Настройка Akamai с помощью внешнего идентификатора Microsoft Entra

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

Вы можете интегрировать сторонние решения брандмауэра веб-приложений (WAF) с внешним идентификатором Microsoft Entra, чтобы повысить общую безопасность. WAF помогает защитить вашу организацию от атак, таких как распределенный отказ в обслуживании (DDoS), вредоносные боты и открытый проект безопасности приложений по всему миру (OWASP) топ-10 рисков безопасности.

Брандмауэр веб-приложений Akamai (Akamai WAF) защищает веб-приложения от распространенных эксплойтов и уязвимостей. Интегрируя AKamai WAF с внешним идентификатором Microsoft Entra, вы добавите дополнительный уровень безопасности для приложений.

В этой статье приведены пошаговые инструкции по настройке внешнего клиента с помощью Akamai WAF.

Обзор решения

Решение использует три основных компонента:

  • Внешний клиент — действует как поставщик удостоверений (IdP) и сервер авторизации, применяя пользовательские политики для проверки подлинности.
  • Azure Front Door (AFD) — обрабатывает маршрутизацию личного домена и пересылает трафик во внешний идентификатор Microsoft Entra.
  • Akamai WAF — брандмауэр защиты веб-приложений , который управляет трафиком, отправленным на сервер авторизации.

Предпосылки

Чтобы начать, вам нужно:

  • Внешний клиент.
  • Конфигурация Microsoft Azure Front Door (AFD). Трафик от WAF Akamai направляется через Azure Front Door, а затем к внешнему арендатору.
  • Учетная запись Akamai. Если у вас нет учетной записи, перейдите в Магазин безопасности , чтобы создать и приобрести учетную запись.
  • WAF Akamai, который управляет трафиком, отправленным на сервер авторизации.
  • Личный домен во внешнем клиенте, который включен в Azure Front Door (AFD).

Действия по настройке Akamai

Во-первых, настройте Akamai WAF для защиты пользовательских URL-доменов Microsoft Entra External ID. Выполните следующие действия, чтобы настроить AKamai WAF.

Настройка AKamai WAF

После того как у вас есть контракт с Akamai, вы можете получить доступ к порталу, который позволяет управлять всеми параметрами WAF Akamai и многое другое. Чтобы создать начальную настройку, можно выбрать один из двух вариантов:

  • Мастер быстрого запуска предоставляет интерактивный рабочий процесс, помогающий развертывать стандартные блоки, которые защищают трафик с помощью WAF, рекомендуется, если вы не знакомы с Akamai. Эти параметры можно обновить позже, чтобы соответствовать вашим требованиям.
  • Расширенный режим предоставляет детализированный контроль путем настройки отдельных интерфейсов для подробной настройки.

Сведения обо всех возможностях решения Akamai WAF см. в руководстве пользователя.

Akamai предоставляет мастер быстрого запуска , который поможет вам подключить новые имена узлов и защитить их с помощью решения WAF с именем "Защита приложений и API".

Ion Standard — это дополнительное решение, которое повышает производительность приложения и оптимизирует доставку содержимого на платформе Akamai.

Чтобы получить доступ к мастеру, выберите Начать работу"App & API Protector + Ion Standard". На начальном экране отображаются шаги, необходимые для завершения подключения. Нажмите кнопку "Начать".

Дополнительные сведения см. в разделе " Настройка AKamai WAF " в документации akamai.

Проверьте WAF Akamai во внешнем идентификаторе

После выполнения действий по настройке убедитесь, что AKamai WAF защищает внешний клиент, подключив учетные данные проверки подлинности к конфигурации WAF.

Конфигурация поставщика WAF

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя безопасности.

  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант, который вы создали ранее из меню Каталоги и подписки.

  3. Перейдите к Entra ID>Security Store.

  4. Выберите элемент "Защита приложений от атак DDoS" с помощью плитки WAF, выбрав " Начать работу".

  5. В разделе "Выбор поставщика WAF" выберите Akamai и нажмите кнопку "Далее".

    Снимок экрана: страница выбора поставщика WAF.

  6. Создайте учетную запись Akamai. Если у вас еще нет учетной записи, создайте и приобретите ее в Магазине безопасности.

  7. Чтобы предоставить доступ к API Akamai для выполнения действий, создайте учетные данные проверки подлинности EdgeGrid и запишите все созданные сведения (client_secret, host, , access_tokenclient_token). Эти значения используются позже в процессе установки.

Кроме того, обновите ограничения API для действий на соответствующий уровень доступа, показанный в следующей таблице:

Название Description Уровень доступа
Диагностика Microsoft Edge Диагностика Microsoft Edge чтение-запись
Property Manager (PAPI) Менеджер свойств (PAPI). PAPI требует доступа к именам узлов Microsoft Edge. Измените авторизацию, чтобы добавить HAPI в клиент API. Только для чтения
  1. Вернитесь в Центр администрирования Microsoft Entra, чтобы завершить настройку.
  2. В разделе "Настройка AKamai WAF" можно выбрать существующую конфигурацию или создать новую. Если вы создаете новую конфигурацию, добавьте следующие сведения:
    • Имя конфигурации: имя для конфигурации WAF.
    • Префикс узла: префикс узла из учетных данных API Akamai EdgeGrid.
    • Клиентский секрет: клиентский секрет из учетных данных API Akamai EdgeGrid.
    • Маркер доступа: маркер из ваших учетных данных API Akamai EdgeGrid.
    • Маркер клиента: маркер клиента из учетных данных API Akamai EdgeGrid.

Снимок экрана: страница настройки поставщика WAF.

  1. Выберите Далее, чтобы перейти к следующему шагу.

Проверка домена

Выберите пользовательские домены URL, которые Azure Front Door (AFD) позволяет проверить, и подключите их к вашей конфигурации Akamai WAF. Этот шаг гарантирует, что выбранные домены защищены с помощью расширенных функций безопасности.

  1. Выберите "Проверить домен ", чтобы запустить процесс проверки.
  2. Выберите личные домены URL-адресов, которые вы хотите защитить с помощью Akamai WAF, а затем нажмите кнопку "Проверить".

Снимок экрана: страница проверки домена.

  1. После проверки нажмите кнопку "Готово ", чтобы завершить процесс.

Замечание

Операции CRUD (создание, чтение, обновление, удаление) для сведений о проверке поставщиков могут столкнуться с задержками до 15 минут. При удалении домена проверка может занять до 15 минут, прежде чем добавить его обратно.

Устранение неполадок

Сценарий Сведения
Запрос, заблокированный AKamai WAF Когда AKamai WAF блокирует запрос, он возвращает справочный код Akamai, например 18.6f64d440.1318965461.2f2b078. Этот код можно отлаживать с помощью переводчика ошибок событий безопасности.
Другие средства устранения неполадок Для устранения неполадок доступны различные средства. Ознакомьтесь с этими инструментами здесь.

Дополнительные ресурсы

  • Управление параметрами безопасности

    • Предустановки конфигурации безопасности задают для WAF режим только оповещения . Чтобы активно устранять угрозы с помощью Akamai, измените действие на "Запрет".
    • Akamai обеспечивает комплексную защиту безопасности. Подробнее см. здесь.
    • Как минимум:
      • Измените защиту DoS для трех политик ограничения скорости, чтобы запретить после проверки пороговых значений трафика.
      • Измените действие группы для инъекции команд, межсайтового скриптинга, включения локальных файлов, включения удаленных файлов, SQL-инъекции, средства веб-атаки, атаки веб-платформы и атаки веб-протокола на запретить.
  • Управление параметрами доставки и производительности

    • Ознакомьтесь с полезной информацией, чтобы ознакомиться с Akamai здесь.
  • Просмотр помеченных запросов

    • Просмотр запросов, помеченных (оповещенных или запрещенных) WAF Akamai в Web Security Analytics.
    • Посмотрите короткие видео , чтобы ускорить путешествие.