanismo de pesquisa (como Googlebot e Bingbot), bots de verificador de link validados, bots de mídia social verificados (como Facebookbot e LinkedInBot), bots de publicidade verificados, bots de verificador de conteúdo verificados e diversos bots validados.
  • Desconhecido: bots desconhecidos são agentes de usuário sem validação adicional. Bots desconhecidos também incluem endereços IP mal-intencionados provenientes dos Indicadores de Comprometimento de IP de confiança média do Feed da Inteligência contra Ameaças da Microsoft.

A plataforma WAF gerencia e atualiza dinamicamente as assinaturas de bot. Você pode definir ações personalizadas para bloquear, permitir, registrar em log ou redirecionar para diferentes tipos de bots.

Captura de tela que mostra um conjunto de regras de proteção de bots.

Com a proteção contra bots habilitada, as solicitações de entrada que correspondem às regras de bot são bloqueadas, permitidas ou registradas com base na ação configurada. Bots ruins são bloqueados, bots bons são permitidos e bots desconhecidos são registrados por padrão. Você pode definir ações personalizadas para bloquear, permitir, registrar em log ou realizar desafio JS em diferentes tipos de bots. Você pode acessar logs do WAF de uma conta de armazenamento, hub de eventos, análise de logs ou enviar logs para uma solução de parceiro.

O conjunto de regras Bot Manager 1.1 está disponível na versão Premium do Azure Front Door.

Para obter mais informações, veja Bot Manager 1.1 do Azure WAF e JavaScript Challenge: Navigating the Bot Threat Terrain.

Configuração

É possível configurar e implantar todas as políticas do WAF com o portal do Azure, as APIs REST, os modelos do Azure Resource Manager e o Azure PowerShell. Também é possível configurar e gerenciar políticas do WAF do Azure em escala usando a integração do Gerenciador de Firewall. Para saber mais, confira Usar o Gerenciador de Firewall do Azure para administrar políticas do Firewall de Aplicativo Web do Azure.

Monitoramento

O monitoramento para um WAF no Azure Front Door é integrado ao Azure Monitor para acompanhar alertas e monitorar facilmente as tendências de tráfego. Para obter mais informações, confira Registro em Log e Monitoramento do Firewall de Aplicativo Web do Azure.

Próximas etapas