Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Zero Trust-Modell setzt eine Verletzung voraus und überprüft jede Anforderung so, als ob sie aus einem nicht kontrollierten Netzwerk stammt. Azure-Netzwerksicherheitsdienste spielen eine wichtige Rolle bei der Durchsetzung von Zero Trust-Prinzipien, indem sie den Datenverkehr in Ihrer Cloudumgebung prüfen, filtern und protokollieren.
Die folgenden Empfehlungen helfen Ihnen bei der Bewertung und Härtung Ihres Azure-Netzwerksicherheitsstatus. Jede Empfehlung enthält einen detaillierten Leitfaden, der die Sicherheitsüberprüfung, das Risikoniveau und die Korrekturschritte beschreibt.
Tipp
Einige Organisationen nehmen diese Empfehlungen möglicherweise genau wie geschrieben an, während andere sich dafür entscheiden, Änderungen basierend auf ihren eigenen Geschäftsanforderungen vorzunehmen. Es wird empfohlen, bei Bedarf alle folgenden Steuerelemente zu implementieren. Diese Muster und Methoden helfen dabei, eine Grundlage für eine sichere Azure-Netzwerkumgebung bereitzustellen. Diesem Dokument werden im Laufe der Zeit weitere Steuerelemente hinzugefügt.
Automatisierte Bewertung
Die manuelle Überprüfung dieser Richtlinien für die Konfiguration Ihrer Umgebung kann zeitaufwändig und fehleranfällig sein. Die Zero Trust Bewertung transformiert diesen Prozess mit Automatisierung, um diese Sicherheitskonfigurationselemente und mehr zu testen. Weitere Informationen finden Sie unter Was ist die Zero Trust-Bewertung?
Azure DDoS-Schutz
Azure DDoS Protection schützt Ihre öffentlich zugänglichen Ressourcen vor verteilten Denial-of-Service-Angriffen. Die folgenden Empfehlungen überprüfen, ob der DDoS-Schutz aktiviert und ordnungsgemäß überwacht wird.
Weitere Informationen finden Sie unter Zero Trust-Empfehlungen für Azure DDoS Protection.
| Empfehlung | Risikostufe | Benutzerauswirkungen | Implementierungskosten |
|---|---|---|---|
| Verteilte Denial-of-Service-Angriffe (DDoS) zielen darauf ab, die Rechenleistung von Anwendungen, die Netzwerk- oder die Speicherressourcen zu überwältigen, wodurch Dienste für legitime Benutzer unzugänglich werden. Jeder öffentlich zugängliche Endpunkt, der für das Internet verfügbar ist, ist ein potenzielles Ziel. Azure DDoS Protection bietet eine always-on-Überwachung und automatische Entschärfung gegen Angriffe auf Netzwerkebene, die auf öffentliche IP-Adressen abzielen. Der Schutz kann über DDoS-IP-Schutz direkt auf einzelnen öffentlichen IPs oder über DDoS-Netzwerkschutz auf virtueller Netzwerkebene über einen DDoS-Schutzplan aktiviert werden. Ohne DDoS-Schutz bleiben öffentliche IPs für Dienste wie Anwendungsgateways, Lastenausgleichsgeräte, Azure Firewalls, Azure Bastion, Gateways für virtuelle Netzwerke und virtuelle Computer offen für Angriffe, die Bandbreite und Systemressourcen ausschöpfen können, wodurch kaskadierende Ausfälle über abhängige Dienste hinweg verursacht werden. Diese Überprüfung überprüft, ob jede öffentliche IP-Adresse durch DDoS-Schutz durch beide Ansätze abgedeckt wird. Wartungsaktion | Hoch | Niedrig | Niedrig |
| Azure DDoS Protection bietet erweiterte Entschärfungsfunktionen für öffentliche IP-Adressen, die automatisch volumetrische und protokollverteilte Denial-of-Service-Angriffe (DDoS) auf Layer 3 und 4 erkennen und verringern. Verwenden Sie für den DDoS-Schutz auf Anwendungsebene (Layer 7) Azure DDoS Protection in Kombination mit einer Webanwendungsfirewall (WAF). Der DDoS-Schutz ohne aktivierte Metriken schafft eine Sichtbarkeitslücke, bei der Sicherheitsteams keine Angriffs-Datenverkehrsmuster, Gegenmaßnahmen oder die Effektivität von Schutzrichtlinien beobachten können. Wenn ein DDoS-Angriff auf eine nicht überwachte öffentliche IP erfolgt, fehlen den Reaktionen auf einen Vorfall wichtige Telemetriedaten wie die Anzahl der eingehenden Pakete, die während der Behebung des Angriffs gedroppten Bytes, die identifizierten Angriffsvektoren und die Trigger für die Behebung. Dadurch wird die Erkennung verzögert, da Angriffe möglicherweise unbemerkt bleiben, bis eine Dienstverschlechterung auftritt. Außerdem verhindert sie die Korrelation von DDoS-Ereignissen mit Anwendungsleistungsproblemen und beseitigt die Möglichkeit, Angriffsmuster für proaktive Abwehrverbesserungen zu analysieren. Die Aktivierung von DDoS-Metriken bietet Echtzeitsicht in Angriffsstatus, Pakete und Bytes, die verarbeitet und verworfen werden, sowie TCP/UDP/SYN-Hochwassermetriken, die sowohl für die aktive Reaktion auf Vorfälle als auch für die Analyse nach dem Vorfall wichtig sind. Wartungsaktion | Mittelstufe | Niedrig | Niedrig |
| Wenn Azure DDoS Protection für öffentliche IP-Adressen aktiviert ist, bietet die Diagnoseprotokollierung kritische Einblicke in verteilte Denial of Service (DDoS)-Angriffsmuster, Gegenmaßnahmen und Daten zum Datenverkehrsfluss. Ohne Diagnoseprotokolle fehlen Sicherheitsteams die Beobachtbarkeit, die erforderlich ist, um Angriffsmerkmale zu verstehen, die Effektivität der Risikominderung zu überprüfen und nach dem Vorfall zu analysieren. Azure DDoS Protection generiert drei Kategorien von Diagnoseprotokollen: DDoSProtectionNotifications für Angriffserkennungs- und Entschärfungsereignisse, DDoSMitigationFlowLogs für detaillierte Informationen auf Ablaufebene während der aktiven Entschärfung und DDoSMitigationReports für umfassende Angriffszusammenfassungen. Diese Protokolle sind für die Erkennung laufender Angriffe, das Untersuchen von Vorfällen, die Erfüllung der Complianceanforderungen und die Optimierung von Schutzrichtlinien unerlässlich. Wartungsaktion | Mittelstufe | Niedrig | Niedrig |
Azure Firewall
Azure Firewall bietet eine zentrale Durchsetzung der Netzwerksicherheitsrichtlinien und Protokollierung in Ihren virtuellen Netzwerken. Die folgenden Empfehlungen stellen sicher, dass wichtige Schutzfeatures aktiv sind.
Weitere Informationen finden Sie unter Zero Trust-Empfehlungen für die Azure Firewall.
| Empfehlung | Risikostufe | Benutzerauswirkungen | Implementierungskosten |
|---|---|---|---|
| Azure Firewall ist ein cloudeigener Netzwerksicherheitsdienst, der zentrale Inspektion, Protokollierung und Erzwingung für ausgehenden Datenverkehr bereitstellt. Die Verwendung von Azure Firewall allein für ausgehende Verbindungen kann jedoch zu SNAT-Portausschöpfungen bei Workloads mit hohem Datenverkehr führen. Es empfiehlt sich, das NAT-Gateway zusammen mit der Azure Firewall bereitzustellen – die Azure Firewall übernimmt die ausgehenden Sicherheitsüberprüfungen (Filterung von Bedrohungsintelligenz, Angriffserkennung und -verhinderung, TLS-Inspektion und Durchsetzung von Egress-Richtlinien), während das NAT-Gateway skalierbare SNAT-Ports für den tatsächlichen ausgehenden Datenverkehrsfluss bereitstellt. In einer sicheren Netzwerkarchitektur sollten ausgehender Datenverkehr von VNet-integrierten Workloads wie VMs, AKS-Clustern, App Service und Funktionen explizit über die Azure Firewall weitergeleitet werden, bevor externe Dienste erreicht werden, wobei NAT-Gateway auf dem AzureFirewallSubnet für die Verarbeitung ausgehender Übersetzung konfiguriert ist. Ohne diesen kombinierten Ansatz riskieren Organisationen entweder unbeabsichtigten ausgehenden Datenverkehr oder SNAT-Portausschöpfung, die zu verworfenen Verbindungen führen. Diese Überprüfung stellt sicher, dass effektive Netzwerkrouten den ausgehenden Datenverkehr für berechtigte Workloads in allen Abonnements an die private IP-Adresse der Firewall leiten. Maßnahme zur Behebung | Hoch | Niedrig | Mittelstufe |
| Azure Firewall verwendet Threat Intelligence-basierte Filter, die Warnmeldungen auslösen und Datenverkehr von und zu bekannten bösartigen IP-Adressen, vollqualifizierten Domänennamen (FQDNs) und URLs, die aus dem Microsoft Threat Intelligence-Feed stammen, blockieren. Wenn diese Option aktiviert ist, wertet Azure Firewall Den Datenverkehr gegen Bedrohungserkennungsregeln aus, bevor Netzwerkadressenübersetzung (Network Address Translation, NAT), Netzwerk- oder Anwendungsregeln angewendet werden. Diese Überprüfung überprüft, ob Threat Intelligence im Modus "Warnung und Verweigern" in der Azure-Firewallrichtlinie aktiviert ist. Ohne diese Funktion aktiviert, bleibt die Umgebung bekannten böswilligen IPs, Domänen und URLs ausgesetzt, wodurch das Risiko einer Kompromittierung oder Datenexfiltration entsteht. Wartungsaktion | Hoch | Niedrig | Niedrig |
| Azure Firewall Premium bietet signaturbasiertes Intrusion Detection and Prevention System (IDPS) zum Erkennen von Angriffen, indem bestimmte Muster wie Bytesequenzen im Netzwerkdatenverkehr oder bekannte schädliche Anweisungssequenzen identifiziert werden, die von Schadsoftware verwendet werden. IDPS-Signaturen gelten sowohl für den Datenverkehr auf Anwendungs- als auch auf Netzwerkebene in den Schichten 3-7, werden umfassend verwaltet und kontinuierlich aktualisiert. Sie können auf eingehenden, Spoke-to-Spoke- und ausgehenden Datenverkehr angewendet werden, einschließlich des Datenverkehrs zu und von lokalen Netzwerken vor Ort. Diese Überprüfung überprüft, ob IDPS im Modus "Warnung und Verweigern" in der Azure Firewall-Richtlinie aktiviert ist. Wenn IDPS deaktiviert oder nur im Modus "Warnung" aktiviert ist, werden böswillige Muster im Netzwerkdatenverkehr nicht aktiv blockiert. Wartungsaktion | Hoch | Niedrig | Niedrig |
Azure Firewall Premium bietet TLS-Überprüfung (Transport Layer Security), um ausgehenden und ost-westverschlüsselten Datenverkehr mithilfe eines im Azure Key Vault gespeicherten Zertifikats einer vom Kunden bereitgestellten Zertifizierungsstelle zu entschlüsseln, zu prüfen und erneut zu verschlüsseln. DIE TLS-Inspektion ermöglicht erweiterte Sicherheitsfunktionen, einschließlich Intrusion Detection and Prevention System (IDPS) und URL-Filterung, um verschlüsselten Datenverkehr zu analysieren und Bedrohungen zu identifizieren, die verschlüsselte Kanäle verwenden, um die Erkennung zu umgehen. Ohne aktivierte TLS-Inspektion kann die Firewall verschlüsselte Nutzlasten nicht prüfen, was die Sichtbarkeit von Bedrohungen, die TLS nutzen, um herkömmliche Sicherheitskontrollen zu umgehen, erheblich einschränken. Wartungsaktion
|
Hoch | Niedrig | Niedrig |
| Azure Firewall verarbeitet den gesamten eingehenden und ausgehenden Netzwerkdatenverkehr für geschützte Workloads und macht ihn zu einem kritischen Kontrollpunkt für die Sicherheitsüberwachung. Wenn die Diagnoseprotokollierung nicht aktiviert ist, verlieren Sicherheitsteams die Sichtbarkeit von Datenverkehrsmustern, verweigerte Verbindungsversuche, Übereinstimmungen mit der Bedrohungserkennung sowie IDPS-Signaturerkennungen (Intrusion Detection and Prevention System). Ohne Protokollierung können Bedrohungsakteure, die Zugriff erhalten, sich lateral bewegen, ohne dass sie entdeckt werden, und Incident-Responder können keine Angriffszeitachsen erstellen. Azure Firewall stellt mehrere Protokollkategorien bereit, darunter Anwendungsregelprotokolle, Netzwerkregelprotokolle, NAT-Regelprotokolle (Network Address Translation), Threat Intelligence-Protokolle, IDPS-Signaturprotokolle und DNS-Proxyprotokolle, die an ein Ziel wie Log Analytics, ein Speicherkonto oder einen Event Hub für die Sicherheitsüberwachung und forensische Analyse weitergeleitet werden müssen. Wartungsaktion | Hoch | Niedrig | Niedrig |
Anwendungsgateway WAF
Die Azure-Webanwendungsfirewall auf dem Anwendungsgateway schützt Webanwendungen vor häufigen Exploits und Sicherheitsrisiken. Die folgenden Empfehlungen stellen sicher, dass WAF ordnungsgemäß konfiguriert und überwacht ist.
Weitere Informationen finden Sie unter Zero Trust-Empfehlungen für das Anwendungsgateway WAF.
| Empfehlung | Risikostufe | Benutzerauswirkungen | Implementierungskosten |
|---|---|---|---|
| Die Azure Application Gateway-Webanwendungsfirewall (WAF) schützt Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Injection, Cross-Site Scripting und anderen Bedrohungen der OWASP Top 10 (Open Worldwide Application Security Project). WAF arbeitet in zwei Modi: Der Erkennungsmodus wertet eingehende Anforderungen und Protokolle aus, blockiert jedoch keinen Datenverkehr, während der Verhinderungsmodus Anforderungen auswertet und bösartige Anforderungen aktiv blockiert, die gegen WAF-Regeln verstoßen. Das Ausführen von WAF im Präventionsmodus ist entscheidend für den aktiven Schutz von Anwendungen vor gängigen Webangriffen. Wenn SICH WAF im Erkennungsmodus befindet, wird nur bösartiger Datenverkehr protokolliert und nicht verhindert, sodass Anwendungen für die Ausbeutung verfügbar gemacht werden. Wartungsaktion | Hoch | Niedrig | Niedrig |
Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet zentralisierten Schutz für Webanwendungen vor gängigen Exploits und Sicherheitsrisiken auf regionaler Ebene. Die Anforderungstextüberprüfung ermöglicht es dem WAF, HTTP POST-, PUT- und PATCH-Anforderungstexte für bösartige Muster zu analysieren, einschließlich SQL-Einfügung, standortübergreifendes Skripting und Befehlseinfügungsnutzlasten. Wenn die Überprüfung des Anforderungstexts deaktiviert ist, können Angreifer schädliche Inhalte in Formularübermittlungen, API-Aufrufe oder Dateiuploads einbetten, die alle WAF-Regelauswertungen umgehen. Dadurch wird ein direkter Pfad zur Ausbeutung erstellt, bei dem Angreifer über nicht geschützte Endpunkte zugriffen, willkürliche Befehle für Back-End-Datenbanken ausführen, vertrauliche Daten exfiltrieren und auf interne Systeme pivotieren können. Die verwalteten Regelsätze der WAF, einschließlich des Open Worldwide Application Security Project (OWASP) Core Rule Set und der Regeln des Microsoft Bot Managers, können Bedrohungen, die sie nicht sehen können, nicht evaluieren, wodurch diese Schutzmaßnahmen gegen gängige Body-basierte Angriffsvektoren unwirksam sind.Korrekturmaßnahmen
|
Hoch | Niedrig | Niedrig |
Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet zentralisierten Schutz für Webanwendungen durch verwaltete Regelsätze, die vorkonfigurierte Erkennungssignaturen für bekannte Angriffsmuster enthalten. Das Microsoft Default Rule Set und das Open Worldwide Application Security Project (OWASP) Core Rule Set sind kontinuierlich aktualisierte verwaltete Regelsätze, die vor den häufigsten und gefährlichsten Web-Sicherheitsrisiken schützen, ohne dass dafür Sicherheitskompetenz erforderlich ist. Wenn kein verwalteter Regelsatz aktiviert ist, bietet die WAF-Richtlinie keinen Schutz vor bekannten Angriffsmustern, die trotz der Bereitstellung effektiv als Pass-Through funktionieren. Bedrohungsakteure suchen routinemäßig nach nicht geschützten Webanwendungen und nutzen gut dokumentierte Sicherheitsrisiken mithilfe automatisierter Toolkits. Ohne verwaltete Regeln können Angreifer allgemeine Sicherheitsrisiken wie SQL-Einfügung, websiteübergreifende Skripterstellung und Befehlseinfügung auf Back-End-Servern ausnutzen. Wartungsaktion
|
Hoch | Niedrig | Niedrig |
| Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet Bot-Schutz über den Microsoft Bot Manager-Regelsatz, der automatisierten Datenverkehr basierend auf Verhaltensmustern, bekannten Bot-Signaturen und IP-Zuverlässigkeit identifiziert und kategorisiert. Ohne bot-Schutz können Bedrohungsakteure automatisierte Tools für Angriffe auf Anmeldeinformationen, Inhaltsabschrottung, Bestandssicherung und Denial-Of-Service-Angriffe auf Anwendungsebene nutzen, die manuell unpraktisch wären. Diese Angriffe stammen häufig aus verteilten Botnets, die IP-Adressen drehen, um einfache Ratenbeschränkungen zu umgehen, wodurch die signaturbasierte Boterkennung unerlässlich ist. Der Bot-Manager-Regelsatz klassifiziert Bots in bekannte gute Bots, bekannte schlechte Bots und unbekannte Bots, was eine präzise Richtlinienerzwingung ermöglicht. Ohne diese Klassifizierung mischt sich der böswillige Bot-Datenverkehr mit legitimen Anforderungen, dem Verbrauch von Anwendungsressourcen und der Aktivierung von Betrug. Wartungsaktion | Hoch | Niedrig | Niedrig |
Die Azure Application Gateway-Webanwendungsfirewall (WAF) bietet über den Microsoft HTTP-DDoS-Regelsatz Schutz gegen Distributed-Denial-of-Service (DDoS), der volumenbasierte HTTP-Angriffe auf der Anwendungsebene erkennt und verringert. Im Gegensatz zu DDoS-Angriffen auf Netzwerkebene, die Bandbreite als Ziel haben, nutzen HTTP-basierte DDoS-Angriffe die Application-Layer aus, indem sie scheinbar legitime HTTP-Anfragen in hohen Volumina senden, um Serverressourcen, Datenbankverbindungen und Anwendungsthreads zu erschöpfen. Ohne aktivierten HTTP-DDoS-Schutz können Bedrohungsakteure HTTP-Hochwasserangriffe ausführen, die Back-End-Server überwältigen, Slowloris-Angriffe, die Verbindungen offen für Auspuffverbindungspools halten, und Hochfrequenzanforderungsmuster, die ressourcenintensive Vorgänge auslösen sollen. Der HTTP-DDoS-Regelsatz enthält Regelgruppen, die ungewöhnliche Anforderungsraten basierend auf konfigurierbaren Vertraulichkeitsstufen erkennen und bösartigen Datenverkehr blockieren, protokollieren oder umleiten können, bevor er sich auf Back-End-Anwendungsserver auswirkt. Wartungsaktion
|
Hoch | Niedrig | Niedrig |
Die Azure Application Gateway-Webanwendungsfirewall (WAF) unterstützt das Einschränken der Rate durch benutzerdefinierte Regeln, die die Anzahl der Anforderungen einschränken, die Clients innerhalb eines bestimmten Zeitfensters vornehmen können. Durch die Einschränkung der Rate werden Anwendungen vor Brute-Force-Angriffen, Zugangsdaten-Diebstahl, API-Missbrauch und Denial-of-Service-Angriffe auf der Anwendungsebene geschützt, die Endpunkte mit übermäßigen Anforderungen überfluten. Ohne konfigurierte Geschwindigkeitsbeschränkung können Bedrohungsakteure tausende Kennwortkombinationen pro Minute gegen Authentifizierungsendpunkte versuchen, gestohlene Anmeldeinformationen im Großen und Ganzen testen, große Datenmengen extrahieren und die Serverkapazität überfordern. Durch Regeln zur Begrenzung von Raten können Administratoren Schwellenwerte basierend auf der Anforderungsanzahl pro Minute definieren und einzelne Clients nach IP-Adresse nachverfolgen. Wenn ein Client den konfigurierten Schwellenwert überschreitet, kann der WAF nachfolgende Anforderungen blockieren, den Verstoß protokollieren oder zu einer benutzerdefinierten Seite umleiten. Wartungsaktion
|
Hoch | Niedrig | Mittelstufe |
| Die Azure Application Gateway Web Application Firewall (WAF) unterstützt die JavaScript Challenge (aktuell in der Vorschau) als Abwehrmechanismus gegen automatisierte Bots und Headless-Browser. Wenn eine Anforderung eine Herausforderung auslöst, stellt der WAF einen JavaScript-Codeausschnitt bereit, den der Client-Browser ausführen muss, um ein gültiges Challenge-Cookie zu erhalten, das nachweist, dass die Anforderung von einem echten Browser und nicht von einem einfachen HTTP-Client oder Bot stammt. Clients, die die Herausforderung erfolgreich ausführen, verlaufen normal, bis das Cookie abläuft, während Bots und automatisierte Tools, die JavaScript nicht ausführen können, blockiert werden. Dieser Mechanismus ist effektiv gegen Credential Stuffing Bots, Web Scraper und DDoS-Bots (Distributed Denial of Service) auf Anwendungsebene, die einfache HTTP-Bibliotheken ohne JavaScript-Engines verwenden. JavaScript-Herausforderung bietet einen Mittelweg zwischen dem Zulassen des gesamten Datenverkehrs und dem Blockieren verdächtiger Bots, indem die Browserfunktion überprüft wird, ohne dass Benutzerinteraktion wie CAPTCHA erforderlich ist. Abhilfemaßnahme | Mittelstufe | Niedrig | Niedrig |
| Die Azure Application Gateway-Webanwendungsfirewall (WAF) schützt Webanwendungen vor häufigen Exploits, einschließlich SQL-Einfügung, websiteübergreifendes Skripting und Open Worldwide Application Security Project (OWASP) Top 10-Bedrohungen. Wenn die Diagnoseprotokollierung nicht aktiviert ist, verlieren Sicherheitsteams den Einblick in blockierte Angriffe, Regel-Übereinstimmungen, Zugriffsmuster und Firewallereignisse. Ohne Protokollierung werden Exploits nicht erkannt, und Incident-Responder können WAF-Ereignisse nicht mit anderen Telemetriedaten korrelieren oder Angriffszeitlinien erstellen. Das Anwendungsgateway WAF stellt mehrere Protokollkategorien bereit, darunter Zugriffsprotokolle, Leistungsprotokolle und Firewallprotokolle, die an Log Analytics, ein Speicherkonto oder einen Event Hub für die Sicherheitsüberwachung weitergeleitet werden müssen. Wartungsaktion | Hoch | Niedrig | Niedrig |
Azure Front Door WAF
Azure Web Application Firewall on Front Door schützt Webanwendungen am Netzwerk-Edge. Die folgenden Empfehlungen stellen sicher, dass WAF ordnungsgemäß konfiguriert und überwacht ist.
Weitere Informationen finden Sie unter Zero Trust-Empfehlungen für Azure Front Door WAF.
| Empfehlung | Risikostufe | Benutzerauswirkungen | Implementierungskosten |
|---|---|---|---|
| Die Azure Front Door Web Application Firewall (WAF) schützt Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügung, websiteübergreifendes Skripting und anderen Open Worldwide Application Security Project (OWASP)-Top 10-Bedrohungen am Netzwerkrand. WAF arbeitet in zwei Modi: Der Erkennungsmodus wertet eingehende Anforderungen und Protokolle aus, blockiert jedoch keinen Datenverkehr, während der Verhinderungsmodus Anforderungen auswertet und bösartige Anforderungen aktiv blockiert, die gegen WAF-Regeln verstoßen. Das Ausführen von WAF im Präventionsmodus ist entscheidend für den aktiven Schutz von Anwendungen vor gängigen Webangriffen. Wenn SICH WAF im Erkennungsmodus befindet, wird nur bösartiger Datenverkehr protokolliert und nicht verhindert, sodass Anwendungen für die Ausbeutung verfügbar gemacht werden. Wartungsaktion | Hoch | Niedrig | Niedrig |
Die Azure Front Door Web Application Firewall (WAF) bietet einen zentralen Schutz für Webanwendungen vor gängigen Exploits und Sicherheitsrisiken. Die Anforderungstextüberprüfung ermöglicht es dem WAF, HTTP POST-, PUT- und PATCH-Anforderungstexte für bösartige Muster zu analysieren, einschließlich SQL-Einfügung, standortübergreifendes Skripting und Befehlseinfügungsnutzlasten. Wenn die Überprüfung des Anforderungstexts deaktiviert ist, können Angreifer schädliche Inhalte in Formularübermittlungen, API-Aufrufe oder Dateiuploads einbetten, die alle WAF-Regelauswertungen umgehen. Dadurch wird ein direkter Pfad zur Ausbeutung erstellt, bei dem Angreifer über nicht geschützte Endpunkte zugriffen, willkürliche Befehle für Back-End-Datenbanken ausführen, vertrauliche Daten exfiltrieren und auf interne Systeme pivotieren können. Die verwalteten Regelsätze des WAF, einschließlich des OWASP-Kernregelwerks (Open Worldwide Application Security Project, OWASP) und der auf Bedrohungsaufklärung basierenden Regeln von Microsoft, können Bedrohungen, die sie nicht sehen können, nicht auswerten, was diese Schutzmaßnahmen gegen gängige Angriffsvektoren im Datenkörper ineffektiv macht. Abhilfemaßnahme
|
Hoch | Niedrig | Niedrig |
| Die Azure Front Door Web Application Firewall (WAF) bietet edgebasierten Schutz für global verteilte Webanwendungen über verwaltete Regelsätze, die vorkonfigurierte Erkennungssignaturen für bekannte Angriffsmuster enthalten. Der Microsoft-Standardregelsatz ist ein kontinuierlich aktualisierter verwalteter Regelsatz, der vor den häufigsten und gefährlichsten Web-Sicherheitsrisiken schützt, ohne dass sicherheitsrelevante Kenntnisse konfiguriert werden müssen. Wenn kein verwalteter Regelsatz aktiviert ist, bietet die WAF-Richtlinie keinen Schutz vor bekannten Angriffsmustern, die effektiv als Pass-Through funktionieren. Bedrohungsakteure suchen routinemäßig nach nicht geschützten Anwendungen und nutzen dokumentierte Sicherheitsrisiken mithilfe automatisierter Toolkits zum Ausführen von SQL-Einfügungen, websiteübergreifendes Skripting, lokale Dateieinschluss und Befehlseinfügungsangriffe. Verwaltete Regelsätze erkennen und blockieren diese Angriffe am Edge, bevor bösartiger Datenverkehr Ursprungsserver erreicht. Wartungsaktion | Hoch | Niedrig | Niedrig |
Die Azure Front Door Web Application Firewall (WAF) bietet Bot-Schutz über den Bot-Manager-Regelsatz, der exklusiv in der Premium-SKU verfügbar ist und automatisierten Datenverkehr im globalen Edgenetzwerk identifiziert und kategorisiert. Ohne Bot-Schutz können Bedrohungsakteure automatisierte Angriffe wie Anmeldeinformationen, Web Scraping, das Horten von Beständen und Distributed Denial of Service (DDoS)-Angriffe auf der Anwendungsschicht bereitstellen. Der Bot-Manager-Regelsatz kategorisiert Bots in bekannte gute Bots, bekannte schlechte Bots und unbekannte Bots, sodass Sicherheitsteams geeignete Aktionen für jede Kategorie konfigurieren können. Schlechte Bots können mit CAPTCHA blockiert und geprüft werden, während legitime Bots wie Suchmaschinencrawler erlaubt sind. Ohne Bot-Schutz fehlen Organisationen einblicke in Bot-Datenverkehrsmuster und können nicht zwischen menschlichen Benutzern und automatisierten Clients unterscheiden. Wartungsaktion
|
Hoch | Niedrig | Niedrig |
| Die Azure Front Door Web Application Firewall (WAF) unterstützt das Einschränken der Rate durch benutzerdefinierte Regeln, die die Anzahl der Anforderungen einschränken, die Clients innerhalb eines bestimmten Zeitfensters im globalen Edgenetzwerk vornehmen können. Ohne Einschränkung der Rate können Bedrohungsakteure Brute-Force-Angriffe auf Authentifizierungsendpunkte ausführen, Anmeldeinformationen im großen Maßstab testen, API-Missbrauch betreiben, der Daten extrahiert oder Backend-Ressourcen konsumiert, und Denial-of-Service-Angriffe auf Anwendungsschicht durchführen, die Endpunkte überfluten. Regeln zur Begrenzung von Geschwindigkeiten ermöglichen Administratoren das Definieren von Schwellenwerten basierend auf der Anforderungsanzahl pro Minute mit der Möglichkeit, Anforderungen nach Client-IP-Adresse zu gruppieren. Wenn ein Client den konfigurierten Schwellenwert überschreitet, kann der WAF nachfolgende Anforderungen blockieren, Verstöße protokollieren, CAPTCHA-Herausforderungen ausstellen oder auf eine benutzerdefinierte Seite umleiten. Durch die Begrenzung der Rate am globalen Edge wird sichergestellt, dass bösartiger Datenverkehr blockiert wird, bevor die Ursprungsserver erreicht werden. Wartungsaktion | Hoch | Niedrig | Mittelstufe |
| Die Azure Front Door Web Application Firewall (WAF) unterstützt JavaScript-Herausforderung als Abwehrmechanismus gegen automatisierte Bots und kopflose Browser im globalen Edgenetzwerk. Wenn eine Anforderung eine Herausforderung auslöst, stellt der WAF einen JavaScript-Codeausschnitt bereit, den der Client-Browser ausführen muss, um ein gültiges Challenge-Cookie zu erhalten, das nachweist, dass die Anforderung von einem echten Browser und nicht von einem einfachen HTTP-Client oder Bot stammt. Clients, die die Herausforderung erfolgreich bestehen, verfahren normal weiter, bis das Cookie abläuft, während Bots und automatisierte Tools, die JavaScript nicht ausführen können, an der Peripherie blockiert werden, bevor der Datenverkehr die Ursprungsserver erreicht. Dieser Mechanismus ist effektiv gegen Credential-Stuffing-Bots, Web-Scraper und verteilte Denial-of-Service-(DDoS)-Bots, die einfache HTTP-Bibliotheken verwenden. Die JavaScript-Herausforderung überprüft die Browserfunktion, ohne dass eine Benutzerinteraktion wie CAPTCHA erforderlich ist, wodurch ein Mittelweg zwischen dem Zulassen des gesamten Datenverkehrs und dem Blockieren von verdächtigen Bots vollständig bereitgestellt wird. Wartungsaktion | Mittelstufe | Niedrig | Niedrig |
| Die Azure Front Door Web Application Firewall (WAF) unterstützt CAPTCHA-Herausforderung als Abwehrmechanismus gegen komplexe Bots und automatisierte Tools im globalen Edgenetzwerk. CAPTCHA stellt Benutzern ein visuelles oder Audio-Puzzle vor, das menschliche kognitive Fähigkeiten zu lösen erfordert, was beweist, dass die Anforderung von einem echten Menschen und nicht von einem Bot stammt. Benutzer, die das CAPTCHA erfolgreich abschließen, erhalten ein Challenge-Cookie, das den normalen Zugriff bis zum Ablauf zulässt, während Bots, die das Puzzle nicht lösen können, am Rand des Netzwerks blockiert werden. CAPTCHA ist gegen fortgeschrittene Bots, die Headless-Browser mit voller JavaScript-Unterstützung verwenden, effektiver als JavaScript-Challenges, da sie menschliche Fähigkeiten erfordern. Durch die Konfiguration von benutzerdefinierten Regeln mit CAPTCHA-Herausforderungsaktion können Organisationen streng vertrauliche Endpunkte wie Anmeldeseiten, Registrierungsformulare und Zahlungsseiten vor automatisiertem Missbrauch schützen. Wartungsaktion | Mittelstufe | Niedrig | Niedrig |
| Die Azure Front Door Web Application Firewall (WAF) schützt Webanwendungen vor häufigen Exploits, einschließlich SQL-Injection, Cross-Site-Scripting und den Top 10-Bedrohungen des Open Web Application Security Project (OWASP) an der Netzwerkperipherie, bevor bösartiger Datenverkehr die Ursprungsserver erreicht. Wenn die Diagnoseprotokollierung nicht aktiviert ist, verlieren Sicherheitsteams die Sichtbarkeit blockierter Angriffe, Regel-Übereinstimmungen, Zugriffsmuster und WAF-Ereignisse am Edge. Ohne Protokollierung gehen Bedrohungsakteure, die versuchen, Sicherheitsrisiken auszunutzen, unerkannt, und Vorfall-Responder können keine Angriffszeitachsen erstellen. Azure Front Door WAF stellt Zugriffsprotokolle und WAF-Protokolle bereit, die an Log Analytics, ein Speicherkonto oder einen Event Hub für die Sicherheitsüberwachung und forensische Analyse weitergeleitet werden müssen. Wartungsaktion | Hoch | Niedrig | Niedrig |