Condividi tramite

Che cos'è Web application firewall di Azure nel gateway applicazione di Azure?

Una distribuzione di Web application firewall di Azure nel gateway applicazione di Azure protegge attivamente le applicazioni Web da exploit e vulnerabilità comuni. A manó a mano che le applicazioni Web diventano obiettivi più frequenti per attacchi dannosi, questi attacchi spesso sfruttano vulnerabilità note come SQL injection e scripting tra siti.

Web application firewall di Azure nel gateway applicazione si basa sul set di regole di base (CRS) del progetto OWASP (Open Web Application Security Project).

Tutte le funzionalità seguenti di Web application firewall di Azure sono presenti all'interno di un criterio web application firewall (WAF). È possibile creare più criteri e associarli a un gateway applicazione, a singoli listener o a regole di routing basate sul percorso in un gateway applicazione. Questa associazione consente di definire criteri separati per ogni sito dietro il gateway applicazione, se necessario. Per altre informazioni sui criteri WAF, vedere Creare criteri WAF per il gateway applicazione.

Nota

Il gateway applicazione ha due versioni di un web application firewall: WAF_v1 e WAF_v2. Le associazioni di criteri WAF sono supportate solo per WAF_v2.

Diagramma che illustra il funzionamento di un web application firewall con il gateway applicazione di Azure.

Il gateway applicazione opera come controller di recapito dell'applicazione. Offre tls (Transport Layer Security) (precedentemente noto come terminazione SSL o Secure Sockets Layer), affinità di sessione basata su cookie, distribuzione del carico round robin, routing basato sul contenuto, possibilità di ospitare più siti Web e miglioramenti della sicurezza.

Il gateway applicazione migliora la sicurezza tramite la gestione dei criteri TLS e il supporto TLS end-to-end. L'integrazione di Web application firewall di Azure nel gateway applicazione fortifica la sicurezza delle applicazioni. Questa combinazione protegge attivamente le applicazioni Web da vulnerabilità comuni e offre una posizione gestibile centralmente.

Vantaggi

Questa sezione descrive i vantaggi principali offerti da Web application firewall di Azure nel gateway applicazione.

Protezione

  • Proteggere le applicazioni Web da vulnerabilità e attacchi Web senza modifiche al codice back-end.

  • Proteggere più applicazioni Web contemporaneamente. Un'istanza del gateway applicazione può ospitare fino a 40 siti Web che usano un web application firewall.

  • Creare criteri WAF personalizzati per siti diversi dietro lo stesso WAF.

  • Proteggere le applicazioni Web da bot dannosi con il set di regole di reputazione IP.

  • Proteggere l'applicazione da attacchi DDoS. Per altre informazioni, vedere Protezione DDoS di livello 7 dell'applicazione.

Monitoraggio

  • Monitoraggio degli attacchi contro le applicazioni Web tramite il log in tempo reale di WAF. Il log è integrato con Monitoraggio di Azure per tenere traccia degli avvisi waf e monitorare le tendenze.

  • Web application firewall del gateway applicazione è integrato con Microsoft Defender per il cloud. Defender per il cloud offre una visualizzazione centrale dello stato di sicurezza di tutte le risorse di Azure, ibride e multi-cloud.

Personalizzazione

  • Personalizzazione di regole e gruppi di regole di WAF in base ai requisiti delle applicazioni ed eliminazione di falsi positivi.

  • Associare un criterio WAF per ogni sito protetto da WAF per consentire la configurazione specifica del sito.

  • Creare regole personalizzate in base alle esigenze dell'applicazione.

Funzionalità

  • Protezione da SQL injection.
  • Protezione dagli script tra siti.
  • Protezione da altri attacchi Web comuni, ad esempio l'inserimento di comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'inclusione di file remoti.
  • Protezione da violazioni del protocollo HTTP.
  • Protezione dalle anomalie del protocollo HTTP, ad esempio intestazioni , User-Agente Accept mancantiHost.
  • Protezione da crawler e scanner.
  • Rilevamento di errori di configurazione comuni dell'applicazione (ad esempio, Apache e IIS).
  • Limiti inferiori e superiori configurabili per le dimensioni delle richieste.
  • Elenchi di esclusione che consentono di omettere determinati attributi di richiesta da una valutazione WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione o per i campi delle password.
  • Possibilità di creare regole personalizzate in base alle esigenze specifiche delle applicazioni.
  • Possibilità di filtrare geograficamente il traffico, per consentire o impedire a determinati paesi/aree geografiche di ottenere l'accesso alle applicazioni.
  • Set di regole di Bot Manager che consente di proteggere le applicazioni dai bot.
  • Possibilità di esaminare JSON e XML nel corpo della richiesta.

Regole e criteri di WAF

Per usare un web application firewall nel gateway applicazione, è necessario creare un criterio WAF. Questo criterio è la posizione in cui esistono tutte le regole gestite, le regole personalizzate, le esclusioni e altre personalizzazioni (ad esempio il limite di caricamento di file).

È possibile configurare un criterio WAF e associare tale criterio a uno o più gateway applicazione per la protezione. I criteri di WAF sono costituiti da due tipi di regole di sicurezza:

  • Regole personalizzate che vengono create
  • Set di regole gestite che sono raccolte di regole preconfigurate gestite da Azure

Quando entrambi sono presenti, WAF elabora regole personalizzate prima di elaborare le regole in un set di regole gestite.

Una regola è costituita da una condizione di corrispondenza, una priorità e un'azione. I tipi di azione supportati sono ALLOW, BLOCKe LOG. È possibile creare un criterio completamente personalizzato che soddisfi i requisiti specifici per la protezione delle applicazioni combinando regole gestite e personalizzate.

Waf elabora le regole all'interno di un criterio in un ordine di priorità. La priorità è un numero intero univoco che definisce l'ordine di elaborazione delle regole. Un valore intero più piccolo indica una priorità più alta e WAF valuta tali regole prima delle regole con un valore intero superiore. Dopo che WAF corrisponde a una regola con una richiesta, applica l'azione corrispondente definita dalla regola alla richiesta. Dopo che waf elabora tale corrispondenza, le regole con priorità più bassa non vengono elaborate ulteriormente.

A un'applicazione Web che il gateway applicazione offre può essere associato un criterio WAF a livello globale, a livello di sito o a livello di URI.

Regole personalizzate

Il gateway applicazione supporta la creazione di regole personalizzate. Il gateway applicazione valuta regole personalizzate per ogni richiesta che passa attraverso il WAF. Queste regole hanno una priorità più elevata rispetto alle altre dei set di regole gestiti. Se una richiesta soddisfa un set di condizioni, waf esegue un'azione per consentire o bloccare. Per altre informazioni sulle regole personalizzate, vedere Regole personalizzate per il gateway applicativo.

L'operatore Geomatch è ora disponibile per le regole personalizzate. Per altre informazioni, vedere Regole personalizzate di corrispondenza geografica.

Set di regole

Il gateway applicazione supporta più set di regole, tra cui CRS 3.2, CRS 3.1 e CRS 3.0. Queste regole consentono di proteggere le applicazioni Web da attività dannose. Per altre informazioni, vedere Web application firewall DRS e regole di regole e gruppi di regole CRS.

Set di regole di Bot Manager

È possibile abilitare un set di regole di Bot Manager gestito per eseguire azioni personalizzate sulle richieste da tutte le categorie di bot.

Il gateway applicazione supporta tre categorie di bot:

  • Bot non dannosi: bot con indirizzi IP dannosi o che hanno falsificato le identità. Gli indirizzi IP dannosi potrebbero essere originati dagli indicatori IP di alta attendibilità del feed di Intelligence per le minacce Microsoft e dai feed di reputazione IP. I bot non validi includono anche bot che si identificano come bot validi, ma hanno indirizzi IP che non appartengono a autori di bot legittimi.

  • Bot validi: agenti utente attendibili. Le regole per i bot validi vengono ordinate in più categorie per fornire un controllo granulare sulla configurazione dei criteri WAF. Queste categorie includono:

    • Bot del motore di ricerca verificati (ad esempio Googlebot e Bingbot).
    • Bot del controllo dei collegamenti convalidati.
    • Bot di social media verificati (ad esempio FacebookBot e LinkedInBot).
    • Bot pubblicitari verificati.
    • Bot di verifica del contenuto verificati.
    • Bot vari convalidati.

  • Bot sconosciuti: agenti utente senza convalida aggiuntiva. I bot sconosciuti potrebbero anche avere indirizzi IP dannosi che vengono originati dagli indicatori IP con attendibilità media del feed di Intelligence per le minacce Di Microsoft.

Web application firewall di Azure gestisce e aggiorna in modo dinamico le firme del bot.

Quando si attiva la protezione del bot, blocca, consente o registra le richieste in ingresso che corrispondono alle regole del bot in base all'azione configurata. Blocca i bot dannosi, consente ricerche per indicizzazione verificate del motore di ricerca, blocca i crawler sconosciuti del motore di ricerca e registra bot sconosciuti per impostazione predefinita. È possibile impostare azioni personalizzate per bloccare, consentire o registrare vari tipi di bot.

È possibile accedere ai log waf da un account di archiviazione, da un hub eventi o da Log Analytics. È anche possibile inviare log a una soluzione partner.

Per altre informazioni sulla protezione del bot del gateway applicazione, vedere Web Application Firewall on Application Gateway bot protection overview (Panoramica della protezione del bot del gateway applicazione).

Modalità di WAF

È possibile configurare il WAF del gateway applicazione per l'esecuzione nelle modalità seguenti:

  • Modalità di rilevamento: Monitora e registra tutti gli avvisi sulle minacce. Attivare la registrazione diagnostica per il gateway applicazione usando la sezione Diagnostica. È anche necessario assicurarsi che il log di WAF sia selezionato e attivato. Un web application firewall non blocca le richieste in ingresso quando opera in modalità di rilevamento.
  • Modalità di prevenzione: Blocca intrusioni e attacchi rilevati dalle regole. L'autore dell'attacco riceve un'eccezione di "accesso non autorizzato 403" e la connessione viene chiusa. La modalità di prevenzione registra tali attacchi nei log di WAF.

Nota

È consigliabile eseguire un WAF appena distribuito in modalità di rilevamento per un breve periodo in un ambiente di produzione. In questo modo è possibile ottenere i log del firewall e aggiornare eventuali eccezioni o regole personalizzate prima di passare alla modalità di prevenzione. Aiuta anche a ridurre il verificarsi di traffico bloccato imprevisto.

Motore WAF

Il motore WAF è il componente che controlla il traffico e rileva se una richiesta contiene una firma che indica un potenziale attacco. Quando si usa CRS 3.2 o versione successiva, il web application firewall esegue il nuovo motore WAF, che offre prestazioni più elevate e un set di funzionalità migliorato. Quando si usano versioni precedenti di CRS, il WAF viene eseguito in un motore precedente. Le nuove funzionalità sono disponibili solo nel nuovo motore WAF.

Azioni di WAF

È possibile scegliere l'azione eseguita da WAF quando una richiesta corrisponde a una condizione della regola. Il gateway applicazione supporta le azioni seguenti:

  • Consenti: la richiesta passa attraverso il WAF e viene inoltrata al back-end. Nessun'altra regola con priorità inferiore può bloccare questa richiesta. Queste azioni si applicano solo al set di regole di Bot Manager. Non si applicano al CRS.
  • Blocca: la richiesta è bloccata. WAF invia una risposta al client senza inoltrare la richiesta al back-end.
  • Log: la richiesta viene registrata nei log waf. WAF continua a valutare le regole con priorità più bassa.
  • Punteggio anomalie: questa azione è l'impostazione predefinita per crs. Il punteggio di anomalia totale viene incrementato quando una richiesta corrisponde a una regola con questa azione. L'assegnazione di punteggi anomalie non si applica al set di regole di Bot Manager.

Modalità di assegnazione dei punteggi anomalie

OWASP ha due modalità per decidere se bloccare il traffico: assegnazione di punteggi tradizionali e anomalie.

In modalità tradizionale, il traffico che corrisponde a qualsiasi regola viene considerato indipendentemente da qualsiasi altra regola corrispondente. Questa modalità è facile da comprendere, ma la mancanza di informazioni sul numero di regole che corrispondono a una richiesta specifica è una limitazione. La modalità di assegnazione dei punteggi anomalie è stata quindi introdotta come predefinita per OWASP 3. x.

In modalità di assegnazione dei punteggi anomalie, il traffico che corrisponde a qualsiasi regola non viene immediatamente bloccato quando il firewall è in modalità di prevenzione. Le regole hanno una certa gravità: Critico, Errore, Attenzione o Avviso. Tale gravità influisce su un valore numerico per la richiesta, ovvero il punteggio di anomalia. Ad esempio, una regola di tipo avviso aggiunge 3 al punteggio. Una regola di livello critico aggiunge 5.

Gravità Valore
Critico 5
Errore 4
Avviso 3
Preavviso 2

Esiste una soglia di 5 per il punteggio di anomalia per bloccare il traffico. Pertanto, una singola corrispondenza di regola critica è sufficiente per il WAF del gateway applicazione per bloccare una richiesta in modalità di prevenzione. Tuttavia, una regola di avviso aumenta solo il punteggio di anomalia di 3, che non è sufficiente da solo per bloccare il traffico.

Nota

Il messaggio registrato quando una regola WAF corrisponde al traffico include il valore dell'azione Corrispondente. Se il punteggio totale di anomalie di tutte le regole corrispondenti è 5 o superiore e il criterio WAF è in esecuzione in modalità di prevenzione, la richiesta attiva una regola di anomalia obbligatoria con il valore di azione Bloccato e la richiesta viene arrestata. Se il criterio WAF è in esecuzione in modalità di rilevamento, la richiesta attiva il valore dell'azione Rilevato e la richiesta viene registrata e passata al back-end. Per altre informazioni, vedere Informazioni sui log WAF.

Impostazione

È possibile configurare e distribuire tutti i criteri WAF usando il portale di Azure, le API REST, i modelli di Azure Resource Manager e Azure PowerShell. È anche possibile configurare e gestire i criteri WAF su larga scala usando l'integrazione di Gestione firewall di Azure. Per altre informazioni, vedere Configurare i criteri WAF usando Gestione firewall di Azure.

Monitoraggio di WAF

Il monitoraggio dell'integrità del gateway applicazione è importante. È possibile ottenerlo integrando WAF (e le applicazioni da proteggere) con Microsoft Defender for Cloud, Monitoraggio di Azure e Log di Monitoraggio di Azure.

Diagramma della diagnostica WAF del gateway delle applicazioni.

Monitoraggio di Azure

I log del gateway applicazione sono integrati con Monitoraggio di Azure in modo da poter tenere traccia delle informazioni di diagnostica, inclusi avvisi e log WAF. È possibile accedere a questa funzionalità nel portale di Azure, nella scheda Diagnostica della risorsa gateway applicazione. In alternativa, è possibile accedervi direttamente in Monitoraggio di Azure.

Per altre informazioni sull'uso dei log, vedere Log di diagnostica per il gateway applicazione.

Microsoft Defender for Cloud

Defender per il Cloud consente di prevenire, rilevare e rispondere alle minacce. Offre maggiore visibilità e controllo sulla sicurezza delle risorse di Azure. Il gateway applicazione è integrato con Defender per il cloud.

Defender per il Cloud analizza l'ambiente per rilevare applicazioni Web non protette. Può consigliare un WAF del gateway applicazione per proteggere queste risorse vulnerabili.

I firewall vengono creati direttamente da Defender per il cloud. Queste istanze WAF sono integrate con Defender per il cloud. Inviano avvisi e informazioni sull'integrità a Defender per il Cloud per la creazione di report.

Microsoft Sentinel

Microsoft Sentinel è una soluzione scalabile e nativa del cloud che include siem (Security Information Event Management) e soAR (Security Orchestration Automated Response). Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda. Offre una singola soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.

Con la cartella di lavoro degli eventi del firewall integrata in Web application firewall di Azure, è possibile ottenere una panoramica degli eventi di sicurezza nel WAF. La panoramica include regole corrispondenti, regole bloccate e tutte le altre attività del firewall registrate.

Cartella di lavoro di Monitoraggio di Azure per WAF

La cartella di lavoro di Monitoraggio di Azure per WAF consente la visualizzazione personalizzata degli eventi WAF rilevanti per la sicurezza in diversi pannelli filtrabili. Funziona con tutti i tipi WAF, tra cui gateway applicazione, Frontdoor di Azure e rete per la distribuzione di contenuti di Azure.

È possibile filtrare la cartella di lavoro in base al tipo WAF o a un'istanza WAF specifica. È possibile importarlo tramite un modello o un modello di raccolta di Azure Resource Manager.

Per distribuire questa cartella di lavoro, vedere il repository GitHub per Web Application Firewall di Azure.

Registrazione

Il WAF del gateway applicazione fornisce report dettagliati su ogni minaccia rilevata. La registrazione è integrata con i log di Diagnostica di Azure. Gli avvisi vengono registrati in formato JSON. È possibile integrare questi log con i log di Monitoraggio di Azure.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
}

Prezzi waf del gateway applicazione

I modelli di determinazione dei prezzi sono diversi per le versioni di WAF_v1 e WAF_v2. Per altre informazioni, vedere Prezzi del gateway applicazione.

Novità

Per informazioni sulle novità di Azure web application firewall, vedere aggiornamenti di Azure.

Contenuti correlati