Azure Web Application Firewall och Azure Policy
Azure Web Application Firewall (WAF) i kombination med Azure Policy kan hjälpa till att genomdriva organisationsstandarder och utvärdera efterlevnad i stor skala för WAF-resurser. Azure Policy är ett styrningsverktyg som ger en aggregerad vy för att utvärdera miljöns övergripande tillstånd, med möjlighet att öka detaljnivån till kornigheten per resurs och per princip. Azure Policy hjälper också till att göra dina resurser kompatibla genom massreparation för befintliga resurser och automatisk reparation av nya resurser.
Azure Policy för Web Application Firewall
Det finns flera inbyggda Azure Policy definitioner för att hantera WAF-resurser. En uppdelning av policydefinitionerna och deras funktioner är följande:
Aktivera Web Application Firewall (WAF)
Azure Web Application Firewall ska vara aktiverat för Azure Front Door-startpunkter: Azure Front Door Services utvärderas om det finns en WAF eller inte. Principdefinitionen har tre effekter: Granskning, Neka och Inaktivera. Granskning spårar när en Azure Front Door-tjänst inte har en WAF och låter användarna se vad Azure Front Door Service inte följer. Neka förhindrar att Azure Front Door Service skapas om en WAF inte är ansluten. Inaktiverad inaktiverar principtilldelningen.
Web Application Firewall (WAF) ska vara aktiverat för Application Gateway: Application Gateways utvärderas om det finns en WAF när resursen skapas. Principdefinitionen har tre effekter: Granskning, Neka och Inaktivera. Granskning spårar när en Application Gateway inte har någon WAF och låter användarna se vad Application Gateway inte följer. Neka förhindrar att Application Gateway skapas om en WAF inte är kopplad. Inaktiverad inaktiverar principtilldelningen.
Läge för identifiering eller förebyggande av mandat
Web Application Firewall (WAF) bör använda det angivna läget för Azure Front Door Service: Kräver att läget "Identifiering" eller "Förebyggande" ska vara aktivt på alla Web Application Firewall principer för Azure Front Door Service. Principdefinitionen har tre effekter: Granskning, Neka och Inaktivera. Granska spårar när en WAF inte passar det angivna läget. Neka förhindrar att waf skapas om den inte är i rätt läge. Inaktiverad inaktiverar principtilldelningen.
Web Application Firewall (WAF) bör använda det angivna läget för Application Gateway: Kräver att läget "Identifiering" eller "Förebyggande" ska vara aktivt på alla Web Application Firewall principer för Application Gateway. Principdefinitionen har tre effekter: Granskning, Neka och Inaktivera. Granska spårar när en WAF inte passar det angivna läget. Neka förhindrar att waf skapas om den inte är i rätt läge. Inaktiverad inaktiverar principtilldelningen.
Kräv inspektion av begäran
Azure Web Application Firewall på Azure Front Door bör ha kontroll av begärandetext aktiverad: Se till att Brandväggar för webbaserade program som är associerade med Azure Front Doors har begärandekroppsgranskning aktiverat. Med den här funktionen kan WAF inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI.
Azure Web Application Firewall på Azure Application Gateway bör ha kontroll av begärandetext aktiverad: Kontrollera att brandväggar för webbaserade program som är associerade med Azure Application gatewayer har kontroll av begärandetext aktiverad. Med den här funktionen kan WAF inspektera egenskaper i HTTP-brödtexten som kanske inte utvärderas i HTTP-huvuden, cookies eller URI.
Kräv resursloggar
Azure Front Door bör ha resursloggar aktiverade: Kräver aktivering av resursloggar och mått på den klassiska Azure Front Door-tjänsten, inklusive WAF. Principdefinitionen har två effekter: AuditIfNotExists och Disable. AuditIfNotExists spårar när en Front Door-tjänst inte har resursloggar, mått aktiverade och meddelar användaren att tjänsten inte uppfyller kraven. Inaktiverad inaktiverar principtilldelningen.
Azure Front Door Standard eller Premium (Plus WAF) bör ha resursloggar aktiverade: Kräver aktivering av resursloggar och mått på Azure Front Door-standard- och premiumtjänster, inklusive WAF. Principdefinitionen har två effekter: AuditIfNotExists och Disable. AuditIfNotExists spårar när en Front Door-tjänst inte har resursloggar, mått aktiverade och meddelar användaren att tjänsten inte uppfyller kraven. Inaktiverad inaktiverar principtilldelningen.
Azure Application Gateway ska ha resursloggar aktiverade: Kräver aktivering av resursloggar och mått på alla Application Gateways, inklusive WAF. Principdefinitionen har två effekter: AuditIfNotExists och Disable. AuditIfNotExists spårar när en Application Gateway inte har resursloggar, mått aktiverade och meddelar användaren att Application Gateway inte uppfyller kraven. Inaktiverad inaktiverar principtilldelningen.
Rekommenderade WAF-konfigurationer
Azure Front Door-profiler bör använda Premium-nivån som stöder hanterade WAF-regler och privat länk: Kräver att alla dina Azure Front Door-profiler finns på premiumnivån i stället för standardnivån. Azure Front Door Premium är optimerat för säkerhet och ger dig tillgång till de mest aktuella WAF-regler och funktioner som robotskydd.
Aktivera frekvensbegränsningsregeln för att skydda mot DDoS-attacker på Azure Front Door WAF: Hastighetsbegränsning kan hjälpa dig att skydda ditt program mot DDoS-attacker. Hastighetsbegränsningsregeln för Azure Web Application Firewall (WAF) för Azure Front Door skyddar mot DDoS genom att kontrollera antalet begäranden som tillåts från en viss klient-IP-adress till programmet under en hastighetsbegränsning.
Migrera WAF från WAF-konfiguration till WAF-princip på Application Gateway: Om du har WAF-konfiguration i stället för WAF-princip kanske du vill flytta till den nya WAF-principen. Web Application Firewall principer (WAF) erbjuder en mer omfattande uppsättning avancerade funktioner över WAF-konfiguration, ger högre skalning, bättre prestanda och till skillnad från äldre WAF-konfiguration kan WAF-principer definieras en gång och delas över flera gatewayer, lyssnare och URL-sökvägar. Framöver är de senaste funktionerna och framtida förbättringar endast tillgängliga via WAF-principer.
Skapa en Azure Policy
På Startsidan för Azure skriver du Princip i sökfältet och väljer ikonen Azure Policy.
Välj Tilldelningar under Redigering på Azure Policy-tjänsten.
- På sidan Tilldelningar väljer du ikonen Tilldela princip längst upp.
- På fliken Tilldela princip uppdaterar du följande fält:
- Omfång: Välj vilka Azure-prenumerationer och resursgrupper som principerna gäller för.
- Undantag: Välj alla resurser från omfånget som ska undantas från principtilldelningen.
- Principdefinition: Välj den principdefinition som ska tillämpas på omfånget med undantag. Skriv "Web Application Firewall" i sökfältet för att välja relevant Web Application Firewall Azure Policy.
Välj fliken Parametrar och uppdatera principtilldelningsparametrarna. För att ytterligare klargöra vad parametern gör hovra över informationsikonen bredvid parameternamnet för ytterligare förtydligande.
Välj Granska + skapa för att slutföra principtilldelningen. Principtilldelningen tar cirka 15 minuter tills den är aktiv för nya resurser.