O que é o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure?

Uma implantação do Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure protege ativamente seus aplicativos Web contra explorações e vulnerabilidades comuns. À medida que os aplicativos da Web se tornam alvos mais frequentes de ataques mal-intencionados, esses ataques geralmente exploram vulnerabilidades bem conhecidas, como injeção de SQL e scripts entre sites.

O Firewall de Aplicativo Web do Azure no Gateway de Aplicativo é baseado no CRS (Core Rule set) do Open Web Application Security Project (OWASP).

Todos os seguintes recursos do Firewall de Aplicativo Web do Azure existem dentro de uma política de firewall de aplicativo Web (WAF). Você pode criar várias políticas e associá-las a um gateway de aplicativo, a ouvintes individuais ou a regras de roteamento baseadas em caminho em um gateway de aplicativo. Essa associação permite que você defina políticas separadas para cada site atrás do gateway de aplicativo, se necessário. Para obter mais informações sobre políticas WAF, consulte Criar políticas WAF para Application Gateway.

O Application Gateway opera como um controlador de entrega de aplicativos. Ele oferece terminação de Transport Layer Security (TLS) (anteriormente conhecida como Secure Sockets Layer ou SSL), afinidade de sessão baseada em cookies, distribuição de carga round-robin, roteamento baseado em conteúdo, a capacidade de hospedar vários sites e melhorias de segurança.

O Application Gateway melhora a segurança por meio do gerenciamento de políticas TLS e do suporte completo a TLS. A integração do Firewall de Aplicativo Web do Azure no Gateway de Aplicativo fortalece a segurança do aplicativo. Essa combinação defende ativamente seus aplicativos da Web contra vulnerabilidades comuns e oferece um local gerenciável centralmente.

Benefícios

Esta seção descreve os principais benefícios que o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo oferece.

Proteção

• Ajude a proteger seus aplicativos da Web contra vulnerabilidades e ataques da Web sem modificar o código de back-end.

• Ajude a proteger vários aplicativos Web ao mesmo tempo. Uma instância do Application Gateway pode hospedar até 40 sites que usam um firewall de aplicativo Web.

• Crie políticas WAF personalizadas para diferentes sites detrás do mesmo WAF.

• Ajude a proteger seus aplicativos Web contra bots mal-intencionados com o Conjunto de Regras de Reputação de IP.

• Ajude a proteger seu aplicativo contra ataques DDoS. Para obter mais informações, consulte Proteção contra DDoS de aplicativos (camada 7).

Monitorização

• Monitore ataques contra seus aplicativos da Web usando um log WAF em tempo real. O log é integrado ao Azure Monitor para rastrear alertas WAF e monitorar tendências.

• O Application Gateway WAF é integrado ao Microsoft Defender for Cloud. O Defender for Cloud fornece uma visão central do estado de segurança de todos os seus recursos do Azure, híbridos e multicloud.

Personalização

• Personalize as regras e grupos de regras do WAF para corresponder aos requisitos da sua aplicação e eliminar os falsos positivos.

• Associe uma política WAF para cada site atrás do WAF para permitir a configuração específica do site.

• Crie regras personalizadas para atender às necessidades do seu aplicativo.

Funcionalidades

• Proteção contra injeção de SQL.
• Proteção contra scripts entre sites.
• Proteção contra outros ataques comuns da Web, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e inclusão remota de arquivos.
• Proteção contra violações do protocolo HTTP.
• Proteção contra anomalias do protocolo HTTP, como ausência Hostde , User-Agente Accept cabeçalhos.
• Proteção contra rastreadores e scanners.
• Deteção de configurações incorretas comuns de aplicativos (por exemplo, Apache e IIS).
• Limites de tamanho de solicitação configuráveis com limites inferiores e superiores.
• Listas de exclusão que permitem omitir determinados atributos de solicitação de uma avaliação WAF. Um exemplo comum são os tokens inseridos no Ative Directory que são usados para campos de autenticação ou senha.
• Capacidade de criar regras personalizadas para atender às necessidades específicas de seus aplicativos.
• Capacidade de filtrar geograficamente o tráfego, para permitir ou bloquear o acesso de determinados países/regiões às suas aplicações.
• Conjunto de regras do Bot Manager que ajuda a proteger seus aplicativos contra bots.
• Capacidade de inspecionar JSON e XML no corpo da solicitação.

Política e regras do WAF

Para usar um firewall de aplicativo Web no Application Gateway, você deve criar uma política WAF. Esta política é onde todas as regras gerenciadas, regras personalizadas, exclusões e outras personalizações (como limite de carregamento de arquivos) existem.

Você pode configurar uma política WAF e associá-la a um ou mais gateways de aplicativos para proteção. Uma política WAF consiste em dois tipos de regras de segurança:

• Regras personalizadas que você cria
• Conjuntos de regras gerenciadas que são coleções de regras pré-configuradas gerenciadas pelo Azure

Quando ambos estão presentes, o WAF processa regras personalizadas antes de processá-las em um conjunto de regras gerenciadas.

Uma regra consiste em uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação suportados são ALLOW, BLOCKe LOG. Você pode criar uma política totalmente personalizada que atenda aos seus requisitos específicos de proteção de aplicativos combinando regras gerenciadas e personalizadas.

O WAF processa regras dentro de uma política em uma ordem de prioridade. A prioridade é um número inteiro exclusivo que define a ordem das regras a serem processadas. Um valor inteiro menor denota uma prioridade mais alta, e o WAF avalia essas regras antes das regras que têm um valor inteiro maior. Depois que o WAF faz a correspondência de uma regra com uma solicitação, ele aplica a ação correspondente que a regra define à solicitação. Depois que o WAF processa essa correspondência, as regras que têm prioridades mais baixas não são processadas.

Um aplicativo Web fornecido pelo Application Gateway pode ter uma política WAF associada a ele em nível global, por site ou por URI.

Regras personalizadas

O Application Gateway suporta a criação de suas próprias regras personalizadas. O Application Gateway avalia regras personalizadas para cada solicitação que passa pelo WAF. Essas regras têm uma prioridade maior do que o resto das regras nos conjuntos de regras gerenciados. Se uma solicitação atender a um conjunto de condições, o WAF tomará uma ação para permitir ou bloquear. Para obter mais informações sobre regras personalizadas, consulte Regras personalizadas para o Application Gateway.

O Geomatch operador agora está disponível para regras personalizadas. Para obter mais informações, consulte Regras personalizadas de correspondência geográfica.

Conjuntos de regras

O Application Gateway suporta vários conjuntos de regras, incluindo CRS 3.2, CRS 3.1 e CRS 3.0. Essas regras ajudam a proteger seus aplicativos Web contra atividades maliciosas. Para obter mais informações, consulte Grupos e regras de DRS e CRS do firewall de aplicativos Web.

Conjunto de regras do Gerenciador de Bots

Você pode habilitar um Conjunto de Regras do Gerenciador de Bots gerenciado para executar ações personalizadas em solicitações de todas as categorias de bots.

O Application Gateway suporta três categorias de bots:

• Bad bots: Bots que têm endereços IP maliciosos ou que falsificaram suas identidades. Os endereços IP mal-intencionados podem ser originados dos Indicadores de Comprometimento IP de alta confiança do feed do Microsoft Threat Intelligence e dos feeds de reputação de IP. Os bots ruins também incluem bots que se identificam como bons bots, mas têm endereços IP que não pertencem a editores legítimos de bots.

• Bons bots: Agentes de usuário confiáveis. As regras para bons bots são classificadas em várias categorias para fornecer controle granular sobre a configuração da política WAF. Estas categorias incluem:

  • Bots verificados do mecanismo de pesquisa (como Googlebot e Bingbot).
  • Bots verificadores de links validados.
  • Bots de mídia social verificados (como FacebookBot e LinkedInBot).
  • Bots de publicidade verificados.
  • Bots verificados do verificador de conteúdo.
  • Bots diversos validados.

• Bots desconhecidos: agentes de usuário sem validação adicional. Os bots desconhecidos também podem ter endereços IP mal-intencionados provenientes dos Indicadores de Comprometimento de IP de confiança média do feed do Microsoft Threat Intelligence.

O Azure Web Application Firewall gerencia ativamente e atualiza dinamicamente as assinaturas de bot.

Quando você ativa a proteção de bot, ela bloqueia, permite ou registra solicitações de entrada que correspondem às regras de bot com base na ação configurada. Ele bloqueia bots mal-intencionados, permite rastreadores verificados de mecanismos de pesquisa, bloqueia rastreadores de mecanismos de pesquisa desconhecidos e registra bots desconhecidos por padrão. Você pode definir ações personalizadas para bloquear, permitir ou registrar vários tipos de bots.

Você pode acessar logs WAF de uma conta de armazenamento, um hub de eventos ou Log Analytics. Você também pode enviar logs para uma solução de parceiro.

Para obter mais informações sobre a proteção de bot do Application Gateway, consulte Visão geral do Web Application Firewall on Application Gateway bot protection.

Modos WAF

Você pode configurar o WAF do Application Gateway para ser executado nos seguintes modos:

• Modo de deteção: Monitoriza e regista todos os alertas de ameaças. Você ativa o diagnóstico de log para o Application Gateway na seção Diagnóstico . Você também deve certificar-se de que o log WAF está selecionado e ativado. Um firewall de aplicativo Web não bloqueia solicitações de entrada quando está operando no modo de deteção.
• Modo de prevenção: bloqueia intrusões e ataques que as regras detetam. O invasor recebe uma exceção de "acesso não autorizado 403" e a conexão é fechada. O modo de prevenção registra esses ataques nos logs do WAF.

Motor WAF

O mecanismo WAF é o componente que inspeciona o tráfego e deteta se uma solicitação contém uma assinatura que indica um ataque potencial. Quando você usa o CRS 3.2 ou posterior, o firewall do aplicativo Web executa o novo mecanismo WAF, que oferece maior desempenho e um conjunto aprimorado de recursos. Ao utilizar versões anteriores do CRS, o seu WAF funciona num motor mais antigo. As novas funcionalidades estão disponíveis apenas no novo motor WAF.

Ações do WAF

Você pode escolher qual ação o WAF executa quando uma solicitação corresponde a uma condição de regra. O Application Gateway suporta as seguintes ações:

• Permitir: A solicitação passa pelo WAF e é encaminhada para o back-end. Nenhuma outra regra de prioridade inferior pode bloquear este pedido. Essas ações se aplicam somente ao Conjunto de Regras do Gerenciador de Bots. Não se aplicam ao SIR.
• Bloqueio: A solicitação está bloqueada. O WAF envia uma resposta ao cliente sem encaminhar a solicitação para o back-end.
• Log: A solicitação é registrada nos logs do WAF. O WAF continua a avaliar as regras de prioridade mais baixa.
• Pontuação de anomalia: Esta ação é o padrão para o CRS. A pontuação total de anomalias é incrementada quando uma solicitação corresponde a uma regra com essa ação. A pontuação de anomalias não se aplica ao Conjunto de Regras do Gerenciador de Bots.

Modo de pontuação de anomalias

O OWASP tem dois modos para decidir se bloqueia o tráfego: tradicional e pontuação de anomalias.

No modo tradicional, o tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. Esse modo é fácil de entender, mas a falta de informações sobre quantas regras correspondem a uma solicitação específica é uma limitação. Assim, o modo de pontuação de anomalias foi introduzido como padrão para o OWASP 3. x.

No modo de pontuação de anomalias, o tráfego que corresponde a qualquer regra não é imediatamente bloqueado quando o firewall está no modo de prevenção. As regras têm uma certa gravidade: Crítica, Erro, Aviso ou Aviso. Essa gravidade afeta um valor numérico para a solicitação, que é a pontuação de anomalia. Por exemplo, uma ocorrência de uma regra de aviso contribui com 3 para a pontuação. Uma correspondência de regra crítica contribui com 5 pontos.

Há um limite de 5 para a pontuação de anomalia bloquear o tráfego. Portanto, uma única correspondência de regra crítica é suficiente para o WAF do Application Gateway bloquear uma solicitação no modo de prevenção. Mas uma correspondência de regra de aviso só aumenta a pontuação de anomalia em 3, o que por si só não é suficiente para bloquear o tráfego.

Configuração

Você pode configurar e implantar todas as políticas WAF usando o portal do Azure, APIs REST, modelos do Azure Resource Manager e Azure PowerShell. Você também pode configurar e gerenciar políticas WAF em escala usando a integração do Azure Firewall Manager. Para obter mais informações, consulte Configurar políticas WAF usando o Gerenciador de Firewall do Azure.

Monitorização WAF

Monitorar a integridade do gateway de aplicativo é importante. Você pode conseguir isso integrando seu WAF (e os aplicativos que ele ajuda a proteger) com o Microsoft Defender for Cloud, o Azure Monitor e o Azure Monitor Logs.

Azure Monitor

Os logs do Gateway de Aplicativo são integrados ao Azure Monitor para que você possa rastrear informações de diagnóstico, incluindo alertas e logs do WAF. Você pode acessar esse recurso no portal do Azure, na guia Diagnóstico do recurso Gateway de Aplicativo. Ou você pode acessá-lo diretamente no Azure Monitor.

Para saber mais sobre como usar logs, consulte Logs de diagnóstico para o Application Gateway.

Microsoft Defender para a Cloud

O Defender for Cloud ajuda-o a prevenir, detetar e responder a ameaças. Ele fornece maior visibilidade e controle sobre a segurança de seus recursos do Azure. O Application Gateway é integrado ao Defender for Cloud.

O Defender for Cloud verifica seu ambiente para detetar aplicativos Web desprotegidos. Ele pode recomendar um WAF do Application Gateway para ajudar a proteger esses recursos vulneráveis.

Você cria os firewalls diretamente do Defender for Cloud. Essas instâncias WAF são integradas ao Defender for Cloud. Eles enviam alertas e informações de saúde para o Defender for Cloud para relatórios.

Microsoft Sentinel

O Microsoft Sentinel é uma solução escalável e nativa da nuvem que engloba o gerenciamento de eventos de informações de segurança (SIEM) e a resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. Ele fornece uma solução única para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças.

Com a pasta de trabalho de eventos de firewall integrada ao Firewall de Aplicativo Web do Azure, você pode obter uma visão geral dos eventos de segurança em seu WAF. A visão geral inclui regras correspondentes, regras bloqueadas e todas as outras atividades de firewall registradas.

Pasta de trabalho do Azure Monitor para WAF

A pasta de trabalho do Azure Monitor para WAF permite a visualização personalizada de eventos WAF relevantes para a segurança em vários painéis filtráveis. Ele funciona com todos os tipos de WAF, incluindo o Gateway de Aplicativo, a Porta da Frente do Azure e a Rede de Entrega de Conteúdo do Azure.

Você pode filtrar essa pasta de trabalho com base no tipo WAF ou em uma instância específica do WAF. Você o importa por meio do modelo do Azure Resource Manager ou do modelo de galeria.

Para implantar essa pasta de trabalho, consulte o repositório GitHub para o Firewall de Aplicativo Web do Azure.

Registo

O WAF do Application Gateway fornece relatórios detalhados sobre cada ameaça detetada. O registo é integrado com os registos de Diagnóstico do Azure. Os alertas são gravados no formato JSON. Você pode integrar esses logs com os Logs do Azure Monitor.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Preços do WAF do Application Gateway

Os modelos de preços são diferentes para as versões WAF_v1 e WAF_v2. Para obter mais informações, consulte Preços do Application Gateway.

Novidades

Para saber o que há de novo no Firewall de Aplicativo Web do Azure, consulte Atualizações do Azure.

Conteúdo relacionado

• Grupos de regras e regras do Azure Web Application Firewall DRS e CRS
• Regras personalizadas para o Azure Web Application Firewall v2 no Azure Application Gateway
• Firewall de Aplicativo Web do Azure na Porta da Frente do Azure
• Documentação de segurança de rede do Azure