Настройка Cloudflare с помощью внешнего идентификатора Microsoft Entra

Применяется: зеленый круг с символом белой галочки, указывающим, что следующее содержимое применяется к внешним клиентам. Внешние клиенты (дополнительные сведения)

Вы можете интегрировать сторонние решения брандмауэра веб-приложений (WAF) с внешним идентификатором Microsoft Entra, чтобы повысить общую безопасность. WAF помогает защитить вашу организацию от атак, таких как распределенный отказ в обслуживании (DDoS), вредоносные боты и открытый проект безопасности приложений по всему миру (OWASP) топ-10 рисков безопасности.

Брандмауэр веб-приложений Cloudflare (Cloudflare WAF) защищает веб-приложения от распространенных эксплойтов и уязвимостей. Интеграция Cloudflare WAF с внешним идентификатором Microsoft Entra позволяет добавить дополнительный уровень безопасности для приложений.

В этой статье приведены пошаговые инструкции по настройке внешнего клиента с помощью WaF Cloudflare.

Обзор решения

Решение использует три основных компонента:

  • Внешний клиент — действует как поставщик удостоверений (IdP) и сервер авторизации, применяя пользовательские политики для проверки подлинности.
  • Azure Front Door (AFD) — обрабатывает маршрутизацию личного домена и пересылает трафик во внешний идентификатор Microsoft Entra.
  • Cloudflare WAF — WAF , который управляет трафиком, отправленным на сервер авторизации.

Предпосылки

Чтобы начать, вам нужно:

  • Внешний клиент.
  • Конфигурация Microsoft Azure Front Door (AFD). Трафик от Cloudflare WAF направляется в Azure Front Door, который затем направляется к внешнему арендатору.
  • Cloudflare WAF, который управляет трафиком, отправленным на сервер авторизации.
  • Личный домен во внешнем клиенте, который включен в Azure Front Door (AFD).

Узнайте об арендаторах и защите приложений для потребителей и клиентов с помощью Microsoft Entra External ID.

Действия по настройке Cloudflare

Сначала настройте Cloudflare WAF для защиты пользовательских доменных имен URL для внешнего идентификатора Microsoft Entra. Выполните следующие действия, чтобы настроить WaF Cloudflare.

Активировать пользовательские домены

Первым шагом является включение пользовательских доменов с AFD. Используйте инструкции по включению пользовательских доменов URL-адресов для приложений во внешних клиентах.

Создание учетной записи Cloudflare

  1. Перейдите к Cloudflare.com/plans , чтобы создать учетную запись.
  2. Чтобы включить WAF, на вкладке "Службы приложений " выберите "Pro".

Настройка сервера доменных имен (DNS)

Включите WAF для домена.

  1. В консоли DNS для CNAME включите параметр прокси-сервера.

    Снимок экрана: параметры CNAME.

  2. В разделе DNS для состояния прокси-сервера выберите прокси-сервер.

  3. Состояние становится оранжевым.

    Снимок экрана: состояние прокси-адреса.

Замечание

Управляемые Azure Front Door сертификаты не обновляются автоматически, если запись CNAME личного домена указывает на запись DNS, отличной от домена конечной точки Azure Front Door (например, при использовании сторонней службы DNS, например Cloudflare). Чтобы обновить сертификат в таких случаях, следуйте инструкциям из статьи "Обновить управляемые Azure Front Door сертификаты ".

Элементы управления безопасностью Cloudflare

Для оптимальной защиты включите элементы управления безопасностью Cloudflare.

DDoS protection

  1. Перейдите на панель мониторинга Cloudflare.
  2. Разверните раздел "Безопасность".
  3. Выберите DDoS.
  4. Появится сообщение.

Снимок экрана: параметры защиты бота.

Защита от ботов

  1. Перейдите на панель мониторинга Cloudflare.
  2. Разверните раздел "Безопасность".
  3. В разделе «Настройка режима борьбы с супер ботом» для «Определенно автоматическое» выберите «Блокировать».
  4. Для автоматизированных процессов выберите Управляемый вызов.
  5. Для проверенных ботов нажмите кнопку "Разрешить".

Снимок экрана: параметры защиты бота.

Правила брандмауэра: трафик из сети Tor

Блокировать трафик, исходящий из прокси-сети Tor, если ваша организация не должна поддерживать трафик.

Замечание

Если вы не можете заблокировать трафик Tor, выберите "Интерактивная задача", а не "Блокировать".

Блокировать трафик из сети Tor

  1. Перейдите на панель мониторинга Cloudflare.
  2. Разверните раздел "Безопасность".
  3. Выберите WAF.
  4. Выберите Создать правило.
  5. В поле "Имя правила" введите соответствующее имя.
  6. Если входящие запросы совпадают, для Поля выберите Континент.
  7. Для оператора выберите равные.
  8. Для параметра Value выберите Tor.
  9. Для тогда примите меры: выберите Блокировать.
  10. Для параметра "Место" нажмите кнопку "Сначала".
  11. Выберите «Развернуть».

Снимок экрана: диалоговое окно создания правила.

Замечание

Вы можете добавить пользовательские HTML-страницы для посетителей.

Правила брандмауэра: трафик из стран или регионов

Мы рекомендуем строгие средства контроля безопасности для трафика из стран или регионов, где бизнес вряд ли произойдет, если ваша организация не имеет бизнес-причин для поддержки трафика со всех стран или регионов.

Замечание

Если вы не можете заблокировать трафик из страны или региона, выберите "Интерактивная задача", а не "Блокировать".

Блокировать трафик из стран или регионов

Для следующих инструкций можно добавить пользовательские HTML-страницы для посетителей.

  1. Перейдите на панель мониторинга Cloudflare.
  2. Разверните раздел "Безопасность".
  3. Выберите WAF.
  4. Выберите Создать правило.
  5. В поле "Имя правила" введите соответствующее имя.
  6. Если входящие запросы совпадают, для поля выберите страну или регион или континент.
  7. Для оператора выберите равные.
  8. В поле "Значение" выберите страну или регион или континент для блокировки.
  9. Для тогда примите меры: выберите Блокировать.
  10. Для параметра "Место" нажмите кнопку "Последний".
  11. Выберите «Развернуть».

Снимок экрана: поле имени в диалоговом окне создания правила.

OWASP и управляемые наборы правил

  1. Выберите управляемые правила.
  2. Для управляемого набора правил Cloudflare выберите "Включено".
  3. Для набора основных правил OWASP Cloudflare выберите "Включено".

Снимок экрана: наборы правил.

Проверка WAF Cloudflare в внешнем идентификаторе

После настройки учетной записи Cloudflare подключите его к внешнему идентификатору Microsoft Entra. Используйте маркер API Cloudflare и идентификатор зоны для завершения подключения. Это можно сделать в Центре администрирования или с помощью API Microsoft Graph.

Конфигурация поставщика WAF

  1. Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя безопасности.

  2. Если у вас есть доступ к нескольким тенантам, используйте значок Настройки в верхнем меню, чтобы переключиться на внешний тенант, который вы создали ранее из меню Каталоги и подписки.

  3. Перейдите к Entra ID>Security Store.

  4. Выберите элемент "Защита приложений от атак DDoS" с помощью плитки WAF, выбрав " Начать работу".

  5. В разделе "Выбор поставщика WAF" выберите Cloudflare и нажмите кнопку "Далее".

    Снимок экрана: страница выбора поставщика WAF.

  6. В разделе "Настройка Cloudflare WAF" можно выбрать существующую конфигурацию или создать новую. Если вы создаете новую конфигурацию, добавьте следующие сведения:

    • Имя конфигурации: имя для конфигурации WAF.
    • Маркер API: маркер API на панели мониторинга Cloudflare.
    • Идентификатор зоны: идентификатор зоны для домена на панели мониторинга Cloudflare.

    Снимок экрана: страница настройки поставщика WAF.

  7. Нажмите кнопку "Далее ", чтобы сохранить изменения.

Проверка домена

Выберите домены пользовательских URL-адресов, которые Azure Front Door (AFD) позволяет проверять и подключать к конфигурации WAF Cloudflare. Этот шаг гарантирует, что выбранные домены защищены с помощью расширенных функций безопасности.

  1. Выберите "Проверить домен ", чтобы запустить процесс проверки.

  2. Выберите личные домены URL-адресов, которые вы хотите защитить с помощью Cloudflare WAF, а затем нажмите кнопку "Проверить".

    Снимок экрана: страница проверки домена.

  3. После проверки нажмите кнопку "Готово".

Замечание

Операции CRUD (создание, чтение, обновление, удаление) для сведений о проверке поставщиков могут столкнуться с задержками до 15 минут. При удалении домена проверка может занять до 15 минут, прежде чем добавить его обратно.

Тестирование конфигурации

После подключения Cloudflare WAF с внешним идентификатором Microsoft Entra проверьте конфигурацию, чтобы убедиться, что все работает должным образом.

Снимок экрана: результаты теста конфигурации.

Устранение неполадок

В следующей таблице перечислены распространенные проблемы, которые могут возникнуть при интеграции Cloudflare WAF с внешним идентификатором Microsoft Entra, а также их подробными сведениями и разрешениями.

Issue Сведения Резолюция
Недопустимый ответ на запрос "Указанный ключ API имеет недостаточно разрешений. Повторно выполните проверку подлинности и попытайтесь снова. \r\n Идентификатор запроса CloudFlare: {CF-Ray-value} \r\n Идентификатор корреляции: random-id-entry-value \r\n Временная метка: 2024-08-25 21:32:40Z Проверьте уровень разрешений, упомянутый на предыдущих шагах.
Не удалось связаться с известной конечной точкой внешнего арендатора. "Не удалось достичь известной конечной точки клиента через личный домен. Убедитесь, что личный домен правильно настроен для маршрутизации трафика".
На уровне Graph вы можете увидеть HTTP 200 OK со статусом сбой, когда Cloudflare возвращает код ошибки 403. Эта проверка выполняется на нашей стороне перед вызовами API Cloudflare.
Отключите captcha на портале Cloudflare (измените подстановочный знак, чтобы отключить), а затем повторно запустите запрос POST.

Дополнительные ресурсы