Compartilhar via

Firewall do Aplicativo Web do Azure na Rede de Distribuição de Conteúdo do Azure

Uma implantação do Firewall do Aplicativo Web do Azure na Rede de Distribuição de Conteúdo do Azure fornece proteção centralizada para seu conteúdo da Web. O Firewall de Aplicativo Web do Azure defende seus serviços Web contra explorações e vulnerabilidades comuns. Ele ajuda a manter seu serviço altamente disponível para seus usuários e ajuda você a atender aos requisitos de conformidade.

Importante

A visualização do Firewall do Aplicativo Web do Azure na Rede de Distribuição de Conteúdo do Azure não está mais aceitando novos clientes. Em vez disso, incentivamos os clientes a usar o Firewall de Aplicativo Web do Azure no Azure Front Door .

Fornecemos aos clientes existentes um contrato de nível de serviço de versão prévia. Alguns recursos podem não ter suporte ou podem ter restrição de recursos. Para obter detalhes, consulte Termos de Uso Complementares para Versões Prévias do Microsoft Azure.

O Firewall do Aplicativo Web do Azure na Rede de Distribuição de Conteúdo do Azure é uma solução global e centralizada. Ele é implantado em localizações de borda da rede do Azure em todo o mundo. O Firewall do Aplicativo Web do Azure interrompe ataques mal-intencionados perto das fontes de ataque antes que eles cheguem à sua origem. Você obtém proteção global em escala sem sacrificar o desempenho.

Uma política de WAF (firewall de aplicativo Web) é vinculada a qualquer ponto de extremidade da CDN (rede de distribuição de conteúdo) em sua assinatura. Você pode implantar novas regras em minutos, para que possa responder rapidamente à alteração dos padrões de ameaça.

Diagrama que mostra como o Firewall do Aplicativo Web do Azure na Rede de Distribuição de Conteúdo do Azure toma medidas em solicitações de entrada.

Política e regras do WAF

Você pode configurar uma política de WAF e associar essa política a um ou mais pontos de extremidade cdn para proteção. Uma política do WAF consiste em dois tipos de regras de segurança:

  • Regras personalizadas: regras que você pode criar por conta própria.
  • Conjuntos de regras gerenciadas: regras pré-configuradas gerenciadas pelo Azure que você pode habilitar.

Quando ambos estão presentes, o WAF processa regras personalizadas antes de processar as regras em um conjunto de regras gerenciadas.

Uma regra consiste em uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação com suporte são ALLOW, BLOCKe LOGREDIRECT. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos específicos de proteção de aplicativo combinando regras gerenciadas e personalizadas.

O WAF processa regras dentro de uma política em uma ordem de prioridade. A prioridade é um inteiro exclusivo que define a ordem das regras a serem processadas. Números menores são uma prioridade mais alta e o WAF avalia essas regras antes das regras que têm um valor maior. Depois que o WAF corresponde a uma regra com uma solicitação, ele aplica a ação correspondente que a regra define à solicitação. Depois que o WAF processa essa correspondência, as regras que têm prioridades mais baixas não são processadas mais adiante.

Um aplicativo Web hospedado na Rede de Distribuição de Conteúdo do Azure pode ter apenas uma política de WAF associada a ela por vez. No entanto, você pode ter um ponto de extremidade de CDN sem nenhuma política de WAF associada. Se uma política waf estiver presente, ela será replicada para todos os locais de borda para garantir políticas de segurança consistentes em todo o mundo.

Regras personalizadas

As regras personalizadas podem incluir:

  • Regras de correspondência: você pode configurar as seguintes regras de correspondência personalizadas:

    • Lista de IPs permitidos e bloqueados: você pode controlar o acesso a aplicativos Web com base em uma lista de endereços IP ou intervalos de endereço IP do cliente. Há suporte para os tipos de endereço IPv4 e IPv6.

      As regras de lista de IP usam o RemoteAddress IP contido no cabeçalho da X-Forwarded-For solicitação e não o SocketAddress valor que o WAF usa. Você pode configurar listas de IP para bloquear ou permitir solicitações em que o RemoteAddress IP corresponde a um IP na lista.

      Se você tiver um requisito para bloquear solicitações no endereço IP de origem que o WAF usa (por exemplo, o endereço do servidor proxy se o usuário estiver por trás de um proxy), você deverá usar a camada Azure Front Door Standard ou Premium. Para obter mais informações, consulte Configurar uma regra de restrição de IP com um WAF para o Azure Front Door.

    • Controle de acesso geográfico: você pode controlar o acesso aos seus aplicativos Web com base no código do país associado ao endereço IP de um cliente.

    • Controle de acesso baseado em parâmetros HTTP: você pode basear regras em correspondências de cadeia de caracteres em parâmetros de solicitação HTTP ou HTTPS. Os exemplos incluem cadeias de caracteres de consulta, POST argumentos, URI de solicitação, cabeçalho de solicitação e corpo da solicitação.

    • Solicitar controle de acesso baseado em método: você pode basear regras no método de solicitação HTTP da solicitação. Exemplos incluem GET, PUTe HEAD.

    • Restrição de tamanho: você pode basear regras nos comprimentos de partes específicas de uma solicitação, como cadeia de caracteres de consulta, URI ou corpo da solicitação.

  • Regras de controle de taxa: essas regras limitam o tráfego anormalmente alto de qualquer endereço IP do cliente.

    Você pode configurar um limite no número de solicitações da Web permitidas de um endereço IP do cliente durante uma duração de um minuto. Essa regra é distinta de uma regra personalizada baseada em lista ip que permite todas ou bloqueia todas as solicitações de um endereço IP do cliente.

    Os limites de taxa podem ser combinados com mais condições de correspondência, como correspondências de parâmetro HTTP ou HTTPS, para controle de taxa granular.

Conjuntos de regras gerenciados pelo Azure

Os conjuntos de regras gerenciados pelo Azure fornecem uma maneira de implantar a proteção contra um conjunto comum de ameaças à segurança. Como o Azure gerencia esses conjuntos de regras, as regras são atualizadas conforme necessário para proteger contra novas assinaturas de ataque. O Conjunto de Regras Padrão gerenciado pelo Azure inclui regras em relação às seguintes categorias de ameaça:

  • Script entre sites
  • Ataques de Java
  • Inclusão de arquivo local
  • Ataque de injeção de PHP
  • Execução de comando remoto
  • Inclusão de arquivo remoto
  • Fixação da sessão
  • Proteção contra injeção de SQL
  • Invasores de protocolo

O número de versão do Conjunto de Regras Padrão será incrementado quando novas assinaturas de ataque forem adicionadas ao conjunto de regras.

O Conjunto de Regras Padrão é habilitado por padrão no modo de detecção em suas políticas de WAF. Você pode desabilitar ou habilitar regras individuais dentro do Conjunto de Regras Padrão para atender aos requisitos do aplicativo. Você também pode definir ações específicas (ALLOW, BLOCK, LOGe REDIRECT) por regra. A ação padrão para o conjunto de regras padrão gerenciado é BLOCK.

As regras personalizadas são sempre aplicadas antes que o WAF avalie as regras no Conjunto de Regras Padrão. Se uma solicitação corresponder a uma regra personalizada, o WAF aplicará a ação de regra correspondente. A solicitação é bloqueada ou passada para o back-end. Nenhuma outra regra ou regras personalizadas no Conjunto de Regras Padrão é processada. Você também pode remover o Conjunto de Regras Padrão de suas políticas WAF.

Modos de WAF

Você pode configurar uma política do WAF para ser executada nos dois modos a seguir:

  • Modo de detecção: o WAF não toma outras ações além de monitorar e registrar a solicitação e sua regra WAF correspondente aos logs do WAF. Você pode ativar o diagnóstico de log para a Rede de Distribuição de Conteúdo do Azure. Ao usar o portal do Azure, vá para a seção Diagnóstico .
  • Modo de prevenção: o WAF executará a ação especificada se uma solicitação corresponder a uma regra. Se encontrar uma correspondência, ela não avaliará nenhuma outra regra que tenha uma prioridade mais baixa. Qualquer solicitação correspondente também é registrada nos logs do WAF.

Ações de WAF

Você pode escolher uma das seguintes ações quando uma solicitação corresponder às condições de uma regra:

  • ALLOW: a solicitação passa pelo WAF e é encaminhada para o back-end. Nenhuma outra regra de prioridade mais baixa pode bloquear essa solicitação.
  • BLOCK: a solicitação está bloqueada. O WAF envia uma resposta ao cliente sem encaminhar a solicitação para o back-end.
  • LOG: a solicitação é registrada nos logs do WAF. O WAF continua avaliando regras de prioridade mais baixa.
  • REDIRECT: o WAF redireciona a solicitação para o URI especificado. O URI especificado é uma configuração de nível de política. Depois de definir a configuração, todas as solicitações que correspondem à ação REDIRECT são enviadas para esse URI.

Configuração

Você pode configurar e implantar todos os tipos de regra waf usando o portal do Azure, AS APIs REST, modelos do Azure Resource Manager e o Azure PowerShell.

Monitoramento

O monitoramento do Firewall do Aplicativo Web do Azure na Rede de Distribuição de Conteúdo do Azure é integrado ao Azure Monitor para ajudá-lo a controlar alertas e monitorar tendências de tráfego.

Conteúdo relacionado