Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Azure Web Application Firewall offre una protezione centralizzata delle applicazioni Web da exploit e vulnerabilità comuni. Tutte le funzionalità di Azure Web Application Firewall esistono all'interno di una politica, a cui è possibile fare riferimento nelle regole di routing basate sul percorso o nei listener, all'interno della configurazione YAML dell'API Gateway.
Implementazione di Gateway applicativo per contenitori
Criteri di sicurezza
Il gateway applicazione per contenitori introduce una nuova risorsa figlia denominata SecurityPolicy in Azure Resource Manager. La risorsa SecurityPolicy definisce l'ambito dei criteri del Firewall delle applicazioni Web di Azure a cui il controller ALB può fare riferimento.
Risorsa personalizzata Kubernetes
Il Gateway applicativo per contenitori introduce una nuova risorsa personalizzata denominata WebApplicationFirewallPolicy. La risorsa personalizzata è responsabile della definizione di quale criterio di Azure Web Application Firewall dovrebbe essere utilizzato a quale livello.
La risorsa WebApplicationFirewallPolicy può fare riferimento alle risorse Kubernetes seguenti:
GatewayHTTPRoute
La risorsa WebApplicationFirewallPolicy può anche fare riferimento alle sezioni seguenti per nome per maggiore granularità:
-
Gateway:Listener
Implementazioni di esempio
Definire l'ambito di un criterio per una risorsa gateway
Ecco un esempio di configurazione YAML che mostra come destinazione una risorsa gateway, che si applica a tutti i listener in una determinata risorsa front-end di Gateway applicativo per contenitori.
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: Gateway
name: contoso-waf-route
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
Definire l'ambito del criterio per un listener specifico di una risorsa gateway
All'interno di una risorsa Gateway possono essere presenti nomi host diversi definiti da listener diversi, ad esempio contoso.com e fabrikam.com. Se contoso.com è un nome host del listenerA e fabrikam.com è un nome host del listenerB, è possibile definire la proprietà sectionNames per selezionare il listener appropriato, ad esempio listenerA per contoso.com.
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: Gateway
name: contoso-waf-route
namespace: test-infra
sectionNames: ["contoso-listener"]
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
Definire l'ambito del criterio in tutte le route e i percorsi
Questo esempio spiega come impostare come destinazione una risorsa HTTPRoute definita per applicare il criterio a qualsiasi regola di gestione e percorso all'interno di una determinata risorsa HTTPRoute.
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: HTTPRoute
name: contoso-pathA
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
Definire l'ambito del criterio per un percorso specifico
Per usare criteri WAF diversi per percorsi diversi dello stesso sectionName di Gateway o del gateway - listener >, è possibile definire due risorse HTTPRoute, ognuna con un percorso univoco, a cui fa riferimento il criterio WAF applicabile.
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy-A
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: HTTPRoute
name: contoso-pathA
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-0
---
apiVersion: alb.networking.azure.io/v1
kind: WebApplicationFirewallPolicy
metadata:
name: sample-waf-policy-B
namespace: test-infra
spec:
targetRef:
group: gateway.networking.k8s.io
kind: HTTPRoute
name: contoso-pathB
namespace: test-infra
webApplicationFirewall:
id: /subscriptions/.../Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies/waf-policy-1
Limitazioni
Le funzionalità seguenti non sono supportate in un criterio di Azure Web Application Firewall associato all'Application Gateway per i contenitori.
- Criteri tra aree e sottoscrizioni: i criteri WAF devono trovarsi nella stessa sottoscrizione e nella stessa area della risorsa Gateway applicativo per contenitori.
- Set di Regole Core (CRS) gestite: un gateway applicazione per container WAF supporta solo il set di regole predefinito (DRS) 2.1 gestito.
- Set di regole legacy di Bot Manager: il set di regole di Bot Manager 0.1 non è supportato, ma sono supportate le versioni del set di regole di Bot Manager 1.0 e 1.1.
- Azioni di verifica JavaScript sulle regole di Bot Manager: non è possibile impostare l'azione su una regola di Bot Manager per la verifica JavaScript.
- Azioni di verifica Captcha sulle regole di Bot Manager: non è possibile impostare l'azione di una regola di Bot Manager su Captcha.
- Microsoft Security Copilot: Il Copilot di Sicurezza non è supportato su Application Gateway per contenitori WAF.
- Risposta blocco personalizzata: l'impostazione di una risposta di blocco personalizzata nei criteri WAF non è supportata nell'Application Gateway per Contenitori WAF.
- X-Forwarded-For Header (XFF): il gateway applicazione per contenitori WAF non supporta la variabile XFF nelle regole personalizzate..
- Set di regole DDoS HTTP: questo set di regole gestito non è attualmente supportato nel gateway applicazione per contenitori.
Pricing
Per informazioni dettagliate sui prezzi, vedere Informazioni sui prezzi per il Gateway delle Applicazioni per contenitori.