Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применяется:
Внешние клиенты (дополнительные сведения)
Вы можете интегрировать сторонние решения брандмауэра веб-приложений (WAF) с внешним идентификатором Microsoft Entra, чтобы повысить общую безопасность. WAF помогает защитить вашу организацию от атак, таких как распределенный отказ в обслуживании (DDoS), вредоносные боты и открытый проект безопасности приложений по всему миру (OWASP) топ-10 рисков безопасности.
Брандмауэр веб-приложений Cloudflare (Cloudflare WAF) защищает веб-приложения от распространенных эксплойтов и уязвимостей. Интеграция Cloudflare WAF с внешним идентификатором Microsoft Entra позволяет добавить дополнительный уровень безопасности для приложений.
В этой статье приведены пошаговые инструкции по настройке внешнего клиента с помощью WaF Cloudflare.
Обзор решения
Решение использует три основных компонента:
- Внешний клиент — действует как поставщик удостоверений (IdP) и сервер авторизации, применяя пользовательские политики для проверки подлинности.
- Azure Front Door (AFD) — обрабатывает маршрутизацию личного домена и пересылает трафик во внешний идентификатор Microsoft Entra.
- Cloudflare WAF — WAF , который управляет трафиком, отправленным на сервер авторизации.
Предпосылки
Чтобы начать, вам нужно:
- Внешний клиент.
- Конфигурация Microsoft Azure Front Door (AFD). Трафик от Cloudflare WAF направляется в Azure Front Door, который затем направляется к внешнему арендатору.
- Cloudflare WAF, который управляет трафиком, отправленным на сервер авторизации.
- Личный домен во внешнем клиенте, который включен в Azure Front Door (AFD).
Узнайте об арендаторах и защите приложений для потребителей и клиентов с помощью Microsoft Entra External ID.
Действия по настройке Cloudflare
Сначала настройте Cloudflare WAF для защиты пользовательских доменных имен URL для внешнего идентификатора Microsoft Entra. Выполните следующие действия, чтобы настроить WaF Cloudflare.
Активировать пользовательские домены
Первым шагом является включение пользовательских доменов с AFD. Используйте инструкции по включению пользовательских доменов URL-адресов для приложений во внешних клиентах.
Создание учетной записи Cloudflare
- Перейдите к Cloudflare.com/plans , чтобы создать учетную запись.
- Чтобы включить WAF, на вкладке "Службы приложений " выберите "Pro".
Настройка сервера доменных имен (DNS)
Включите WAF для домена.
В консоли DNS для CNAME включите параметр прокси-сервера.
В разделе DNS для состояния прокси-сервера выберите прокси-сервер.
Состояние становится оранжевым.
Замечание
Управляемые Azure Front Door сертификаты не обновляются автоматически, если запись CNAME личного домена указывает на запись DNS, отличной от домена конечной точки Azure Front Door (например, при использовании сторонней службы DNS, например Cloudflare). Чтобы обновить сертификат в таких случаях, следуйте инструкциям из статьи "Обновить управляемые Azure Front Door сертификаты ".
Элементы управления безопасностью Cloudflare
Для оптимальной защиты включите элементы управления безопасностью Cloudflare.
DDoS protection
- Перейдите на панель мониторинга Cloudflare.
- Разверните раздел "Безопасность".
- Выберите DDoS.
- Появится сообщение.
Защита от ботов
- Перейдите на панель мониторинга Cloudflare.
- Разверните раздел "Безопасность".
- В разделе «Настройка режима борьбы с супер ботом» для «Определенно автоматическое» выберите «Блокировать».
- Для автоматизированных процессов выберите Управляемый вызов.
- Для проверенных ботов нажмите кнопку "Разрешить".
Правила брандмауэра: трафик из сети Tor
Блокировать трафик, исходящий из прокси-сети Tor, если ваша организация не должна поддерживать трафик.
Замечание
Если вы не можете заблокировать трафик Tor, выберите "Интерактивная задача", а не "Блокировать".
Блокировать трафик из сети Tor
- Перейдите на панель мониторинга Cloudflare.
- Разверните раздел "Безопасность".
- Выберите WAF.
- Выберите Создать правило.
- В поле "Имя правила" введите соответствующее имя.
- Если входящие запросы совпадают, для Поля выберите Континент.
- Для оператора выберите равные.
- Для параметра Value выберите Tor.
- Для тогда примите меры: выберите Блокировать.
- Для параметра "Место" нажмите кнопку "Сначала".
- Выберите «Развернуть».
Замечание
Вы можете добавить пользовательские HTML-страницы для посетителей.
Правила брандмауэра: трафик из стран или регионов
Мы рекомендуем строгие средства контроля безопасности для трафика из стран или регионов, где бизнес вряд ли произойдет, если ваша организация не имеет бизнес-причин для поддержки трафика со всех стран или регионов.
Замечание
Если вы не можете заблокировать трафик из страны или региона, выберите "Интерактивная задача", а не "Блокировать".
Блокировать трафик из стран или регионов
Для следующих инструкций можно добавить пользовательские HTML-страницы для посетителей.
- Перейдите на панель мониторинга Cloudflare.
- Разверните раздел "Безопасность".
- Выберите WAF.
- Выберите Создать правило.
- В поле "Имя правила" введите соответствующее имя.
- Если входящие запросы совпадают, для поля выберите страну или регион или континент.
- Для оператора выберите равные.
- В поле "Значение" выберите страну или регион или континент для блокировки.
- Для тогда примите меры: выберите Блокировать.
- Для параметра "Место" нажмите кнопку "Последний".
- Выберите «Развернуть».
OWASP и управляемые наборы правил
- Выберите управляемые правила.
- Для управляемого набора правил Cloudflare выберите "Включено".
- Для набора основных правил OWASP Cloudflare выберите "Включено".
Проверка WAF Cloudflare в внешнем идентификаторе
После настройки учетной записи Cloudflare подключите его к внешнему идентификатору Microsoft Entra. Используйте маркер API Cloudflare и идентификатор зоны для завершения подключения. Это можно сделать в Центре администрирования или с помощью API Microsoft Graph.
Конфигурация поставщика WAF
Войдите в Центр администрирования Microsoft Entra как минимум с правами читателя безопасности.
Если у вас есть доступ к нескольким тенантам, используйте значок
Настройки в верхнем меню, чтобы переключиться на внешний тенант, который вы создали ранее из меню Каталоги и подписки . Перейдите к Entra ID>Security Store.
Выберите элемент "Защита приложений от атак DDoS" с помощью плитки WAF, выбрав " Начать работу".
В разделе "Выбор поставщика WAF" выберите Cloudflare и нажмите кнопку "Далее".
В разделе "Настройка Cloudflare WAF" можно выбрать существующую конфигурацию или создать новую. Если вы создаете новую конфигурацию, добавьте следующие сведения:
- Имя конфигурации: имя для конфигурации WAF.
- Маркер API: маркер API на панели мониторинга Cloudflare.
- Идентификатор зоны: идентификатор зоны для домена на панели мониторинга Cloudflare.
Нажмите кнопку "Далее ", чтобы сохранить изменения.
Проверка домена
Выберите домены пользовательских URL-адресов, которые Azure Front Door (AFD) позволяет проверять и подключать к конфигурации WAF Cloudflare. Этот шаг гарантирует, что выбранные домены защищены с помощью расширенных функций безопасности.
Выберите "Проверить домен ", чтобы запустить процесс проверки.
Выберите личные домены URL-адресов, которые вы хотите защитить с помощью Cloudflare WAF, а затем нажмите кнопку "Проверить".
После проверки нажмите кнопку "Готово".
Замечание
Операции CRUD (создание, чтение, обновление, удаление) для сведений о проверке поставщиков могут столкнуться с задержками до 15 минут. При удалении домена проверка может занять до 15 минут, прежде чем добавить его обратно.
Тестирование конфигурации
После подключения Cloudflare WAF с внешним идентификатором Microsoft Entra проверьте конфигурацию, чтобы убедиться, что все работает должным образом.
Устранение неполадок
В следующей таблице перечислены распространенные проблемы, которые могут возникнуть при интеграции Cloudflare WAF с внешним идентификатором Microsoft Entra, а также их подробными сведениями и разрешениями.
| Issue | Сведения | Резолюция |
|---|---|---|
| Недопустимый ответ на запрос | "Указанный ключ API имеет недостаточно разрешений. Повторно выполните проверку подлинности и попытайтесь снова. \r\n Идентификатор запроса CloudFlare: {CF-Ray-value} \r\n Идентификатор корреляции: random-id-entry-value \r\n Временная метка: 2024-08-25 21:32:40Z | Проверьте уровень разрешений, упомянутый на предыдущих шагах. |
| Не удалось связаться с известной конечной точкой внешнего арендатора. | "Не удалось достичь известной конечной точки клиента через личный домен. Убедитесь, что личный домен правильно настроен для маршрутизации трафика". На уровне Graph вы можете увидеть HTTP 200 OK со статусом сбой, когда Cloudflare возвращает код ошибки 403. Эта проверка выполняется на нашей стороне перед вызовами API Cloudflare. |
Отключите captcha на портале Cloudflare (измените подстановочный знак, чтобы отключить), а затем повторно запустите запрос POST. |
Дополнительные ресурсы
- Руководство по началу работы с WAF Cloudflare: содержит рекомендации по оптимальной настройке WAF, а также о базовой защите и правилах, которые можно применять.
- Вопросы и ответы, связанные с обзором внешнего арендатора — Внешний идентификатор Microsoft Entra | Microsoft Learn для других лучших практик и соображений.
- Проверка трафика на панели мониторинга Cloudflare: Security Analytics · Документация WAF Cloudflare
- Azure Front Door: дополнительные лучшие практики Домены в Azure Front Door | Microsoft Learn
- Устранение неполадок API · Документация по основам Cloudflare
- Устранение неполадок · Документация по поддержке Cloudflare