Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Web Application Firewall en Application Gateway protege las aplicaciones web frente a explotaciones y vulnerabilidades comunes. Las siguientes recomendaciones le ayudan a comprobar que WAF está configurado y supervisado correctamente.
Para obtener un resumen de todas las recomendaciones de confianza cero de seguridad de red de Azure, consulte Recomendaciones de confianza cero de seguridad de red de Azure.
Recomendaciones
Application Gateway WAF está habilitado en modo de prevención
El firewall de aplicaciones web (WAF) de Azure Application Gateway protege las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de código SQL, el scripting entre sitios y otras amenazas de Open Worldwide Application Security Project (OWASP) Top 10. WAF funciona en dos modos: el modo de detección evalúa las solicitudes entrantes y registra las coincidencias, pero no bloquea el tráfico, mientras que el modo de prevención evalúa las solicitudes y bloquea activamente las solicitudes malintencionadas que infringen las reglas de WAF. La ejecución de WAF en modo de prevención es fundamental para proteger activamente las aplicaciones frente a ataques web comunes. Si WAF está en modo de detección, el tráfico malintencionado solo se registra y no se impide, dejando las aplicaciones expuestas a la explotación.
Acción de corrección
- Configuración de WAF en Azure Application Gateway
- Creación y administración de directivas waf para Application Gateway
La inspección del cuerpo de la solicitud está habilitada en WAF de Application Gateway
Azure Application Gateway Web Application Firewall (WAF) proporciona protección centralizada para las aplicaciones web frente a exploits y vulnerabilidades comunes a nivel regional. La inspección del cuerpo de la solicitud permite al WAF analizar los cuerpos de solicitud HTTP POST, PUT y PATCH para patrones malintencionados, como inyección de código SQL, scripting entre sitios y cargas de inyección de comandos. Cuando la inspección del cuerpo de la solicitud está deshabilitada, los actores de amenazas pueden insertar contenido malintencionado dentro de envíos de formularios, llamadas API o cargas de archivos que omiten toda la evaluación de reglas de WAF. Esto crea un camino directo a la vulneración en el que los atacantes obtienen acceso inicial a través de puntos de conexión no protegidos, ejecutan comandos arbitrarios en bases de datos de back-end, filtran datos confidenciales y cambian a sistemas internos. Los conjuntos de reglas administradas de WAF, incluido el conjunto de reglas básicas de OWASP (Open Worldwide Application Security Project) y las reglas del administrador de bots de Microsoft, no pueden evaluar las amenazas que no pueden ver, lo que hace que estas protecciones sean ineficaces frente a vectores de ataque comunes basados en el cuerpo de las solicitudes.
Acción de corrección
- Introducción a Azure Web Application Firewall en Azure Application Gateway
- Crear directivas de firewall de aplicaciones web para Application Gateway, incluyendo la configuración de inspección del cuerpo de la solicitud
- Preguntas más frecuentes sobre WAF de Application Gateway y procedimientos recomendados de optimización
El conjunto de reglas predeterminado está habilitado en el Application Gateway WAF
Azure Application Gateway Web Application Firewall (WAF) proporciona protección centralizada para las aplicaciones web a través de conjuntos de reglas administrados que contienen firmas de detección preconfiguradas para patrones de ataque conocidos. El conjunto de reglas predeterminado de Microsoft y el conjunto de reglas principales del Open Worldwide Application Security Project (OWASP) son conjuntos de reglas administradas que se actualizan continuamente y que protegen contra las vulnerabilidades web más comunes y peligrosas sin necesidad de tener experiencia en seguridad para su configuración. Cuando no hay ningún conjunto de reglas administrado habilitado, la directiva WAF no proporciona protección contra patrones de ataque conocidos, actuando eficazmente como un canal de paso a pesar de implementarse. Los actores de amenazas examinan rutinariamente las aplicaciones web desprotegidas y aprovechan vulnerabilidades bien documentadas mediante los kits de herramientas automatizados. Sin reglas administradas, los atacantes pueden aprovechar vulnerabilidades comunes, como la inyección de código SQL, el scripting entre sitios y la inyección de comandos en servidores back-end.
Acción de corrección
- Introducción a Azure Web Application Firewall en Azure Application Gateway , incluidos los conjuntos de reglas administradas
- Grupos de reglas y reglas CRS del Firewall de aplicaciones web
- Creación de directivas de Firewall de aplicaciones web para Application Gateway con conjuntos de reglas administrados
El conjunto de reglas de protección de bots está habilitado y asignado en WAF de Application Gateway
Azure Application Gateway Web Application Firewall (WAF) proporciona protección contra bots a través del conjunto de reglas de Microsoft Bot Manager, que identifica y clasifica el tráfico automatizado en función de patrones de comportamiento, firmas de bot conocidas y reputación de IP. Sin la protección contra bots habilitada, los actores de amenazas pueden aprovechar herramientas automatizadas para ataques de relleno de credenciales, extracción de contenido, acaparamiento de inventario y ataques de denegación de servicio a nivel de aplicación que no serían prácticos manualmente. Estos ataques suelen originarse en redes de botnet distribuidas que giran direcciones IP para eludir la limitación de velocidad simple, lo que hace esencial la detección de bots basada en firmas. El conjunto de reglas de Bot Manager clasifica los bots en bots correctos conocidos, bots incorrectos conocidos y bots desconocidos, lo que permite aplicar directivas pormenorizadas. Sin esta clasificación, el tráfico de bots malintencionado se combina con solicitudes legítimas, el consumo de recursos de la aplicación y la habilitación del fraude.
Acción de corrección
- Introducción a AZURE WAF en Azure Application Gateway
- Configuración de la protección de bots para WAF en Azure Application Gateway
- Introducción a la protección contra bots de WAF
El conjunto de reglas de protección contra DDoS HTTP está habilitado en WAF de Application Gateway
Azure Application Gateway Web Application Firewall (WAF) proporciona protección contra denegación de servicio distribuido HTTP (DDoS) a través del conjunto de reglas de DDoS HTTP de Microsoft, que detecta y mitiga los ataques basados en HTTP volumétricos en el nivel de aplicación. A diferencia de los ataques DDoS de capa de red que tienen como destino el ancho de banda, los ataques DDoS basados en HTTP aprovechan la capa de aplicación enviando solicitudes HTTP aparentemente legítimas a grandes volúmenes para agotar los recursos del servidor, las conexiones de base de datos y los subprocesos de aplicación. Sin la protección DDoS HTTP habilitada, los actores malintencionados pueden ejecutar ataques de inundación HTTP que sobrecargan los servidores de back-end, ataques slowloris que mantienen abiertas las conexiones para agotar los grupos de conexiones, y patrones de solicitud de alta frecuencia diseñados para desencadenar operaciones que requieren muchos recursos. El conjunto de reglas de DDoS HTTP contiene grupos de reglas que detectan tasas de solicitud anómalos en función de los niveles de confidencialidad configurables y pueden bloquear, registrar o redirigir el tráfico malintencionado antes de que afecte a los servidores de aplicaciones back-end.
Acción de corrección
- Introducción a Azure Web Application Firewall en Azure Application Gateway , incluidos los conjuntos de reglas de protección contra DDoS
- Grupos de reglas y reglas de CRS del firewall de aplicaciones web , incluidas las reglas de DDoS HTTP
- Creación de directivas de Firewall de aplicaciones web para Application Gateway con conjuntos de reglas administrados
- Introducción a Azure DDoS Protection
La limitación de velocidad está habilitada en WAF de Application Gateway
Azure Application Gateway Web Application Firewall (WAF) admite la limitación de velocidad a través de reglas personalizadas que restringen el número de solicitudes que los clientes pueden realizar dentro de un período de tiempo especificado. La limitación de velocidad protege las aplicaciones frente a ataques por fuerza bruta, relleno de credenciales, abuso de API y ataques por denegación de servicio de capa de aplicación que inundan los puntos de conexión con solicitudes excesivas. Sin la limitación de velocidad configurada, los actores de amenazas pueden intentar miles de combinaciones de contraseñas por minuto en los puntos de conexión de autenticación, probar credenciales robadas a escala, extraer grandes volúmenes de datos y sobrecargar la capacidad del servidor. Las reglas de limitación de velocidad permiten a los administradores definir umbrales basados en el recuento de solicitudes por minuto y realizar un seguimiento de clientes individuales por dirección IP. Cuando un cliente supera el umbral configurado, waf puede bloquear las solicitudes posteriores, registrar la infracción o redirigir a una página personalizada.
Acción de corrección
- Introducción a Azure Web Application Firewall en Azure Application Gateway , incluidas las reglas personalizadas
- Creación y uso de reglas personalizadas de Web Application Firewall v2 en Application Gateway , incluida la limitación de velocidad
- Introducción a las reglas personalizadas de Firewall de aplicaciones web , incluido el tipo RateLimitRule
- Limitación de velocidad en el Application Gateway WAF
El desafío de JavaScript está habilitado en WAF de Application Gateway
Web Application Firewall (WAF) de Azure Application Gateway admite el desafío de JavaScript (actualmente en versión preliminar) como mecanismo de defensa frente a bots automatizados y exploradores desatendidos. Cuando una solicitud desencadena un desafío, waf sirve un fragmento de código de JavaScript que el explorador cliente debe ejecutar para obtener una cookie de desafío válida, lo que demuestra que la solicitud se origina desde un explorador real en lugar de un simple cliente HTTP o bot. Los clientes que ejecutan correctamente el desafío continúan normalmente hasta que expira la cookie, mientras que los bots y las herramientas automatizadas que no pueden ejecutar JavaScript están bloqueados. Este mecanismo es eficaz para los bots de relleno de credenciales, los recolectores web y los bots de denegación de servicio distribuido de capa de aplicación (DDoS) que usan bibliotecas HTTP sencillas sin motores de JavaScript. El desafío de JavaScript proporciona un punto intermedio entre permitir todo el tráfico y bloquear los bots sospechosos directamente, comprobando la funcionalidad del explorador sin necesidad de interacción del usuario como CAPTCHA.
Acción de corrección
- Introducción a AZURE WAF en Azure Application Gateway
- Creación y uso de reglas personalizadas de WAF v2 en Application Gateway
- Introducción a las reglas personalizadas de WAF
- Introducción a la protección de bots para WAF de Application Gateway
El registro de diagnóstico está habilitado en el WAF de Application Gateway
Web Application Firewall (WAF) de Azure Application Gateway protege las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de SQL, el scripting entre sitios y los 10 ataques principales de OWASP (Open Worldwide Application Security Project). Cuando el registro de diagnóstico no está habilitado, los equipos de seguridad pierden visibilidad de ataques bloqueados, coincidencias de reglas, patrones de acceso y eventos de firewall. Sin registro, las vulnerabilidades de seguridad no se detectan y los respondedores de incidentes no pueden correlacionar eventos waf con otros datos de telemetría o construir escalas de tiempo de ataque. Waf de Application Gateway proporciona varias categorías de registro, como registros de acceso, registros de rendimiento y registros de firewall que se deben enrutar a Log Analytics, una cuenta de almacenamiento o un centro de eventos para la supervisión de la seguridad.
Acción de corrección
- Creación de un área de trabajo de Log Analytics
- Crear configuraciones de diagnóstico en Azure Monitor
- Métricas y registros de WAF de Application Gateway
- Supervisión de Azure Application Gateway
- Libros de Azure Monitor