Implementar um Firewall do Aplicativo Web no Azure Front Door
O WAF (Firewall do Aplicativo Web) fornece proteção centralizada de seus aplicativos Web contra vulnerabilidades e explorações comuns. Os aplicativos Web cada vez mais são alvos de ataques mal-intencionados que exploram vulnerabilidades conhecidas comuns. A injeção de SQL e o script entre sites estão entre os ataques mais comuns.
A prevenção de tais ataques no código do aplicativo é desafiadora. Isso pode exigir manutenção rigorosa, aplicação de patches e monitoramento em várias camadas da topologia do aplicativo. Um firewall de aplicativo Web centralizado ajuda a tornar o gerenciamento de segurança muito mais simples. Um WAF também oferece aos administradores de aplicativos melhor garantia de proteção contra ameaças e invasões.
Uma solução WAF pode reagir a uma ameaça de segurança mais rapidamente, corrigindo uma vulnerabilidade conhecida de modo central, em vez de proteger cada um dos aplicativos Web individuais.
Modos da política de Firewall de Aplicativo Web
Quando você cria uma política de WAF (Firewall de Aplicativo Web), por padrão, ela está no modo de Detecção. No modo de Detecção, o WAF não bloqueia as solicitações. Em vez disso, as solicitações que cumprem as regras de WAF são registradas em logs do WAF. Para ver o WAF na prática, altere as configurações de modo de Detecção para Prevenção. No modo de Prevenção, as solicitações que cumprem as regras definidas no DRS (Conjunto de Regras Padrão) são bloqueadas e registradas em logs do WAF.
Regras e grupos de regras do Conjunto de Regras Padrão do Firewall de Aplicativo Web
O WAF (firewall do aplicativo Web) do Azure Front Door protege os aplicativos Web contra vulnerabilidades e explorações comuns. Os conjuntos de regras gerenciados pelo Azure oferecem uma maneira fácil de implantar a proteção contra um conjunto comum de ameaças de segurança. Como esses conjuntos de regras são gerenciados pelo Azure, as regras são atualizadas conforme necessário para proteção contra novas assinaturas de ataque.
Regras gerenciadas
O Conjunto de Regras Padrão gerenciado pelo Azure inclui regras contra as seguintes categorias de ameaça:
- Script entre sites
- Ataques de Java
- Inclusão de arquivo local
- Ataque de injeção de PHP
- Execução de comando remoto
- Inclusão de arquivo remoto
- Fixação da sessão
- Proteção contra injeção de SQL
- Invasores de protocolo
O Conjunto de Regras Padrão gerenciado pelo Azure é habilitado por padrão. A versão padrão atual é DefaultRuleSet_2.1. Outros conjuntos de regras estão disponíveis na caixa suspensa.
Para desabilitar uma regra individual, marque a caixa de seleção na frente do número da regra e selecione Desabilitar na parte superior da página. Para alterar os tipos de ação para regras individuais dentro do conjunto de regras, marque a caixa de seleção na frente do número da regra e selecione Alterar ação na parte superior da página.
Regras personalizadas
O WAF do Azure com Front Door permite controlar o acesso aos seus aplicativos Web com base nas condições que você definir. Uma regra WAF personalizada consiste em itens como: número de prioridade, tipo de regra, condições de correspondência e ação. Há dois tipos de regras personalizadas: regras de correspondência e regras de limite de taxa. Uma regra de correspondência controla o acesso com base em um conjunto de condições de correspondência, ao passo que uma regra de limite de taxa controla o acesso com base em condições de correspondência e taxas de solicitações de entrada. Será possível desabilitar uma regra personalizada para impedir que ela seja avaliada e ainda manter a configuração.
Ao criar uma política de WAF, você poderá criar uma regra personalizada selecionando Adicionar regra personalizada na seção Regras personalizadas. Desse modo, você iniciará a página de configuração de regras personalizadas.
A captura de tela de exemplo abaixo mostra a configuração de uma regra personalizada para bloquear uma solicitação se a cadeia de caracteres de consulta contiver blockme.
Crie uma política de Firewall de Aplicativo Web no Azure Front Door
Esta seção descreve como criar uma política básica de WAF (Firewall de Aplicativo Web) do Azure e aplicá-la a um perfil no Azure Front Door.
Os principais estágios para criar uma política de WAF no Azure Front Door usando o portal do Azure são:
Criar uma política de Firewall de Aplicativo Web
É aqui que você cria uma política básica do WAF com o DRS (conjunto de regras padrão) gerenciado.
Associar a política do WAF a um perfil do Front Door
É aqui que você associa a política do WAF criada na primeira fase a um perfil do Front Door. Essa associação pode ser feita durante a criação da política do WAF ou pode ser feita em uma política do WAF criada anteriormente. Durante a associação, você especifica o perfil do Front Door e os domínios dentro do perfil do Front Door ao qual você deseja que a política do WAF seja aplicada. Durante esse estágio, se o domínio estiver associado a uma política de WAF, aparecerá esmaecido. Primeiro, é preciso remover o domínio da política associada e, em seguida, associá-lo novamente à nova política de WAF.
Definir as configurações de política e as regras do WAF
Essa é uma fase opcional, em que você pode definir as configurações de política como o Modo (Prevenção ou Detecção) e configurar regras gerenciadas e personalizadas.
Para exibir as etapas detalhadas de todas essas tarefas, confira Tutorial: criar uma política do Firewall de Aplicativo Web no Azure Front Door usando o portal do Azure.