Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Azure-Webanwendungsfirewall auf dem Anwendungsgateway schützt Webanwendungen vor häufigen Exploits und Sicherheitsrisiken. Die folgenden Empfehlungen helfen Ihnen zu überprüfen, ob WAF ordnungsgemäß konfiguriert und überwacht ist.
Eine Zusammenfassung aller Empfehlungen für die Zero Trust-Sicherheit in Azure-Netzwerken finden Sie in den Empfehlungen zur Zero Trust-Sicherheit von Azure-Netzwerken.
Empfehlungen
Das Anwendungsgateway WAF ist im Verhinderungsmodus aktiviert.
Die Azure Application Gateway-Webanwendungsfirewall (WAF) schützt Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Injection, Cross-Site Scripting und anderen Bedrohungen der OWASP Top 10 (Open Worldwide Application Security Project). WAF arbeitet in zwei Modi: Der Erkennungsmodus wertet eingehende Anforderungen und Protokolle aus, blockiert jedoch keinen Datenverkehr, während der Verhinderungsmodus Anforderungen auswertet und bösartige Anforderungen aktiv blockiert, die gegen WAF-Regeln verstoßen. Das Ausführen von WAF im Präventionsmodus ist entscheidend für den aktiven Schutz von Anwendungen vor gängigen Webangriffen. Wenn SICH WAF im Erkennungsmodus befindet, wird nur bösartiger Datenverkehr protokolliert und nicht verhindert, sodass Anwendungen für die Ausbeutung verfügbar gemacht werden.
Wartungsaktion
- Konfigurieren von WAF im Azure-Anwendungsgateway
- Erstellen und Verwalten von WAF-Richtlinien für das Anwendungsgateway
Die Inspektion des Body von Anfragen ist in Application Gateway WAF aktiviert
Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet zentralisierten Schutz für Webanwendungen vor gängigen Exploits und Sicherheitsrisiken auf regionaler Ebene. Die Anforderungstextüberprüfung ermöglicht es dem WAF, HTTP POST-, PUT- und PATCH-Anforderungstexte für bösartige Muster zu analysieren, einschließlich SQL-Einfügung, standortübergreifendes Skripting und Befehlseinfügungsnutzlasten. Wenn die Überprüfung des Anforderungstexts deaktiviert ist, können Angreifer schädliche Inhalte in Formularübermittlungen, API-Aufrufe oder Dateiuploads einbetten, die alle WAF-Regelauswertungen umgehen. Dadurch wird ein direkter Pfad zur Ausbeutung erstellt, bei dem Angreifer über nicht geschützte Endpunkte zugriffen, willkürliche Befehle für Back-End-Datenbanken ausführen, vertrauliche Daten exfiltrieren und auf interne Systeme pivotieren können. Die verwalteten Regelsätze des WAF, einschließlich des OWASP-Kernregelsatzes (Open Worldwide Application Security Project, OWASP) und der Microsoft Bot Manager-Regeln, können keine Bedrohungen auswerten, die sie nicht sehen können, wodurch diese Schutzmaßnahmen gegen gängige körperbasierte Angriffsvektoren unwirksam werden.
Wartungsaktion
- Übersicht über die Azure-Webanwendungsfirewall im Azure-Anwendungsgateway
- Erstellen von Webanwendungs-Firewallrichtlinien für das Anwendungsgateway einschließlich der Einstellungen zur Überprüfung des Anfragekörpers.
- Häufig gestellte Fragen und Optimierung bewährter Methoden für das Anwendungsgateway WAF
Der Standardregelsatz ist im Anwendungsgateway WAF aktiviert.
Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet zentralisierten Schutz für Webanwendungen durch verwaltete Regelsätze, die vorkonfigurierte Erkennungssignaturen für bekannte Angriffsmuster enthalten. Das Microsoft Default Rule Set und das Open Worldwide Application Security Project (OWASP) Core Rule Set sind kontinuierlich aktualisierte verwaltete Regelsätze, die vor den häufigsten und gefährlichsten Web-Sicherheitsrisiken schützen, ohne dass dafür Sicherheitskompetenz erforderlich ist. Wenn kein verwalteter Regelsatz aktiviert ist, bietet die WAF-Richtlinie keinen Schutz vor bekannten Angriffsmustern, die trotz der Bereitstellung effektiv als Pass-Through funktionieren. Bedrohungsakteure suchen routinemäßig nach nicht geschützten Webanwendungen und nutzen gut dokumentierte Sicherheitsrisiken mithilfe automatisierter Toolkits. Ohne verwaltete Regeln können Angreifer allgemeine Sicherheitsrisiken wie SQL-Einfügung, websiteübergreifende Skripterstellung und Befehlseinfügung auf Back-End-Servern ausnutzen.
Wartungsaktion
- Übersicht über die Azure-Webanwendungsfirewall im Azure-Anwendungsgateway einschließlich verwalteter Regelsätze
- CRS-Regelgruppen und Regeln für Webanwendungs-Firewall
- Erstellen von Webanwendungsfirewallrichtlinien für Anwendungsgateway mit verwalteten Regelsätzen
Der Regelsatz für den Bot-Schutz ist in Application Gateway WAF aktiviert und zugewiesen
Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet Bot-Schutz über den Microsoft Bot Manager-Regelsatz, der automatisierten Datenverkehr basierend auf Verhaltensmustern, bekannten Bot-Signaturen und IP-Zuverlässigkeit identifiziert und kategorisiert. Ohne bot-Schutz können Bedrohungsakteure automatisierte Tools für Angriffe auf Anmeldeinformationen, Inhaltsabschrottung, Bestandssicherung und Denial-Of-Service-Angriffe auf Anwendungsebene nutzen, die manuell unpraktisch wären. Diese Angriffe stammen häufig aus verteilten Botnets, die IP-Adressen drehen, um einfache Ratenbeschränkungen zu umgehen, wodurch die signaturbasierte Boterkennung unerlässlich ist. Der Bot-Manager-Regelsatz klassifiziert Bots in bekannte gute Bots, bekannte schlechte Bots und unbekannte Bots, was eine präzise Richtlinienerzwingung ermöglicht. Ohne diese Klassifizierung mischt sich der böswillige Bot-Datenverkehr mit legitimen Anforderungen, dem Verbrauch von Anwendungsressourcen und der Aktivierung von Betrug.
Wartungsaktion
- Übersicht über Azure WAF im Azure-Anwendungsgateway
- Konfigurieren des Bot-Schutzes für WAF im Azure-Anwendungsgateway
- Übersicht über den WAF-Botschutz
DER HTTP-DDoS-Schutzregelsatz ist im WAF-Anwendungsgateway aktiviert.
Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet über den Microsoft HTTP-DDoS-Regelsatz Schutz gegen Distributed-Denial-of-Service (DDoS), der volumenbasierte HTTP-Angriffe auf der Anwendungsebene erkennt und verringert. Im Gegensatz zu DDoS-Angriffen auf Netzwerkebene, die Bandbreite als Ziel haben, nutzen HTTP-basierte DDoS-Angriffe die Application-Layer aus, indem sie scheinbar legitime HTTP-Anfragen in hohen Volumina senden, um Serverressourcen, Datenbankverbindungen und Anwendungsthreads zu erschöpfen. Ohne aktivierten HTTP-DDoS-Schutz können Bedrohungsakteure HTTP-Hochwasserangriffe ausführen, die Back-End-Server überwältigen, Slowloris-Angriffe, die Verbindungen offen für Auspuffverbindungspools halten, und Hochfrequenzanforderungsmuster, die ressourcenintensive Vorgänge auslösen sollen. Der HTTP-DDoS-Regelsatz enthält Regelgruppen, die ungewöhnliche Anforderungsraten basierend auf konfigurierbaren Vertraulichkeitsstufen erkennen und bösartigen Datenverkehr blockieren, protokollieren oder umleiten können, bevor er sich auf Back-End-Anwendungsserver auswirkt.
Wartungsaktion
- Übersicht über die Azure-Webanwendungsfirewall im Azure-Anwendungsgateway , einschließlich DDoS-Schutzregelsätzen
- CrS-Regelgruppen und Regeln der Webanwendungsfirewall , einschließlich HTTP-DDoS-Regeln
- Erstellen von Webanwendungsfirewallrichtlinien für Anwendungsgateway mit verwalteten Regelsätzen
- Azure DDoS Protection: Übersicht
Die Geschwindigkeitsbegrenzung ist im Anwendungsgateway-WAF aktiviert.
Die Azure Application Gateway-Webanwendungsfirewall (WAF) unterstützt das Einschränken der Rate durch benutzerdefinierte Regeln, die die Anzahl der Anforderungen einschränken, die Clients innerhalb eines bestimmten Zeitfensters vornehmen können. Durch die Einschränkung der Rate werden Anwendungen vor Brute-Force-Angriffen, Zugangsdaten-Diebstahl, API-Missbrauch und Denial-of-Service-Angriffe auf der Anwendungsebene geschützt, die Endpunkte mit übermäßigen Anforderungen überfluten. Ohne konfigurierte Geschwindigkeitsbeschränkung können Bedrohungsakteure tausende Kennwortkombinationen pro Minute gegen Authentifizierungsendpunkte versuchen, gestohlene Anmeldeinformationen im Großen und Ganzen testen, große Datenmengen extrahieren und die Serverkapazität überfordern. Durch Regeln zur Begrenzung von Raten können Administratoren Schwellenwerte basierend auf der Anforderungsanzahl pro Minute definieren und einzelne Clients nach IP-Adresse nachverfolgen. Wenn ein Client den konfigurierten Schwellenwert überschreitet, kann der WAF nachfolgende Anforderungen blockieren, den Verstoß protokollieren oder zu einer benutzerdefinierten Seite umleiten.
Wartungsaktion
- Übersicht über die Azure-Webanwendungsfirewall im Azure-Anwendungsgateway einschließlich benutzerdefinierter Regeln
- Erstellen und Verwenden von benutzerdefinierten Regeln für die Webanwendungsfirewall v2 im Application Gateway, einschließlich der Ratenbegrenzung
- Übersicht über benutzerdefinierte Regeln der Webanwendungsfirewall einschließlich RateLimitRule-Typ
- Ratenbegrenzung im Anwendungsgateway WAF
JavaScript-Herausforderung ist im Anwendungsgateway WAF aktiviert
Die Azure Application Gateway Web Application Firewall (WAF) unterstützt die JavaScript Challenge (aktuell in der Vorschau) als Abwehrmechanismus gegen automatisierte Bots und Headless-Browser. Wenn eine Anforderung eine Herausforderung auslöst, stellt der WAF einen JavaScript-Codeausschnitt bereit, den der Client-Browser ausführen muss, um ein gültiges Challenge-Cookie zu erhalten, das nachweist, dass die Anforderung von einem echten Browser und nicht von einem einfachen HTTP-Client oder Bot stammt. Clients, die die Herausforderung erfolgreich ausführen, verlaufen normal, bis das Cookie abläuft, während Bots und automatisierte Tools, die JavaScript nicht ausführen können, blockiert werden. Dieser Mechanismus ist effektiv gegen Credential Stuffing Bots, Web Scraper und DDoS-Bots (Distributed Denial of Service) auf Anwendungsebene, die einfache HTTP-Bibliotheken ohne JavaScript-Engines verwenden. JavaScript-Herausforderung bietet einen Mittelweg zwischen dem Zulassen des gesamten Datenverkehrs und dem Blockieren von verdächtigen Bots, indem die Browserfähigkeit überprüft wird, ohne Benutzerinteraktionen wie CAPTCHA erforderlich zu machen.
Wartungsaktion
- Übersicht über Azure WAF im Azure-Anwendungsgateway
- Erstellen und Verwenden von benutzerdefinierten WAF v2-Regeln im Anwendungsgateway
- Übersicht über benutzerdefinierte WAF-Regeln
- Übersicht über den Bot-Schutz für das Anwendungsgateway WAF
Die Diagnoseprotokollierung ist im Anwendungsgateway WAF aktiviert.
Die Azure Application Gateway-Webanwendungsfirewall (WAF) schützt Webanwendungen vor häufigen Exploits, einschließlich SQL-Einfügung, websiteübergreifendes Skripting und Open Worldwide Application Security Project (OWASP) Top 10-Bedrohungen. Wenn die Diagnoseprotokollierung nicht aktiviert ist, verlieren Sicherheitsteams den Einblick in blockierte Angriffe, Regel-Übereinstimmungen, Zugriffsmuster und Firewallereignisse. Ohne Protokollierung werden Exploits nicht erkannt, und Incident-Responder können WAF-Ereignisse nicht mit anderen Telemetriedaten korrelieren oder Angriffszeitlinien erstellen. Das Anwendungsgateway WAF stellt mehrere Protokollkategorien bereit, darunter Zugriffsprotokolle, Leistungsprotokolle und Firewallprotokolle, die an Log Analytics, ein Speicherkonto oder einen Event Hub für die Sicherheitsüberwachung weitergeleitet werden müssen.
Wartungsaktion
- Erstellen eines Log Analytics-Arbeitsbereichs
- Erstellen von Diagnoseeinstellungen in Azure Monitor
- Application Gateway-WAF-Protokolle und Metriken
- Überwachen des Azure-Anwendungsgateways
- Azure Monitor-Arbeitsmappen