Recomendaciones de confianza cero para WAF de Azure Front Door

El firewall de aplicaciones web de Azure en Front Door protege las aplicaciones web en el borde de la red frente a exploits y vulnerabilidades comunes. Las siguientes recomendaciones le ayudan a comprobar que WAF está configurado y supervisado correctamente.

Para obtener un resumen de todas las recomendaciones de confianza cero de seguridad de red de Azure, consulte Recomendaciones de confianza cero de seguridad de red de Azure.

Recomendaciones

El WAF de Azure Front Door está habilitado en modo de prevención

Web Application Firewall (WAF) de Azure Front Door protege las aplicaciones web frente a vulnerabilidades de seguridad comunes, como la inyección de código SQL, el scripting entre sitios y las 10 amenazas principales de OWASP (Open Worldwide Application Security Project) en el perímetro de la red. WAF funciona en dos modos: el modo de detección evalúa las solicitudes entrantes y registra las coincidencias, pero no bloquea el tráfico, mientras que el modo de prevención evalúa las solicitudes y bloquea activamente las solicitudes malintencionadas que infringen las reglas de WAF. La ejecución de WAF en modo de prevención es fundamental para proteger activamente las aplicaciones frente a ataques web comunes. Si WAF está en modo de detección, el tráfico malintencionado solo se registra y no se impide, dejando las aplicaciones expuestas a la explotación.

Acción de corrección

La inspección del cuerpo de las solicitudes está habilitada en WAF con Azure Front Door.

Azure Front Door Web Application Firewall (WAF) proporciona protección centralizada para las aplicaciones web frente a exploits y vulnerabilidades comunes. La inspección del cuerpo de la solicitud permite al WAF analizar los cuerpos de solicitud HTTP POST, PUT y PATCH para patrones malintencionados, como inyección de código SQL, scripting entre sitios y cargas de inyección de comandos. Cuando la inspección del cuerpo de la solicitud está deshabilitada, los actores de amenazas pueden insertar contenido malintencionado dentro de envíos de formularios, llamadas API o cargas de archivos que omiten toda la evaluación de reglas de WAF. Esto crea un camino directo a la vulneración en el que los atacantes obtienen acceso inicial a través de puntos de conexión no protegidos, ejecutan comandos arbitrarios en bases de datos de back-end, filtran datos confidenciales y cambian a sistemas internos. Los conjuntos de reglas administradas de WAF, incluido el conjunto de reglas básicas de OWASP (Open Worldwide Application Security Project) y las reglas basadas en inteligencia sobre amenazas de Microsoft, no pueden evaluar las amenazas que no pueden ver, lo que hace que estas protecciones sean ineficaces frente a vectores de ataque comunes basados en el cuerpo.

Acción de corrección

El conjunto de reglas predeterminado se asigna en Azure Front Door WAF

Azure Front Door Web Application Firewall (WAF) proporciona protección basada en el perímetro para aplicaciones web distribuidas globalmente a través de conjuntos de reglas administradas que contienen firmas de detección preconfiguradas para patrones de ataque conocidos. El conjunto de reglas predeterminados de Microsoft es un conjunto de reglas administrado actualizado continuamente que protege contra las vulnerabilidades web más comunes y peligrosas sin necesidad de experiencia en seguridad para configurar. Cuando no hay ningún conjunto de reglas administrado habilitado, la directiva waf no proporciona protección contra patrones de ataque conocidos, funcionando eficazmente como un paso a través. Los actores de amenazas examinan rutinariamente las aplicaciones no protegidas y aprovechan vulnerabilidades documentadas mediante los kits de herramientas automatizados para ejecutar la inyección de código SQL, el scripting entre sitios, la inclusión de archivos local y los ataques de inyección de comandos. Los conjuntos de reglas administradas detectan y bloquean estos ataques en el perímetro antes de que el tráfico malintencionado llegue a los servidores de origen.

Acción de corrección

El conjunto de reglas de protección de bots está habilitado y asignado en Azure Front Door WAF.

Azure Front Door Web Application Firewall (WAF) proporciona protección contra bots a través del conjunto de reglas de Bot Manager, disponible exclusivamente en la SKU Premium, que identifica y clasifica el tráfico automatizado en la red perimetral global. Sin la protección contra bots, los actores de amenazas pueden implementar ataques automatizados, como la inserción masiva de credenciales, la extracción web, el acaparamiento de inventario y los ataques de denegación de servicio distribuido en la capa de aplicación (DDoS). El conjunto de reglas de Bot Manager clasifica los bots en bots correctos conocidos, bots incorrectos conocidos y bots desconocidos, lo que permite a los equipos de seguridad configurar las acciones adecuadas para cada categoría. Los bots maliciosos se pueden bloquear o desafiar con CAPTCHA, mientras que se permiten bots legítimos como los rastreadores de motores de búsqueda. Sin la protección de bots, las organizaciones carecen de visibilidad sobre los patrones de tráfico de bots y no pueden distinguir entre usuarios humanos y clientes automatizados.

Acción de corrección

La limitación de velocidad está habilitada en WAF de Azure Front Door

Azure Front Door Web Application Firewall (WAF) admite la limitación de velocidad a través de reglas personalizadas que restringen el número de solicitudes que los clientes pueden realizar dentro de un período de tiempo especificado a través de la red perimetral global. Sin limitación de velocidad, los actores de amenazas pueden ejecutar ataques por fuerza bruta contra puntos de conexión de autenticación, relleno de credenciales a escala, abuso de API que extrae datos o consume recursos de back-end y ataques por denegación de servicio de capa de aplicación que inundan los puntos de conexión. Las reglas de limitación de velocidad permiten a los administradores definir umbrales basados en el recuento de solicitudes por minuto con la capacidad de agrupar las solicitudes por dirección IP del cliente. Cuando un cliente supera el umbral configurado, WAF puede bloquear las solicitudes posteriores, las infracciones de registro, emitir desafíos capTCHA o redirigir a una página personalizada. La limitación de velocidad en el perímetro global garantiza que se bloquee el tráfico malintencionado antes de llegar a los servidores de origen.

Acción de corrección

El método de validación de JavaScript está habilitado en WAF de Azure Front Door

Web Application Firewall (WAF) de Azure Front Door admite el desafío de JavaScript como mecanismo de defensa contra bots automatizados y exploradores desatendidos en la red perimetral global. Cuando una solicitud desencadena un desafío, waf sirve un fragmento de código de JavaScript que el explorador cliente debe ejecutar para obtener una cookie de desafío válida, lo que demuestra que la solicitud se origina desde un explorador real en lugar de un simple cliente HTTP o bot. Los clientes que ejecutan correctamente el desafío continúan normalmente hasta que expira la cookie, mientras que los bots y las herramientas automatizadas que no pueden ejecutar JavaScript se bloquean en el perímetro antes de que el tráfico llegue a los servidores de origen. Este mecanismo es eficaz para los bots de relleno de credenciales, los recolectores web y los bots de denegación de servicio distribuido (DDoS) mediante bibliotecas HTTP simples. El desafío de JavaScript comprueba la funcionalidad del explorador sin necesidad de interacción del usuario como CAPTCHA, lo que proporciona un medio entre permitir todo el tráfico y bloquear los bots sospechosos directamente.

Acción de corrección

El reto CAPTCHA está habilitado en Azure Front Door WAF

Azure Front Door Web Application Firewall (WAF) admite el desafío CAPTCHA como mecanismo de defensa frente a bots sofisticados y herramientas automatizadas en toda la red perimetral global. CAPTCHA presenta a los usuarios un rompecabezas visual o de audio que requiere capacidad cognitiva humana para resolver, lo que demuestra que la solicitud se origina de un humano real en lugar de un bot. Los usuarios que completan correctamente el CAPTCHA reciben una cookie de desafío que permite el acceso normal hasta la expiración, mientras que los bots que no pueden resolver el rompecabezas se bloquean en el borde. CAPTCHA es más eficaz que el desafío de JavaScript contra bots avanzados que utilizan exploradores desatendidos con compatibilidad completa con JavaScript, ya que requiere cognición humana. Al configurar reglas personalizadas con la acción de desafío CAPTCHA, las organizaciones pueden proteger puntos de conexión altamente confidenciales, como páginas de inicio de sesión, formularios de registro y páginas de pago frente al abuso automatizado.

Acción de corrección

El registro de diagnóstico está habilitado en Azure Front Door WAF

Azure Front Door Web Application Firewall (WAF) protege las aplicaciones web frente a vulnerabilidades comunes, como la inyección de código SQL, el scripting entre sitios y las 10 principales amenazas del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP), en el perímetro de la red, antes de que el tráfico malintencionado llegue a los servidores de origen. Cuando el registro de diagnóstico no está habilitado, los equipos de seguridad tienen una visibilidad menor de los ataques bloqueados, las coincidencias de reglas, los patrones de acceso y los eventos WAF en el perímetro. Sin registro, los actores de amenazas que intentan aprovechar vulnerabilidades no se detectan y los respondedores de incidentes no pueden construir escalas de tiempo de ataque. WAF de Azure Front Door proporciona los registros de acceso y los registros de WAF que se deben enrutar a Log Analytics, una cuenta de almacenamiento o un centro de eventos para la supervisión de la seguridad y el análisis forense.

Acción de corrección

Contenido relacionado

  • Last updated on