Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Azure Web Application Firewall (WAF) bietet zentralen Schutz für Ihre Webanwendungen vor allgemeinen Exploits und Sicherheitsrisiken wie SQL-Einfügung, websiteübergreifendes Skripting und anderen OWASP Top 10-Angriffen. Als kritische Sicherheitskomponente, die sich zwischen Ihren Anwendungen und potenziellen Bedrohungen befindet, ist es wichtig, Ihre WAF-Bereitstellung ordnungsgemäß zu schützen, um ihre Effektivität zu maximieren und Ihren gesamtsicherheitsstatus aufrechtzuerhalten.
Dieser Artikel enthält Anleitungen, wie Sie Ihre Azure Web Application Firewall-Bereitstellung am besten sichern.
Netzwerksicherheit
Die Netzwerksicherheit für die Azure Web Application Firewall konzentriert sich auf den Schutz Ihrer Anwendungen durch eine ordnungsgemäße Datenverkehrsverwaltung, das Blockieren bösartiger IP-Adressen und die geeignete Konfiguration von WAF-Modi. Diese Steuerelemente tragen dazu bei, dass nur legitimer Datenverkehr Ihre Anwendungen erreicht und gleichzeitig umfassenden Schutz vor webbasierten Angriffen gewährleistet ist.
Konfigurieren Sie WAF im Präventionsmodus nach dem geplanten Zeitraum: Beginnen Sie mit dem Erkennungsmodus, um Ihre Datenverkehrsmuster zu verstehen und falsch positive Ergebnisse zu identifizieren, und wechseln Sie dann zum Präventionsmodus, um Angriffe aktiv zu blockieren. Der Verhinderungsmodus blockiert Eindringversuche und Angriffe, die von den Regeln erkannt wurden, und sendet Angreifern eine Fehlermeldung "403 unberechtigter Zugang". Siehe WAF-Modi im Anwendungsgateway und WAF-Modi auf Front Door.
Verwenden Sie benutzerdefinierte Regeln, um böswillige IP-Adressen zu blockieren: Erstellen Sie benutzerdefinierte Regeln, um Datenverkehr basierend auf IP-Adressen, Bereichen oder geografischen Standorten zuzulassen und zu blockieren. Dies bietet eine präzise Kontrolle darüber, wer auf Ihre Anwendungen zugreifen kann und hilft, Angriffe von bekannten schlechten Akteuren zu verhindern. Siehe Webanwendungsfirewall CRS-Regelgruppen und -regeln.
Passen Sie WAF-Regeln an, um falsch positive Ergebnisse zu reduzieren: Wenden Sie standortspezifische WAF-Richtlinien an, und passen Sie Regeln und Regelgruppen an Ihre Webanwendungsanforderungen an. Dies hilft, falsch positive Ergebnisse zu beseitigen und gleichzeitig den Schutz vor echten Bedrohungen aufrechtzuerhalten. Ordnen Sie für jeden Standort eine eindeutige Azure WAF-Richtlinie zu, um die standortspezifische Konfiguration zu ermöglichen.
Aktivieren Sie umfassende Protokollierung und Überwachung: Aktivieren Sie Diagnose- und WAF-Protokolle, wenn Sie im Erkennungsmodus arbeiten, um alle Bedrohungswarnungen zu überwachen und zu protokollieren. Dadurch erhalten Sie einen Einblick in die Evaluierung, Übereinstimmung und Blockierung durch Ihre WAF. Siehe Übersicht über die Protokollierung.
Verwenden Sie Tags für die organisierte Netzwerksicherheitsverwaltung: Wenden Sie Tags auf Netzwerksicherheitsgruppen an, die Ihrem WAF in Ihrem Azure Application Gateway-Subnetz und verwandten Netzwerksicherheitsressourcen zugeordnet sind. Verwenden Sie das Feld "Beschreibung" für einzelne NSG-Regeln, um geschäftliche Anforderungen und Dauer anzugeben. Informationen zum Erstellen und Verwenden von Tags finden Sie unter "Erstellen und Verwenden von Tags".
Überwachen von Netzwerkressourcenkonfigurationen: Verwenden Sie das Azure Activity Log, um Netzwerkressourcenkonfigurationen zu überwachen und Änderungen für Netzwerkeinstellungen und Ressourcen im Zusammenhang mit Ihren WAF-Bereitstellungen zu erkennen. Erstellen Sie Warnungen in Azure Monitor, die ausgelöst werden, wenn Änderungen an kritischen Netzwerkeinstellungen auftreten. Anleitung zum Anzeigen und Abrufen von Azure Activity Log-Ereignissen.
Implementieren Sie die Geschwindigkeitsbegrenzung, um DDoS-Angriffe zu verhindern: Konfigurieren Sie Regeln zum Einschränken von Raten, um die Anzahl der Anforderungen zu steuern, die von jeder Client-IP-Adresse über einen bestimmten Zeitraum zulässig sind. Legen Sie Grenzwerte für die Ratenbegrenzung hoch genug fest, um zu verhindern, dass legitime Datenströme blockiert werden, während Sie Schutz vor Wiederholungsversuchen und DDoS-Angriffen bieten. Sehen Sie sich an, was ist die Zinsbegrenzung für Azure Front Door?
Aktivieren Sie bot-Schutz, um böswillige Bots zu blockieren: Verwenden Sie die verwaltete Bot-Schutzregel, um fehlerhafte Bots zu identifizieren und zu blockieren, während legitime Bots wie Suchmaschinencrawler zugelassen werden. Bot-Schutzregeln kategorisieren Bots als gut, schlecht oder unbekannt und können automatisch böswilligen Bot-Datenverkehr blockieren. Siehe Konfigurieren des Bot-Schutzes für die Webanwendungsfirewall.
Implementieren sie Geofilterung für regionale Anwendungen: Wenn Ihre Anwendung Benutzern aus bestimmten geografischen Regionen dient, konfigurieren Sie geofiltern, um Anforderungen von außerhalb erwarteter Länder oder Regionen zu blockieren. Schließen Sie den unbekannten Standort (ZZ) ein, damit gültige Anforderungen von nicht zugeordneten IP-Adressen nicht blockiert werden. Sehen Sie sich an, was Geo-Filterung bei einer Domäne von Azure Front Door bedeutet?
Verwenden Sie die neuesten Versionen für verwaltete Regelsätze: Aktualisieren Sie regelmäßig auf die neuesten von Azure verwalteten Regelsatzversionen, um vor aktuellen Bedrohungen zu schützen. Microsoft aktualisiert regelmäßig verwaltete Regeln basierend auf der Bedrohungslandschaft und OWASP Top 10-Angriffstypen. Siehe Azure Web Application Firewall DRS-Regelgruppen und -regeln.
Identitätsverwaltung
Die Identitätsverwaltung für die Azure Web Application Firewall stellt sicher, dass der administrative Zugriff auf Ihre WAF-Ressourcen ordnungsgemäß gesteuert und überwacht wird. Dazu gehört die Aufrechterhaltung von Inventaren administrativer Konten, die Verwendung zentralisierter Identitätssysteme und die Implementierung von starken Authentifizierungsmechanismen für alle Benutzer, die Ihre WAF-Bereitstellung verwalten.
Verwenden Sie Azure Active Directory für die zentralisierte Authentifizierung: Verwenden Sie Azure AD als Ihr zentrales Authentifizierungs- und Autorisierungssystem zum Verwalten von WAF-Ressourcen. Azure AD schützt Daten mit starker Verschlüsselung und bietet eine konsistente Identitätsverwaltung in Ihrer Azure-Umgebung. Erfahren Sie , wie Sie eine Azure AD-Instanz erstellen und konfigurieren.
Verwalten Des Inventars von Administrativen Konten: Verwenden Sie integrierte Azure AD-Rollen, die abfragbar sind und explizit zugewiesen werden müssen. Verwenden Sie das Azure AD PowerShell-Modul, um Abfragen auszuführen und Konten zu ermitteln, die Mitglieder administrativer Gruppen mit Zugriff auf WAF-Ressourcen sind. Siehe Wie man eine Verzeichnisrolle in Azure AD mit PowerShell erhält.
Aktivieren Sie die mehrstufige Authentifizierung für den administrativen Zugriff: MFA für alle Benutzer mit Administratorzugriff auf WAF-Ressourcen erforderlich. Dies fügt eine entscheidende zusätzliche Sicherheitsebene hinzu, auch wenn Kennwörter kompromittiert werden. Folgen Sie den Empfehlungen für die Identitäts- und Zugriffsverwaltung von Microsoft Defender für Cloud. Informationen zum Aktivieren der mehrstufigen Authentifizierung in Azure.
Verwenden Sie dedizierte Administrative Konten mit Standardprozeduren: Erstellen Sie Standardbetriebsverfahren für die Verwendung dedizierter Verwaltungskonten, die Zugriff auf Azure WAF-Instanzen haben. Verwenden Sie die Identitäts- und Zugriffsverwaltungsfunktionen von Microsoft Defender für Cloud, um die Anzahl der Verwaltungskonten zu überwachen. Siehe Grundlagen von Microsoft Defender for Cloud – Identität und Zugriff.
Zugriff nur an genehmigten Speicherorten verwalten: Konfigurieren Sie Richtlinien für bedingten Zugriff mit benannten Speicherorten, um den Zugriff auf Ihre WAF-Ressourcen einzuschränken. Erstellen Sie logische Gruppierungen von IP-Adressbereichen oder Ländern und Regionen, und beschränken Sie den Zugriff auf vertrauliche Ressourcen auf Ihre konfigurierten benannten Speicherorte. Sehen Sie sich an, was die Standortbedingung im bedingten Zugriff in Azure Active Directory ist.
Überwachen und Benachrichtigen verdächtiger Kontoaktivitäten: Verwenden Sie Azure AD-Sicherheitsberichte und Microsoft Defender für Cloud, um Identitäts- und Zugriffsaktivitäten zu überwachen. Richten Sie Warnungen für verdächtige oder unsichere Aktivitäten ein und integrieren Sie sie in Microsoft Sentinel für die erweiterte Bedrohungserkennung. Erfahren Sie , wie Sie Azure AD-Benutzer identifizieren, die für riskante Aktivitäten gekennzeichnet sind.
Privilegierter Zugriff
Privilegierte Zugriffskontrollen für die Azure-Webanwendungs-Firewall konzentrieren sich auf die Begrenzung und Überwachung des administrativen Zugriffs auf Ihre WAF-Ressourcen. Diese Maßnahmen tragen dazu bei, nicht autorisierte Änderungen an Ihren Sicherheitskonfigurationen zu verhindern und sicherzustellen, dass privilegierte Vorgänge ordnungsgemäß nachverfolgt und überwacht werden.
Verwenden Sie Azure RBAC, um den Ressourcenzugriff zu steuern: Steuern des Zugriffs auf Ihre Azure WAF-Ressourcen mithilfe der rollenbasierten Zugriffssteuerung von Azure. Wenden Sie das Prinzip der geringsten Berechtigungen an, indem Sie nur die mindest erforderlichen Berechtigungen für Benutzer und Dienste zuweisen. Sehen Sie Wie Sie Azure RBAC in Azure konfigurieren können.
Verwenden Sie Privileged Access Workstations für administrative Aufgaben: Verwenden Sie dedizierte, gehärtete Arbeitsstationen mit mehrstufiger Authentifizierung, die für die Anmeldung und Konfiguration von Azure WAF und verwandten Ressourcen konfiguriert ist. Dies reduziert das Risiko einer administrativen Kompromittierung durch Standardbenutzerarbeitsstationen. Erfahren Sie mehr über Arbeitsplätze mit privilegiertem Zugriff.
Regelmäßige Überprüfung und Abstimmung des Benutzerzugriffs: Verwenden Sie Azure Identity Access Reviews, um Gruppenmitgliedschaften, Den Zugriff auf Unternehmensanwendungen und Rollenzuweisungen für WAF-Ressourcen effizient zu verwalten. Überprüfen Sie den Benutzerzugriff regelmäßig, um sicherzustellen, dass nur aktive Benutzer weiterhin Zugriff haben. Siehe Verwendungen von Azure Identity Access Reviews.
Überwachen Des Zugriffs auf deaktivierte Anmeldeinformationen: Integrieren von Azure AD-Anmeldeaktivitäten, -Überwachungs- und Risikoereignisprotokollquellen in Microsoft Sentinel oder andere SIEM-Tools. Erstellen Sie Diagnoseeinstellungen für Azure AD-Benutzerkonten, und senden Sie Überwachungs- und Anmeldeprotokolle an einen Log Analytics-Arbeitsbereich zur Überwachung. Erfahren Sie , wie Sie Azure-Aktivitätsprotokolle in Azure Monitor integrieren.
Konfigurieren Sie automatisierte Antworten auf verdächtige Aktivitäten: Verwenden Sie die Features "Risiko- und Identitätsschutz" von Azure AD, um automatisierte Antworten zu erkannten verdächtigen Aktionen im Zusammenhang mit Benutzeridentitäten zu konfigurieren. Aufnahme von Daten in Microsoft Sentinel zur weiteren Untersuchung und Reaktionsmaßnahmen. Erfahren Sie , wie Sie Identitätsschutz-Risikorichtlinien konfigurieren und aktivieren.
Protokollierung und Bedrohungserkennung
Umfassende Protokollierung und Bedrohungserkennung sind für die Aufrechterhaltung der Sichtbarkeit des Sicherheitsstatus Ihrer Webanwendungsfirewall unerlässlich. Diese Funktionen helfen Ihnen, Bedrohungen zu erkennen, Vorfälle zu untersuchen und Compliance aufrechtzuerhalten, indem Sie Sicherheitsereignisse in Ihrer WAF-Bereitstellung sammeln und analysieren.
Aktivieren Sie die zentralisierte Protokollverwaltung mit Microsoft Sentinel: Konfigurieren Sie Azure WAF-Protokolle, die an Microsoft Sentinel oder ein SIEM eines Drittanbieters gesendet werden sollen. Dazu gehören Azure-Aktivitätsprotokolle, Diagnoseprotokolle und Echtzeit-WAF-Protokolle, die Einblick in die Daten liefern, die Ihre WAF auswertet, abgleicht und blockiert. Siehe Verbinden von Daten aus der Microsoft-Webanwendungsfirewall mit Microsoft Sentinel.
Aktivieren Sie die umfassende Überwachungsprotokollierung: Aktivieren Sie die Protokollierung für Ihre Azure WAF-Ressourcen, um Überwachungs-, Sicherheits- und Diagnoseprotokolle zu erfassen. Azure WAF bietet detaillierte Berichte zu jeder erkannten Bedrohung über konfigurierte Diagnoseprotokolle, einschließlich Ereignisquelle, Datum, Benutzer, Zeitstempel und Adressen. Siehe Übersicht über die Protokollierung.
Konfigurieren von Aufbewahrungsrichtlinien für Protokollspeicher: Senden Sie Azure WAF-Protokolle an ein benutzerdefiniertes Speicherkonto, und definieren Sie Aufbewahrungsrichtlinien basierend auf den Complianceanforderungen Ihrer Organisation. Verwenden Sie Azure Monitor, um ihren Aufbewahrungszeitraum für Log Analytics-Arbeitsbereiche entsprechend festzulegen. Siehe Konfigurieren der Überwachung für ein Speicherkonto.
Überwachen und überprüfen Sie regelmäßig Protokolle: Überprüfen Sie WAF-Protokolle, die detaillierte Berichte zu den einzelnen erkannten Bedrohungen bereitstellen. Verwenden Sie die Empfehlungen von Microsoft Defender für Cloud, um ungeschützte Webanwendungen zu erkennen und anfällige Ressourcen zu schützen. Nutzen Sie die integrierte WAF-Arbeitsmappe von Microsoft Sentinel für die Übersicht über Sicherheitsereignisse. Siehe So aktivieren Sie Diagnoseeinstellungen für Azure Application Gateway.
Erstellen Sie Benachrichtigungen für anomale Aktivitäten: Aktivieren Sie die Diagnoseeinstellungen des Azure-Aktivitätsprotokolls und WAF-Diagnoseeinstellungen, und senden Sie Protokolle an einen Log Analytics-Arbeitsbereich. Erstellen Sie Warnungen für anomale Aktivitäten basierend auf WAF-Metriken, z. B. wenn blockierte Anforderungen definierte Schwellenwerte überschreiten. Siehe Erstellen von Warnungen in Azure.
Verwenden Sie genehmigte Zeitsynchronisierungsquellen: Erstellen Sie Netzwerkregeln für Azure WAF, um den Zugriff auf NTP-Server mit entsprechenden Ports und Protokollen zu ermöglichen, z. B. Port 123 über UDP, um genaue Zeitstempel in Ihren Protokollen und Ereignissen sicherzustellen.
Aktivieren Sie den Schutz vertraulicher Daten mit Protokollbereinigung: Konfigurieren Sie Protokollbereinigungsregeln, um vertrauliche Informationen wie Kennwörter, IP-Adressen und personenbezogene Daten aus Ihren WAF-Protokollen zu entfernen. Dadurch werden die Kundendaten geschützt, während gleichzeitig die Sicherheitsüberwachung beibehalten wird. Siehe Was ist Azure Web Application Firewall Sensitive Data Protection? und Azure Web Application Firewall Sensitive Data Protection.
Konfigurieren Sie Diagnoseeinstellungen für die umfassende Protokollierung: Aktivieren Sie Diagnoseeinstellungen in Ihren WAF-Ressourcen, um Protokolle in Log Analytics, Speicherkonto oder Event Hub zu speichern. Die regelmäßige Protokollüberprüfung hilft Ihnen, Ihre WAF-Richtlinien zu optimieren und Angriffsmuster für Ihre Anwendungen zu verstehen. Siehe Überwachung und Protokollierung der Azure-Webanwendungsfirewall.
Datenschutz
Der Datenschutz für die Azure Web Application Firewall umfasst die Sicherung vertraulicher Informationen, die von Ihrem WAF verarbeitet werden, die Implementierung einer ordnungsgemäßen Verschlüsselung und die Aufrechterhaltung geeigneter Zugriffskontrollen. Diese Maßnahmen tragen zum Schutz Ihrer Anwendungen und der Daten bei, die sie vor unbefugtem Zugriff und offenlegung behandeln.
Kategorisieren von Ressourcen, die vertrauliche Informationen verarbeiten: Verwenden Sie Tags, um Azure WAF und zugehörige Ressourcen zu identifizieren und nachzuverfolgen, die vertrauliche Informationen speichern oder verarbeiten. Dies hilft bei der Complianceberichterstattung und stellt sicher, dass geeignete Sicherheitskontrollen angewendet werden. Informationen zum Erstellen und Verwenden von Tags finden Sie unter "Erstellen und Verwenden von Tags".
Implementieren der Umgebungsisolation: Verwenden Sie separate Abonnements und Verwaltungsgruppen für verschiedene Sicherheitsdomänen wie Entwicklung, Test und Produktionsumgebungen. Dadurch werden umgebungsübergreifende Datenexposition verhindert und umgebungsspezifische Sicherheitskontrollen ermöglicht. Erfahren Sie , wie Sie zusätzliche Azure-Abonnements erstellen.
Sicherstellen der Verschlüsselung während der Übertragung: Stellen Sie sicher, dass Clients, die eine Verbindung mit Ihren Azure WAF-Instanzen und verwandten Ressourcen herstellen, TLS 1.2 oder höher aushandeln können. Befolgen Sie die Empfehlungen von Microsoft Defender for Cloud für die Verschlüsselung im Ruhezustand und während der Übertragung. Siehe Grundlegendes zur Verschlüsselung während der Übertragung mit Azure.
Verwenden Sie die Verschlüsselung im Ruhezustand für WAF-Ressourcen: Wenden Sie die Verschlüsselung im Ruhezustand auf alle Azure-Ressourcen an, einschließlich Azure WAF und zugehöriger Ressourcen. Microsoft empfiehlt, Azure das Verwalten von Verschlüsselungsschlüsseln zu gestatten, Aber Sie können Ihre eigenen Schlüssel verwalten, wenn bestimmte Anforderungen vorhanden sind. Siehe Grundlegendes zur Ruhezustandsverschlüsselung in Azure.
Überwachen Sie Änderungen an kritischen Ressourcen: Konfigurieren Sie Ihre Azure WAF so, dass sie nach dem Einrichten von Basisplanen im Verhinderungsmodus ausgeführt wird, und verwenden Sie Azure Monitor, um Warnungen zu erstellen, wenn Änderungen an wichtigen WAF-Ressourcen oder -Konfigurationen auftreten. Siehe WAF-Modi im Anwendungsgateway.
Aktivieren sie die Anforderungsstellenüberprüfung: Konfigurieren Sie WAF-Richtlinien, um HTTP-Anforderungsstellen zu prüfen, nicht nur Header, Cookies und URIs. Auf diese Weise kann das WAF Bedrohungen erkennen, die in POST-Daten und JSON-Nutzlasten verborgen sind. Siehe Azure-Webanwendungsfirewall und Azure-Richtlinie.
Verwenden Sie vom Kunden verwaltete Schlüssel für die erweiterte Verschlüsselung: Erwägen Sie die Verwendung von vom Kunden verwalteten Schlüsseln, die in Azure Key Vault gespeichert sind, für Verschlüsselungsanforderungen, die plattformverwaltete Schlüssel überschreiten. Dies bietet zusätzliche Kontrolle über den Lebenszyklus und den Zugriff auf Verschlüsselungsschlüssel. Siehe Informationen zum Konfigurieren von vom Kunden verwalteten Verschlüsselungsschlüsseln.
Vermögensverwaltung
Effektive Ressourcenverwaltung hilft Ihnen dabei, Die Sichtbarkeit und Kontrolle über Ihre Webanwendungsfirewallressourcen zu gewährleisten. Dazu gehören automatisierte Erkennung, korrekte Verschlagwortung, regelmäßiger Bestandsabgleich und die Durchsetzung von Richtlinien, um sicherzustellen, dass Ihre WAF-Bereitstellung sicher und konform bleibt.
Verwenden Sie die automatisierte Ressourcenermittlung: Verwenden Sie Azure Resource Graph, um alle WAF-bezogenen Ressourcen wie Compute, Speicher, Netzwerk, Ports und Protokolle in Ihren Abonnements abzufragen und zu ermitteln. Stellen Sie sicher, dass Sie über entsprechende Leseberechtigungen verfügen und alle Azure-Abonnements und -Ressourcen auflisten können. Siehe Erstellen von Abfragen mit Azure Resource Graph.
Verwalten Von Bestandsmetadaten mit Tags: Anwenden von Tags auf Azure WAF-Richtlinien und zugehörige Ressourcen, um Den Zugriff und die Verwaltung logisch zu organisieren. Tags können Ressourcen zugeordnet und angewendet werden, um den Zugriff auf diese Ressourcen in Ihrem Abonnement zu organisieren. Informationen zum Erstellen und Verwenden von Tags finden Sie unter "Erstellen und Verwenden von Tags".
Organisieren und nachverfolgen Sie Ressourcen systematisch: Verwenden Sie Tagging, Verwaltungsgruppen und separate Abonnements, um Azure WAF und zugehörige Ressourcen zu organisieren und nachzuverfolgen. Stimmen Sie das Inventar regelmäßig ab und stellen Sie sicher, dass nicht autorisierte Ressourcen zeitnah aus Abonnements gelöscht werden. Informationen zum Erstellen von Verwaltungsgruppen finden Sie unter
Definieren und Verwalten des genehmigten Ressourceninventars: Erstellen Sie ein Inventar genehmigter Ressourcen, einschließlich deren Konfigurationen, basierend auf den Anforderungen der Organisation. Verwenden Sie Azure-Richtlinie, um die Arten von Ressourcen einzuschränken, die in Ihren Abonnements erstellt werden können, und stellen Sie sicher, dass alle vorhandenen Ressourcen genehmigt werden. Informationen zum Konfigurieren und Verwalten von Azure-Richtlinien finden Sie unter "Konfigurieren und Verwalten von Azure-Richtlinien".
Überwachen Sie auf nicht genehmigte Ressourcen: Verwenden Sie Azure-Richtlinie, um Einschränkungen für Ressourcentypen zu setzen und auf nicht genehmigte Azure WAF-Ressourcen in Ihren Abonnements zu überwachen. Verwenden Sie Azure Resource Graph, um Ressourcen abzufragen und zu ermitteln, um sicherzustellen, dass alle Azure WAF- und zugehörigen Ressourcen in Ihrer Umgebung genehmigt werden. Siehe Wie man Abfragen mit Azure Graph erstellt.
Einschränken des Zugriffs auf Azure Resource Manager: Verwenden Sie den bedingten Azure-Zugriff, um die Interaktion von Benutzern mit Azure Resource Manager zu beschränken, indem Sie "Zugriff blockieren" für die "Microsoft Azure Management"-App konfigurieren. Dadurch können nicht autorisierte Änderungen an Ihren WAF-Ressourcen verhindert werden. Siehe Konfiguration des bedingten Zugriffs, um den Zugriff auf den Azure Resource Manager zu blockieren.
Richtlinieneinhaltung und Governance
Richtlinienkonformität und -Governance stellen sicher, dass die Bereitstellungen der Web Application Firewall die Standards und behördlichen Anforderungen der Organisation erfüllen. Diese Steuerelemente tragen dazu bei, konsistente Sicherheitskonfigurationen in Ihrer Gesamten Umgebung aufrechtzuerhalten und eine automatisierte Complianceüberwachung und -durchsetzung bereitzustellen.
Verwenden Sie Azure-Richtlinie zum Erzwingen der WAF-Bereitstellung: Implementieren Sie Azure-Richtliniendefinitionen, um die WAF-Bereitstellung auf Azure Front Door- und Anwendungsgatewayressourcen zu erfordern. Konfigurieren Sie Richtlinien zum Überwachen, Verweigern oder automatischen Beheben nicht konformer Ressourcen. Siehe Azure-Webanwendungsfirewall und Azure-Richtlinie.
Einhaltung des WAF-Modus: Verwenden Sie Azure Policy, um zu erzwingen, dass alle WAF-Richtlinien nach der anfänglichen Optimierung im Präventionsmodus ausgeführt werden. Dadurch wird ein konsistenter Schutz in Ihrer Gesamten Umgebung gewährleistet und die versehentliche Bereitstellung von WAFs im Modus "Nur Erkennung" verhindert. Siehe Azure-Webanwendungsfirewall und Azure-Richtlinie.
Einhaltung der Ressourcenprotokollierung erforderlich: Implementieren Sie Richtlinien, die die Aktivierung von Ressourcenprotokollen und Metriken für alle WAF-fähigen Dienste erfordern. Dadurch wird eine konsistente Protokollierung für Sicherheitsüberwachungs- und Complianceanforderungen in Ihrer Organisation sichergestellt. Siehe Azure-Webanwendungsfirewall und Azure-Richtlinie.
Erzwingen der Premium-Stufe für erhöhte Sicherheit: Verwenden Sie Azure-Richtlinie, um die Azure Front Door Premium-Stufe für alle Profile zu erfordern, um den Zugriff auf erweiterte WAF-Features wie verwaltete Regelsätze, Bot-Schutz und private Linkfunktionen sicherzustellen. Siehe Azure-Webanwendungsfirewall und Azure-Richtlinie.
Definieren Sie DIE WAF-Konfiguration als Code: Implementieren Sie Infrastruktur als Codepraktiken mithilfe von ARM-Vorlagen, Bicep oder Terraform, um konsistente WAF-Konfigurationen in allen Umgebungen aufrechtzuerhalten. Dieser Ansatz vereinfacht die Regelausschlussverwaltung und reduziert die Konfigurationsabweichung. Siehe bewährte Methoden für die Azure Web Application Firewall in Azure Front Door.
Implementieren Sie automatisierte Complianceüberwachung: Verwenden Sie Microsoft Defender für Cloud und Azure-Richtlinie, um die WAF-Compliance kontinuierlich zu überwachen und Empfehlungen für nicht geschützte Webanwendungen zu erhalten. Konfigurieren Sie automatisierte Warnungen für Richtlinienverletzungen und Complianceabweichungen. Siehe Azure-Webanwendungsfirewall und Azure-Richtlinie.