Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется:
Внешние клиенты (дополнительные сведения)
Вы можете интегрировать сторонние решения брандмауэра веб-приложений (WAF) с внешним идентификатором Microsoft Entra, чтобы повысить общую безопасность. WAF помогает защитить вашу организацию от атак, таких как распределенный отказ в обслуживании (DDoS), вредоносные боты и открытый проект безопасности приложений по всему миру (OWASP) топ-10 рисков безопасности.
Брандмауэр веб-приложений Akamai (Akamai WAF) защищает веб-приложения от распространенных эксплойтов и уязвимостей. Интегрируя AKamai WAF с внешним идентификатором Microsoft Entra, вы добавите дополнительный уровень безопасности для приложений.
В этой статье приведены пошаговые инструкции по настройке внешнего клиента с помощью Akamai WAF.
Обзор решения
Решение использует три основных компонента:
- Внешний клиент — действует как поставщик удостоверений (IdP) и сервер авторизации, применяя пользовательские политики для проверки подлинности.
- Azure Front Door (AFD) — обрабатывает маршрутизацию личного домена и пересылает трафик во внешний идентификатор Microsoft Entra.
- Akamai WAF — брандмауэр защиты веб-приложений , который управляет трафиком, отправленным на сервер авторизации.
Предпосылки
Чтобы начать, вам нужно:
- Внешний клиент.
- Конфигурация Microsoft Azure Front Door (AFD). Трафик от WAF Akamai направляется через Azure Front Door, а затем к внешнему арендатору.
- Учетная запись Akamai. Если у вас нет учетной записи, перейдите в Магазин безопасности , чтобы создать и приобрести учетную запись.
- WAF Akamai, который управляет трафиком, отправленным на сервер авторизации.
- Личный домен во внешнем клиенте, который включен в Azure Front Door (AFD).
Действия по настройке Akamai
Во-первых, настройте Akamai WAF для защиты пользовательских URL-доменов Microsoft Entra External ID. Выполните следующие действия, чтобы настроить AKamai WAF.
Настройка AKamai WAF
После того как у вас есть контракт с Akamai, вы можете получить доступ к порталу, который позволяет управлять всеми параметрами WAF Akamai и многое другое. Чтобы создать начальную настройку, можно выбрать один из двух вариантов:
- Мастер быстрого запуска предоставляет интерактивный рабочий процесс, помогающий развертывать стандартные блоки, которые защищают трафик с помощью WAF, рекомендуется, если вы не знакомы с Akamai. Эти параметры можно обновить позже, чтобы соответствовать вашим требованиям.
- Расширенный режим предоставляет детализированный контроль путем настройки отдельных интерфейсов для подробной настройки.
Сведения обо всех возможностях решения Akamai WAF см. в руководстве пользователя.
Akamai предоставляет мастер быстрого запуска , который поможет вам подключить новые имена узлов и защитить их с помощью решения WAF с именем "Защита приложений и API".
Ion Standard — это дополнительное решение, которое повышает производительность приложения и оптимизирует доставку содержимого на платформе Akamai.
Чтобы получить доступ к мастеру, выберите
Дополнительные сведения см. в разделе " Настройка AKamai WAF " в документации akamai.
Проверьте WAF Akamai во внешнем идентификаторе
После выполнения действий по настройке убедитесь, что AKamai WAF защищает внешний клиент, подключив учетные данные проверки подлинности к конфигурации WAF.
Конфигурация поставщика WAF
Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя безопасности.
Если у вас есть доступ к нескольким тенантам, используйте значок
Настройки в верхнем меню, чтобы переключиться на внешний тенант, который вы создали ранее из меню Каталоги и подписки . Перейдите к Entra ID>Security Store.
Выберите элемент "Защита приложений от атак DDoS" с помощью плитки WAF, выбрав " Начать работу".
В разделе "Выбор поставщика WAF" выберите Akamai и нажмите кнопку "Далее".
Создайте учетную запись Akamai. Если у вас еще нет учетной записи, создайте и приобретите ее в Магазине безопасности.
Чтобы предоставить доступ к API Akamai для выполнения действий, создайте учетные данные проверки подлинности EdgeGrid и запишите все созданные сведения (
client_secret,host, ,access_tokenclient_token). Эти значения используются позже в процессе установки.
Кроме того, обновите ограничения API для действий на соответствующий уровень доступа, показанный в следующей таблице:
| Название | Description | Уровень доступа |
|---|---|---|
| Диагностика Microsoft Edge | Диагностика Microsoft Edge | чтение-запись |
| Property Manager (PAPI) | Менеджер свойств (PAPI). PAPI требует доступа к именам узлов Microsoft Edge. Измените авторизацию, чтобы добавить HAPI в клиент API. | Только для чтения |
- Вернитесь в Центр администрирования Microsoft Entra, чтобы завершить настройку.
- В разделе "Настройка AKamai WAF" можно выбрать существующую конфигурацию или создать новую. Если вы создаете новую конфигурацию, добавьте следующие сведения:
- Имя конфигурации: имя для конфигурации WAF.
- Префикс узла: префикс узла из учетных данных API Akamai EdgeGrid.
- Клиентский секрет: клиентский секрет из учетных данных API Akamai EdgeGrid.
- Маркер доступа: маркер из ваших учетных данных API Akamai EdgeGrid.
- Маркер клиента: маркер клиента из учетных данных API Akamai EdgeGrid.
- Выберите Далее, чтобы перейти к следующему шагу.
Проверка домена
Выберите пользовательские домены URL, которые Azure Front Door (AFD) позволяет проверить, и подключите их к вашей конфигурации Akamai WAF. Этот шаг гарантирует, что выбранные домены защищены с помощью расширенных функций безопасности.
- Выберите "Проверить домен ", чтобы запустить процесс проверки.
- Выберите личные домены URL-адресов, которые вы хотите защитить с помощью Akamai WAF, а затем нажмите кнопку "Проверить".
- После проверки нажмите кнопку "Готово ", чтобы завершить процесс.
Замечание
Операции CRUD (создание, чтение, обновление, удаление) для сведений о проверке поставщиков могут столкнуться с задержками до 15 минут. При удалении домена проверка может занять до 15 минут, прежде чем добавить его обратно.
Устранение неполадок
| Сценарий | Сведения |
|---|---|
| Запрос, заблокированный AKamai WAF | Когда AKamai WAF блокирует запрос, он возвращает справочный код Akamai, например 18.6f64d440.1318965461.2f2b078. Этот код можно отлаживать с помощью переводчика ошибок событий безопасности. |
| Другие средства устранения неполадок | Для устранения неполадок доступны различные средства. Ознакомьтесь с этими инструментами здесь. |
Дополнительные ресурсы
Управление параметрами безопасности
- Предустановки конфигурации безопасности задают для WAF режим только оповещения . Чтобы активно устранять угрозы с помощью Akamai, измените действие на "Запрет".
- Akamai обеспечивает комплексную защиту безопасности. Подробнее см. здесь.
- Как минимум:
- Измените защиту DoS для трех политик ограничения скорости, чтобы запретить после проверки пороговых значений трафика.
- Измените действие группы для инъекции команд, межсайтового скриптинга, включения локальных файлов, включения удаленных файлов, SQL-инъекции, средства веб-атаки, атаки веб-платформы и атаки веб-протокола на запретить.
Управление параметрами доставки и производительности
- Ознакомьтесь с полезной информацией, чтобы ознакомиться с Akamai здесь.
Просмотр помеченных запросов
- Просмотр запросов, помеченных (оповещенных или запрещенных) WAF Akamai в Web Security Analytics.
- Посмотрите короткие видео , чтобы ускорить путешествие.