Perguntas frequentes sobre o Firewall de Aplicativo Web do Azure no Serviço de Porta de Entrada do Azure

Este artigo responde a perguntas comuns sobre o Azure Web Application Firewall (WAF) nos recursos e funcionalidades do Azure Front Door Service.

O que é o Azure WAF?

O WAF do Azure é um firewall de aplicativo Web que ajuda a proteger seus aplicativos Web contra ameaças comuns, como injeção de SQL, scripts entre sites e outras explorações da Web. Você pode definir uma política WAF que consiste em uma combinação de regras personalizadas e gerenciadas para controlar o acesso aos seus aplicativos Web.

Uma política WAF do Azure pode ser aplicada a aplicativos Web hospedados no Application Gateway ou no Azure Front Doors.

O que é WAF no Azure Front Door?

O Azure Front Door é uma rede de entrega de conteúdo e aplicativo altamente escalável e distribuída globalmente. O WAF do Azure, quando integrado ao Front Door, impede ataques de negação de serviço e aplicativos direcionados na borda da rede do Azure, perto de fontes de ataque antes que elas entrem em sua rede virtual, oferece proteção sem sacrificar o desempenho.

O WAF do Azure suporta HTTPS?

A porta da frente oferece descarregamento TLS. O WAF é integrado nativamente com o Front Door e pode inspecionar uma solicitação depois que ela for descriptografada.

O Azure WAF suporta IPv6?

Sim. Você pode configurar a restrição de IP para IPv4 e IPv6. Para obter mais informações, consulte IPv6 Adoption: Enhancing Azure WAF on Front Door.

Quão atualizados são os conjuntos de regras gerenciadas?

Fazemos o nosso melhor para acompanhar as mudanças no cenário de ameaças. Depois que uma nova regra é atualizada, ela é adicionada ao Conjunto de Regras Padrão com um novo número de versão.

Qual é o tempo de propagação se eu fizer uma alteração na minha política WAF?

A maioria das implantações de políticas WAF é concluída em menos de 20 minutos. Você pode esperar que a política entre em vigor assim que a atualização for concluída em todos os pontos de presença globalmente.

As políticas do WAF podem ser diferentes para diferentes regiões?

Quando integrado com o Front Door, o WAF é um recurso global. A mesma configuração aplica-se a todas as localizações da Front Door.

Como posso limitar o acesso ao meu back-end apenas a partir da Porta da Frente?

Você pode configurar a Lista de Controle de Acesso IP em seu back-end para permitir apenas intervalos de endereços IP de saída da Front Door usando a marca de serviço do Azure Front Door e negar qualquer acesso direto da Internet. As etiquetas de serviço são suportadas para utilização na sua rede virtual. Além disso, você pode verificar se o campo de cabeçalho HTTP X-Forwarded-Host é válido para seu aplicativo Web.

Quais opções do WAF do Azure devo escolher?

Há duas opções ao aplicar políticas WAF no Azure. O WAF com o Azure Front Door é uma solução de segurança de borda distribuída globalmente. O WAF com Application Gateway é uma solução regional dedicada. Recomendamos que escolha uma solução com base nos seus requisitos gerais de desempenho e segurança. Para obter mais informações, consulte Balanceamento de carga com o pacote de entrega de aplicativos do Azure.

Qual é a abordagem recomendada para habilitar o WAF na porta da frente?

Quando você habilita o WAF em um aplicativo existente, é comum ter deteções de falsos positivos em que as regras do WAF detetam tráfego legítimo como uma ameaça. Para minimizar o risco de impacto para seus usuários, recomendamos o seguinte processo:

  • Habilite o WAF no modo de deteção para garantir que o WAF não bloqueie solicitações enquanto você estiver trabalhando nesse processo. Esta etapa é recomendada para fins de teste no WAF.

    Importante

    Esse processo descreve como habilitar o WAF em uma solução nova ou existente quando sua prioridade é minimizar a perturbação para os usuários do seu aplicativo. Se você estiver sob ataque ou ameaça iminente, convém implantar o WAF no modo de prevenção imediatamente e usar o processo de ajuste para monitorar e ajustar o WAF ao longo do tempo. Isso provavelmente fará com que parte do seu tráfego legítimo seja bloqueado, e é por isso que só recomendamos fazer isso quando estiver sob ameaça.

  • Siga as nossas orientações para ajustar o WAF. Esse processo requer que você habilite o log de diagnóstico, revise os logs regularmente e adicione exclusões de regras e outras atenuações.
  • Repita todo este processo, verificando os registos regularmente, até ter a certeza de que nenhum tráfego legítimo está a ser bloqueado. Todo o processo pode levar várias semanas. O ideal é que você veja menos deteções de falsos positivos após cada alteração de ajuste feita.
  • Por fim, habilite o WAF no modo de Prevenção.
  • Mesmo depois de executar o WAF em produção, você deve continuar monitorando os logs para identificar quaisquer outras deteções de falsos positivos. Revisar regularmente os logs também ajudará você a identificar quaisquer tentativas reais de ataque que tenham sido bloqueadas.

Vocês suportam os mesmos recursos WAF em todas as plataformas integradas?

Atualmente, as regras ModSec CRS 3.0, CRS 3.1 e CRS 3.2 só são suportadas com WAF no Application Gateway. A limitação de taxas e as regras do Conjunto de Regras Padrão gerenciadas pelo Azure são suportadas apenas com o WAF na Porta da Frente do Azure.

A proteção contra DDoS está integrada com a porta frontal?

Distribuído globalmente nas bordas da rede do Azure, o Azure Front Door pode absorver e isolar geograficamente ataques de grande volume. Você pode criar uma política WAF personalizada para bloquear e classificar automaticamente ataques http(s) que tenham assinaturas conhecidas. Além disso, você pode habilitar a Proteção de Rede DDoS na VNet onde seus back-ends são implantados. Os clientes da Proteção contra DDoS do Azure recebem benefícios adicionais, incluindo proteção de custos, garantia de SLA e acesso a especialistas da Equipe de Resposta Rápida contra DDoS para obter ajuda imediata durante um ataque. Para obter mais informações, consulte Proteção contra DDoS na porta frontal.

Por que solicitações adicionais acima do limite configurado para minha regra de limite de taxa são passadas para meu servidor de back-end?

Você pode não ver solicitações imediatamente bloqueadas pelo limite de taxa quando as solicitações são processadas por diferentes servidores Front Door. Para obter mais informações, consulte Limitação de taxa e servidores Front Door.

Que tipos de conteúdo são suportados pelo WAF?

O WAF Front Door suporta os seguintes tipos de conteúdo:

  • DRS 2,0

    Regras gerenciadas

    • application/json
    • application/xml
    • aplicação/x-www-form-urlencoded
    • multipart/form-data

    Regras personalizadas

    • aplicação/x-www-form-urlencoded
  • DRS 1,x

    Regras gerenciadas

    • aplicação/x-www-form-urlencoded
    • text/plain

    Regras personalizadas

    • aplicação/x-www-form-urlencoded

Posso aplicar uma política WAF Front door a hosts front-end em diferentes perfis Front Door premium (AFDX) que pertencem a assinaturas diferentes?

Não, não podes. O perfil AFD e a política WAF precisam estar na mesma assinatura.

Próximos passos