Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Uma implantação do Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure protege ativamente seus aplicativos Web contra explorações e vulnerabilidades comuns. À medida que os aplicativos Web se tornam alvos mais frequentes para ataques mal-intencionados, esses ataques geralmente exploram vulnerabilidades conhecidas, como injeção de SQL e scripts entre sites.
O Firewall do Aplicativo Web do Azure no Gateway de Aplicativo baseia-se no CRS (Conjunto de Regras Principais) do OWASP (Open Web Application Security Project).
Todos os seguintes recursos do Firewall do Aplicativo Web do Azure existem dentro de uma política de WAF (firewall de aplicativo Web). Você pode criar várias políticas e associá-las a um gateway de aplicativo, a ouvintes individuais ou a regras de roteamento baseadas em caminho em um gateway de aplicativo. Essa associação permite que você defina políticas separadas para cada site por trás do gateway de aplicativo, se necessário. Para obter mais informações sobre políticas de WAF, consulte Criar políticas de WAF para o Gateway de Aplicativo.
Observação
O Gateway de Aplicativo tem duas versões de um firewall de aplicativo Web: WAF_v1 e WAF_v2. As associações de política do WAF têm suporte apenas para WAF_v2.
O Gateway de Aplicativo opera como um controlador de entrega de aplicativos. Ele oferece terminação TLS (Transport Layer Security) (anteriormente conhecida como SSL ou Secure Sockets Layer), afinidade de sessão baseada em cookie, distribuição de carga round robin, roteamento baseado em conteúdo, a capacidade de hospedar vários sites e aprimoramentos de segurança.
O Gateway de Aplicativo aprimora a segurança por meio do gerenciamento de política do TLS e do suporte do TLS de ponta a ponta. A integração do Firewall do Aplicativo Web do Azure ao Gateway de Aplicativo configura a segurança do aplicativo. Essa combinação defende ativamente seus aplicativos Web contra vulnerabilidades comuns e oferece um local centralmente gerenciável.
Benefícios
Esta seção descreve os principais benefícios fornecidos pelo Firewall de Aplicativo Web do Azure no Gateway de Aplicativo.
Proteção
Ajude a proteger seus aplicativos Web contra vulnerabilidades e ataques da Web sem modificação no código de back-end.
Ajude a proteger vários aplicativos Web ao mesmo tempo. Uma instância do Gateway de Aplicativo pode hospedar até 40 sites que usam um firewall de aplicativo Web.
Criar políticas personalizadas do WAF para diferentes sites por trás do mesmo WAF.
Ajude a proteger seus aplicativos Web contra bots mal-intencionados com o Conjunto de Regras de Reputação de IP.
Ajude a proteger seu aplicativo contra ataques de DDoS. Para obter mais informações, consulte a proteção contra DDoS do Aplicativo (Camada 7).
Monitoramento
Monitore ataques contra seu aplicativo Web usando um log de WAF em tempo real. O log é integrado ao Azure Monitor para acompanhar alertas do WAF e monitorar tendências.
O WAF do Gateway de Aplicativo é integrado ao Microsoft Defender para Nuvem. O Defender para Nuvem fornece uma visão central do estado de segurança de todos os recursos do Azure, híbridos e de várias nuvens.
Personalização
Personalize as regras e os grupos de regras de WAF a fim de atender as necessidades do seu aplicativo e eliminar falsos positivos.
Associe uma política de WAF para cada site por trás do WAF para permitir a configuração específica do site.
Crie regras personalizadas para atender às necessidades do seu aplicativo.
Recursos
- Proteção contra injeção de SQL.
- Proteção contra scripts entre sites.
- Proteção contra ataques comuns na Web, como injeção de comandos, solicitações HTTP indesejadas, divisão de resposta HTTP e inclusão de arquivo remoto.
- Proteção contra violações de protocolo HTTP.
- Proteção contra anomalias de protocolo HTTP, como ausência
HosteUser-AgentAcceptcabeçalhos. - Proteção contra rastreadores e scanners.
- Detecção de configurações incorretas de aplicativos comuns (por exemplo, Apache e IIS).
- Limites de tamanho de solicitação configuráveis com limites inferiores e superiores.
- Listas de exclusão que permitem omitir determinados atributos de solicitação de uma avaliação do WAF. Um exemplo comum são os tokens inseridos do Active Directory que são usados para autenticação ou campos de senha.
- Capacidade de criar regras personalizadas para atender às necessidades específicas de seus aplicativos.
- Capacidade de filtrar o tráfego geográfico, permitir ou impedir que determinados países/regiões obtenham acesso aos seus aplicativos.
- Conjunto de Regras do Gerenciador de Bots que ajuda a proteger seus aplicativos contra bots.
- Capacidade de inspecionar JSON e XML no corpo da solicitação.
Política e regras do WAF
Para usar um firewall de aplicativo Web no Gateway de Aplicativo, você deve criar uma política de WAF. Essa política é onde todas as regras gerenciadas, regras personalizadas, exclusões e outras personalizações (como o limite de upload de arquivo) existem.
Você pode configurar uma política de WAF e associar essa política a um ou mais gateways de aplicativo para proteção. Uma política do WAF consiste em dois tipos de regras de segurança:
- Regras personalizadas criadas por você
- Conjuntos de regras gerenciadas que são coleções de regras pré-configuradas gerenciadas pelo Azure
Quando ambos estão presentes, o WAF processa regras personalizadas antes de processar as regras em um conjunto de regras gerenciadas.
Uma regra consiste em uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação com suporte são ALLOW, BLOCKe LOG. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos específicos de proteção de aplicativo combinando regras gerenciadas e personalizadas.
O WAF processa regras dentro de uma política em uma ordem de prioridade. A prioridade é um inteiro exclusivo que define a ordem de regras a serem processadas. Um valor inteiro menor indica uma prioridade mais alta e o WAF avalia essas regras antes das regras que têm um valor inteiro mais alto. Depois que o WAF corresponde a uma regra com uma solicitação, ele aplica a ação correspondente que a regra define à solicitação. Depois que o WAF processa essa correspondência, as regras que têm prioridades mais baixas não são processadas mais adiante.
Um aplicativo Web fornecido pelo Gateway de Aplicativo pode ter uma política de WAF associada a ele no nível global, em um nível por site ou em um nível por URI.
Regras personalizadas
O Gateway de Aplicativo dá suporte à criação de suas próprias regras personalizadas. O Gateway de Aplicativo avalia regras personalizadas para cada solicitação que passa pelo WAF. Essas regras têm uma prioridade mais alta do que o restante das regras nos conjuntos de regras gerenciadas. Se uma solicitação atender a um conjunto de condições, o WAF executará uma ação para permitir ou bloquear. Para obter mais informações sobre regras personalizadas, consulte Regras personalizadas para Gateway de Aplicativo.
O Geomatch operador agora está disponível para regras personalizadas. Para obter mais informações, consulte as regras personalizadas do Geomatch.
Conjuntos de regras
O Gateway de Aplicativo dá suporte a vários conjuntos de regras, incluindo o CRS 3.2, o CRS 3.1 e o CRS 3.0. Essas regras ajudam a proteger seus aplicativos Web contra atividades mal-intencionadas. Para obter mais informações, consulte drs de firewall de aplicativo Web e regras e grupos de regras crs.
Conjunto de regras do Gerenciador de Bot
Você pode habilitar um Conjunto de Regras do Gerenciador de Bot gerenciado para executar ações personalizadas em solicitações de todas as categorias de bot.
O Gateway de Aplicativo dá suporte a três categorias de bot:
Bots incorretos: bots que têm endereços IP mal-intencionados ou que falsificaram suas identidades. Endereços IP mal-intencionados podem ser provenientes dos indicadores de comprometimento de alta confiança do Feed de Inteligência contra Ameaças da Microsoft e de feeds de reputação de IP. Bots ruins também incluem bots que se identificam como bons bots, mas têm endereços IP que não pertencem a editores de bot legítimos.
Bons bots: agentes de usuário confiáveis. As regras para bons bots são classificadas em várias categorias para fornecer controle granular sobre a configuração da política do WAF. Essas categorias incluem:
- Bots do mecanismo de pesquisa verificados (como Googlebot e Bingbot).
- Bots de verificador de link validados.
- Bots de mídia social verificados (como FacebookBot e LinkedInBot).
- Bots de publicidade verificados.
- Bots verificados do verificador de conteúdo.
- Bots diversos validados.
Bots desconhecidos: agentes de usuário sem validação adicional. Bots desconhecidos também podem ter endereços IP mal-intencionados provenientes dos Indicadores de Comprometimento de IP de confiança média do Feed de Inteligência contra Ameaças da Microsoft.
O Firewall de Aplicativo Web do Azure gerencia e atualiza dinamicamente as assinaturas de bot.
Quando você ativa a proteção contra bot, ela bloqueia, permite ou registra solicitações de entrada que correspondem às regras de bot com base na ação configurada. Ela bloqueia bots mal-intencionados, permite rastreadores verificados do mecanismo de pesquisa, bloqueia rastreadores desconhecidos do mecanismo de pesquisa e registra bots desconhecidos por padrão. Você pode definir ações personalizadas para bloquear, permitir ou registrar vários tipos de bots.
Você pode acessar logs do WAF de uma conta de armazenamento, de um hub de eventos ou do Log Analytics. Você também pode enviar logs para uma solução de parceiro.
Para obter mais informações sobre a proteção contra bots do Gateway de Aplicativo, consulte a visão geral do Firewall do Aplicativo Web sobre a proteção de bot do Gateway de Aplicativo.
Modos de WAF
Você pode configurar o WAF do Gateway de Aplicativo para ser executado nos seguintes modos:
- Modo de detecção: Monitora e registra todos os alertas de ameaça. Você ativa o log de diagnóstico para o Gateway de Aplicativo na seção Diagnóstico. Você também precisa garantir que o log do WAF esteja selecionado e ativado. Um firewall de aplicativo Web não bloqueia solicitações de entrada quando está operando no modo de detecção.
- Modo de prevenção: Bloqueia invasões e ataques detectados pelas regras. O invasor recebe uma exceção "403 acesso não autorizado" e a conexão é encerrada. O modo de Prevenção registra tais ataques nos logs do WAF.
Observação
Recomendamos que você execute um WAF recém-implantado no modo de detecção por um curto período em um ambiente de produção. Isso oferece a oportunidade de obter logs de firewall e atualizar quaisquer exceções ou regras personalizadas antes de fazer a transição para o modo de prevenção. Também ajuda a reduzir a ocorrência de tráfego bloqueado inesperado.
Mecanismo do WAF
O mecanismo WAF é o componente que inspeciona o tráfego e detecta se uma solicitação contém uma assinatura que indica um possível ataque. Quando você usa o CRS 3.2 ou posterior, o firewall do aplicativo Web executa o novo mecanismo WAF, o que oferece um desempenho mais alto e um conjunto aprimorado de recursos. Quando você usa versões anteriores do CRS, o WAF é executado em um mecanismo mais antigo. Novos recursos estão disponíveis apenas no novo mecanismo waf.
Ações de WAF
Você pode escolher qual ação o WAF é executado quando uma solicitação corresponde a uma condição de regra. O Gateway de Aplicativo dá suporte às seguintes ações:
- Permitir: a solicitação passa pelo WAF e é encaminhada para o back-end. Nenhuma outra regra de prioridade mais baixa pode bloquear essa solicitação. Essas ações se aplicam somente ao Conjunto de Regras do Gerenciador de Bot. Eles não se aplicam ao CRS.
- Bloquear: a solicitação está bloqueada. O WAF envia uma resposta ao cliente sem encaminhar a solicitação para o back-end.
- Log: a solicitação está registrada nos logs do WAF. O WAF continua avaliando regras de prioridade mais baixa.
- Pontuação de anomalias: essa ação é o padrão para o CRS. A pontuação total de anomalias é incrementada quando uma solicitação corresponde a uma regra com essa ação. A pontuação de anomalias não se aplica ao Conjunto de Regras do Gerenciador de Bot.
Modo de pontuação de anomalias
O OWASP tem dois modos para decidir se o tráfego deve ser bloqueado: tradicional e pontuação de anomalias.
No modo tradicional, o tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. Esse modo é fácil de entender, mas a falta de informações sobre quantas regras correspondem a uma solicitação específica é uma limitação. Portanto, o modo de pontuação de anomalias foi introduzido como o padrão para OWASP 3. x.
No modo de pontuação de anomalias, o tráfego que corresponde a qualquer regra não é imediatamente bloqueado quando o firewall está no modo de prevenção. As regras têm uma determinada gravidade: Crítico, Erro, Aviso ou Informativo. Essa gravidade afeta um valor numérico para a solicitação, que é a pontuação de anomalias. Por exemplo, uma correspondência de regra de Aviso contribui com 3 para a pontuação. Uma correspondência da regra crítica contribui com 5.
| Severidade | Valor |
|---|---|
| Crítico | 5 |
| Erro | 4 |
| Aviso | 3 |
| Informativo | 2 |
Há um limite de 5 para a pontuação de anomalia bloquear o tráfego. Portanto, uma única correspondência de regra crítica é suficiente para o WAF do Gateway de Aplicativo bloquear uma solicitação no modo de prevenção. Mas uma correspondência de regra de aviso só aumenta a pontuação de anomalias em 3, o que não é suficiente por si só para bloquear o tráfego.
Observação
A mensagem registrada quando uma regra waf corresponde ao tráfego inclui o valor da ação Correspondido. Se a pontuação de anomalia total de todas as regras correspondentes for 5 ou maior e a política do WAF estiver em execução no modo de prevenção, a solicitação disparará uma regra de anomalia obrigatória com o valor de ação Bloqueado e a solicitação será interrompida. Se a política waf estiver em execução no modo de detecção, a solicitação disparará o valor da ação Detectado e a solicitação será registrada e passada para o back-end. Para obter mais informações, consulte Noções básicas sobre logs do WAF.
Configuração
Você pode configurar e implantar todas as políticas de WAF usando o portal do Azure, as APIs REST, os modelos do Azure Resource Manager e o Azure PowerShell. Você também pode configurar e gerenciar políticas de WAF em escala usando a integração do Gerenciador de Firewall do Azure. Para obter mais informações, consulte Configurar políticas do WAF usando o Gerenciador de Firewall do Azure.
Monitoramento de WAF
O monitoramento da integridade do gateway de aplicativo é importante. Você pode obtê-lo integrando o WAF (e os aplicativos que ele ajuda a proteger) com o Microsoft Defender para Nuvem, o Azure Monitor e os Logs do Azure Monitor.
Azure Monitor
Os logs do Gateway de Aplicativo são integrados ao Azure Monitor para que você possa acompanhar as informações de diagnóstico, incluindo alertas e logs do WAF. Você pode acessar essa funcionalidade no portal do Azure, na guia Diagnóstico do recurso do Gateway de Aplicativo. Ou você pode acessá-lo diretamente no Azure Monitor.
Para saber mais sobre como usar logs, consulte logs de diagnóstico para o Gateway de Aplicativo.
Microsoft Defender para Nuvem
O Defender para Nuvem ajuda a prevenir, detectar e responder a ameaças. Ele fornece maior visibilidade e controle sobre a segurança dos recursos do Azure. O Gateway de Aplicativo é integrado ao Defender para Nuvem.
O Defender para Nuvem verifica seu ambiente para detectar aplicativos Web desprotegidos. Ele pode recomendar um WAF do Gateway de Aplicativo para ajudar a proteger esses recursos vulneráveis.
Você cria os firewalls diretamente no Defender para Nuvem. Essas instâncias do WAF são integradas ao Defender para Nuvem. Elas enviam informações de alertas e de integridade para o Defender para Nuvem com a finalidade de geração de relatórios.
Microsoft Sentinel
O Microsoft Sentinel é uma solução escalonável e nativa de nuvem que abrange o SIEM (gerenciamento de eventos de informações de segurança) e a resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel fornece análise de segurança inteligente e inteligência contra ameaças em toda a empresa. Ele fornece uma única solução para detecção de alertas, visibilidade de ameaças, busca proativa e resposta a ameaças.
Com a pasta de trabalho de eventos de firewall integrada ao Firewall do Aplicativo Web do Azure, você pode obter uma visão geral dos eventos de segurança em seu WAF. A visão geral inclui regras correspondentes, regras bloqueadas e todas as outras atividades de firewall registradas.
Pasta de trabalho do Azure Monitor para WAF
A pasta de trabalho do Azure Monitor para WAF permite visualização personalizada de eventos WAF relevantes para segurança em vários painéis filtrados. Ele funciona com todos os tipos de WAF, incluindo o Gateway de Aplicativo, o Azure Front Door e a Rede de Distribuição de Conteúdo do Azure.
Você pode filtrar essa pasta de trabalho com base no tipo WAF ou em uma instância específica do WAF. Você o importa por meio do modelo do Azure Resource Manager ou do modelo de galeria.
Para implantar essa pasta de trabalho, consulte o repositório GitHub para o Firewall do Aplicativo Web do Azure.
Registro em log
O WAF do Gateway de Aplicativo fornece relatórios detalhados sobre cada ameaça detectada. O registro em log é integrado a logs de Diagnóstico do Azure. Os alertas são registrados no formato JSON. Você pode integrar esses logs aos Logs do Azure Monitor.
{
"resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
"operationName": "ApplicationGatewayFirewall",
"time": "2017-03-20T15:52:09.1494499Z",
"category": "ApplicationGatewayFirewallLog",
"properties": {
{
"instanceId": "ApplicationGatewayRole_IN_0",
"clientIp": "203.0.113.145",
"clientPort": "0",
"requestUri": "/",
"ruleSetType": "OWASP",
"ruleSetVersion": "3.0",
"ruleId": "920350",
"ruleGroup": "920-PROTOCOL-ENFORCEMENT",
"message": "Host header is a numeric IP address",
"action": "Matched",
"site": "Global",
"details": {
"message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
"data": "127.0.0.1",
"file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
"line": "791"
},
"hostname": "127.0.0.1",
"transactionId": "16861477007022634343"
"policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
"policyScope": "Global",
"policyScopeName": " Global "
}
}
}
Preço do WAF do Gateway de Aplicativo
Os modelos de preços são diferentes para as versões WAF_v1 e WAF_v2. Para obter mais informações, consulte os preços do Gateway de Aplicativo.
Novidades
Para conhecer as novidades do Firewall do aplicativo Web do Azure, confira Atualizações do Azure.