Condividi tramite

Raccomandazioni Zero Trust per WAF del Gateway delle Applicazioni

Il firewall per applicazioni web di Azure su Application Gateway protegge le applicazioni web da exploit e vulnerabilità comuni. Le raccomandazioni seguenti consentono di verificare che WAF sia configurato e monitorato correttamente.

Per un riepilogo di tutte le raccomandazioni sulla sicurezza di rete di Azure Zero Trust, vedere Raccomandazioni sulla sicurezza di rete di Azure Zero Trust.

Raccomandazioni

Application Gateway WAF è abilitato in modalità di prevenzione

Il Web Application Firewall (WAF) di Azure Application Gateway protegge le applicazioni web da exploit e vulnerabilità comuni, come SQL injection, cross-site scripting e altre minacce della Top 10 OWASP (Open Worldwide Application Security Project). WAF opera in due modalità: la modalità di rilevamento valuta le corrispondenze tra richieste e log in ingresso, ma non blocca il traffico, mentre la modalità prevenzione valuta le richieste e blocca attivamente le richieste dannose che violano le regole WAF. L'esecuzione di WAF in modalità prevenzione è fondamentale per proteggere attivamente le applicazioni da attacchi Web comuni. Se WAF è in modalità di rilevamento, il traffico dannoso viene registrato solo e non impedito, lasciando le applicazioni esposte allo sfruttamento.

Azione di correzione

L'ispezione del corpo della richiesta è abilitata nel WAF del gateway applicazione.

Firewall per applicazioni web (WAF) del Gateway Applicazione di Azure offre una protezione centralizzata per le applicazioni web contro exploit e vulnerabilità comuni a livello regionale. L'ispezione del corpo della richiesta consente al WAF di analizzare i corpi delle richieste HTTP POST, PUT e PATCH per modelli dannosi, tra cui injection SQL, cross-site scripting e inserimento di comandi tramite payload. Quando l'ispezione del corpo della richiesta è disabilitata, gli attori delle minacce possono incorporare contenuto dannoso all'interno di invii di moduli, chiamate API o caricamenti di file che ignorano tutta la valutazione delle regole WAF. In questo modo viene creato un percorso diretto allo sfruttamento in cui gli utenti malintenzionati ottengono l'accesso iniziale tramite endpoint non protetti, eseguono comandi arbitrari nei database back-end, esfiltrano i dati sensibili e pivot nei sistemi interni. I set di regole gestite di WAF, tra cui Open Worldwide Application Security Project (OWASP) Core Rule Set e le regole di Microsoft Bot Manager, non possono valutare le minacce che non possono vedere, rendendo inefficaci queste protezioni contro vettori di attacco comuni basati sul corpo.

Azione di correzione

Il set di regole predefinito è abilitato nel gateway applicativo WAF.

Web Application Firewall (WAF) del gateway applicazione di Azure offre una protezione centralizzata per le applicazioni Web tramite set di regole gestite contenenti firme di rilevamento preconfigurate per modelli di attacco noti. Il set di regole predefinito Microsoft e il set di regole di base OWASP (Open Worldwide Application Security Project) vengono aggiornati continuamente set di regole gestite che proteggono dalle vulnerabilità Web più comuni e pericolose senza richiedere competenze di sicurezza per la configurazione. Quando non è abilitato alcun set di regole gestite, i criteri WAF non forniscono alcuna protezione contro i modelli di attacco noti, operando in modo efficace come pass-through nonostante la distribuzione. Gli attori delle minacce analizzano regolarmente le applicazioni Web non protette e sfruttano vulnerabilità ben documentate usando toolkit automatizzati. Senza regole gestite, gli utenti malintenzionati possono sfruttare vulnerabilità comuni, tra cui SQL injection, scripting tra siti e inserimento di comandi nei server back-end.

Azione di correzione

Il set di regole di protezione bot è abilitato e assegnato nel WAF del gateway applicativo.

Il firewall delle applicazioni web (WAF) di Azure Application Gateway offre la protezione bot tramite il set di regole di Microsoft Bot Manager, che identifica e classifica il traffico automatizzato in base a modelli comportamentali, firme di bot noti e reputazione IP. Senza la protezione contro i bot abilitata, gli attori delle minacce possono sfruttare strumenti automatizzati per attacchi di inondazione di credenziali, scraping dei contenuti, accaparramento di inventario e negazione del servizio a livello di applicazione, che sarebbero impraticabili manualmente. Questi attacchi spesso provengono da botnet distribuiti che ruotano gli indirizzi IP per evitare la limitazione della frequenza semplice, rendendo essenziale il rilevamento dei bot basato sulla firma. Il set di regole di Bot Manager classifica i bot in bot validi noti, bot non validi noti e bot sconosciuti, consentendo un'applicazione granulare dei criteri. Senza questa classificazione, il traffico di bot dannoso si fonde con richieste legittime, usando le risorse dell'applicazione e abilitando le frodi.

Azione di correzione

Il set di regole di protezione DDoS HTTP è abilitato nel gateway di applicazione WAF

Il Web application firewall (WAF) del gateway applicazione di Azure fornisce la protezione da Distributed Denial of Service (DDoS) HTTP tramite il set di regole DDoS HTTP Microsoft, che rileva e mitiga gli attacchi volumetrici basati su HTTP a livello di applicazione. A differenza degli attacchi DDoS a livello di rete destinati alla larghezza di banda, gli attacchi DDoS basati su HTTP sfruttano il livello dell'applicazione inviando richieste HTTP apparentemente legittime a volumi elevati per esaurire risorse del server, connessioni di database e thread applicazione. Senza la protezione DDoS HTTP abilitata, gli attori delle minacce possono eseguire attacchi HTTP flood che sovraccaricano i server back-end, attacchi slowloris che contengono connessioni aperte ai pool di connessioni esaurite e modelli di richiesta ad alta frequenza progettati per attivare operazioni a elevato utilizzo di risorse. Il set di regole DDoS HTTP contiene gruppi di regole che rilevano frequenze di richieste anomale in base ai livelli di riservatezza configurabili e possono bloccare, registrare o reindirizzare traffico dannoso prima che influisca sui server applicazioni back-end.

Azione di correzione

La limitazione della velocità è abilitata nel WAF del gateway di applicazione

Web application firewall (WAF) del gateway applicazione di Azure supporta la limitazione della frequenza tramite regole personalizzate che limitano il numero di richieste che i client possono effettuare entro un intervallo di tempo specificato. La limitazione della frequenza protegge le applicazioni da attacchi di forza bruta, inserimento forzato di credenziali, abuso delle API e attacchi Denial of Service a livello applicativo che inondano gli endpoint con richieste eccessive. Senza limitare la velocità configurata, gli attori delle minacce possono tentare migliaia di combinazioni di password al minuto rispetto agli endpoint di autenticazione, testare le credenziali rubate su larga scala, estrarre grandi volumi di dati e sovraccaricare la capacità del server. Le regole di limitazione della frequenza consentono agli amministratori di definire soglie in base al numero di richieste al minuto e tenere traccia dei singoli client in base all'indirizzo IP. Quando un client supera la soglia configurata, il WAF può bloccare le richieste successive, registrare la violazione o reindirizzare a una pagina personalizzata.

Azione di correzione

La verifica JavaScript è abilitata nel WAF del gateway applicazione

Il Web application firewall (WAF) del gateway applicazione di Azure supporta la verifica JavaScript (attualmente in versione di anteprima) come meccanismo di difesa contro i bot automatici e i browser headless. Quando una richiesta attiva una sfida, WAF serve un frammento JavaScript che il browser client deve eseguire per ottenere un cookie di sfida valido, dimostrando che la richiesta ha origine da un browser reale anziché da un semplice client HTTP o bot. I client che eseguono correttamente la richiesta di verifica procedono normalmente fino alla scadenza del cookie, mentre i bot e gli strumenti automatizzati che non possono eseguire JavaScript vengono bloccati. Questo meccanismo è efficace contro i bot di inserimento delle credenziali, gli scraper Web e i bot DDoS (Distributed Denial of Service) a livello di applicazione che usano librerie HTTP semplici senza motori JavaScript. La sfida JavaScript offre una via di mezzo tra consentire tutto il traffico e bloccare i bot considerati sospetti, verificando la funzionalità del browser senza richiedere l'interazione dell'utente come un CAPTCHA.

Azione di correzione

La registrazione diagnostica è abilitata nel WAF del gateway applicazione

Il Web application firewall (WAF) del gateway applicazione di Azure protegge le applicazioni Web da exploit comuni, tra cui attacchi SQL injection, attacchi di scripting intersito e le 10 principali minacce OWASP (Open Worldwide Application Security Project). Quando la registrazione diagnostica non è abilitata, i team di sicurezza perdono visibilità sugli attacchi bloccati, le corrispondenze delle regole, i modelli di accesso e gli eventi del firewall. Senza la registrazione, gli exploit non vengono rilevati e i risponditori di eventi imprevisti non possono correlare gli eventi WAF con altri dati di telemetria o costruire sequenze temporali degli attacchi. Il gateway applicazione WAF offre più categorie di log, tra cui log di accesso, log delle prestazioni e log del firewall, che devono essere indirizzati a Log Analytics, a un account di archiviazione o a un hub di eventi per il monitoraggio della sicurezza.

Azione di correzione

Contenuti correlati

  • Last updated on