Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Web application firewall (WAF) di Azure offre protezione centralizzata per le applicazioni Web da exploit e vulnerabilità comuni, ad esempio SQL injection, scripting tra siti e altri attacchi OWASP Top 10. Come componente di sicurezza critico che si trova tra le applicazioni e le potenziali minacce, è essenziale proteggere correttamente la distribuzione WAF per massimizzarne l'efficacia e mantenere il comportamento di sicurezza complessivo.
Questo articolo fornisce indicazioni su come proteggere al meglio la distribuzione di Web application firewall di Azure.
Sicurezza della rete
La sicurezza di rete per Web application firewall di Azure è incentrata sulla protezione delle applicazioni tramite una corretta gestione del traffico, il blocco di indirizzi IP dannosi e la configurazione appropriata delle modalità WAF. Questi controlli consentono di garantire che solo il traffico legittimo raggiunga le applicazioni mantenendo al contempo una protezione completa dagli attacchi basati sul Web.
Configurare WAF in modalità prevenzione dopo il periodo di riferimento: iniziare con la modalità rilevamento per comprendere i modelli di traffico e identificare i falsi positivi, quindi passare alla modalità prevenzione per bloccare attivamente gli attacchi. La modalità di prevenzione blocca intrusioni e attacchi rilevati dalle regole, inviando agli utenti malintenzionati un'eccezione di accesso non autorizzato 403. Vedere Modalità WAF su Application Gateway e Modalità WAF su Front Door.
Usare regole personalizzate per bloccare gli indirizzi IP dannosi: creare regole personalizzate per consentire e bloccare il traffico in base a indirizzi IP, intervalli o posizioni geografiche. In questo modo viene fornito un controllo granulare sugli utenti autorizzati ad accedere alle applicazioni e consente di evitare attacchi da attori malintenzionati noti. Vedere Regole e gruppi di regole CRS di Web Application Firewall.
Personalizzare le regole WAF per ridurre i falsi positivi: applicare criteri WAF specifici del sito e personalizzare regole e gruppi di regole in base ai requisiti dell'applicazione Web. Ciò consente di eliminare i falsi positivi mantenendo al contempo la protezione dalle minacce originali. Associare un criterio WAF di Azure univoco per ogni sito per consentire la configurazione specifica del sito.
Abilitare la registrazione e il monitoraggio completi: attivare i log di diagnostica e WAF quando si opera in modalità rilevamento per monitorare e registrare tutti gli avvisi delle minacce. In questo modo viene fornita visibilità su ciò che il WAF valuta, corrisponde e blocca. Vedere Panoramica dei log.
Usare i tag per la gestione della sicurezza di rete organizzata: Applicare tag ai gruppi di sicurezza di rete associati al WAF nella subnet del gateway applicativo di Azure e alle risorse di sicurezza di rete correlate. Utilizzare il campo "Descrizione" per specificare le esigenze aziendali e il periodo di validità delle singole regole del gruppo di sicurezza di rete. Vedere Come creare e usare i tag.
Monitorare le configurazioni delle risorse di rete: usare il log attività di Azure per monitorare le configurazioni delle risorse di rete e rilevare le modifiche per le impostazioni di rete e le risorse correlate alle distribuzioni WAF. Creare avvisi in Monitoraggio di Azure che si attivano quando si verificano modifiche alle impostazioni di rete critiche. Vedere Come visualizzare e recuperare gli eventi del log attività di Azure.
Implementare la limitazione della frequenza per evitare attacchi DDoS: configurare regole di limitazione della frequenza per controllare il numero di richieste consentite da ogni indirizzo IP client in un periodo di tempo specificato. Impostare soglie di limite di velocità sufficientemente elevate per evitare di bloccare il traffico legittimo, proteggendo al tempo stesso dalle tempeste di ripetizione dei tentativi e dagli attacchi DDoS. Vedere Che cos'è la limitazione della velocità per Azure Front Door?
Abilitare la protezione del bot per bloccare i bot dannosi: usare il set di regole gestite di protezione del bot per identificare e bloccare i bot non validi, consentendo al contempo bot legittimi come i crawler del motore di ricerca. Le regole di protezione dei bot classificano i bot come validi, dannosi o sconosciuti e possono bloccare automaticamente il traffico di bot dannoso. Vedere Configurare la protezione bot per Web Application Firewall.
Implementare il filtro geografico per le applicazioni a livello di area: se l'applicazione serve gli utenti di aree geografiche specifiche, configurare il filtro geografico per bloccare le richieste provenienti da paesi o aree geografiche esterne. Includere il percorso sconosciuto (ZZ) per evitare di bloccare le richieste valide da indirizzi IP non mappati. Vedere Che cos'è il filtro geografico in un dominio per Frontdoor di Azure?
Usare le versioni più recenti del set di regole gestite: aggiornare regolarmente le versioni più recenti del set di regole gestite da Azure per proteggersi dalle minacce correnti. Microsoft aggiorna regolarmente le regole gestite in base al panorama delle minacce e ai primi 10 tipi di attacco OWASP. Vedere Gruppi di regole e regole DRS di Azure Web Application Firewall.
Gestione delle identità
La gestione delle identità per Web application firewall di Azure garantisce che l'accesso amministrativo alle risorse WAF sia controllato e monitorato correttamente. Ciò include la gestione degli inventari degli account amministrativi, l'uso di sistemi di identità centralizzati e l'implementazione di meccanismi di autenticazione avanzata per chiunque gestisca la distribuzione waf.
Usare Azure Active Directory per l'autenticazione centralizzata: usare Azure AD come sistema di autenticazione e autorizzazione centrale per la gestione delle risorse WAF. Azure AD protegge i dati con crittografia avanzata e offre una gestione coerente delle identità nell'ambiente Di Azure. Vedere Come creare e configurare un'istanza di Azure AD.
Gestire l'inventario degli account amministrativi: usare i ruoli predefiniti di Azure AD che sono disponibili per le query e devono essere assegnati in modo esplicito. Usare il modulo Azure AD PowerShell per eseguire query e individuare account membri di gruppi amministrativi con accesso alle risorse WAF. Vedere Come ottenere un ruolo della directory in Azure AD con PowerShell.
Abilitare l'autenticazione a più fattori per l'accesso amministrativo: richiedere l'autenticazione a più fattori per tutti gli utenti con accesso amministrativo alle risorse WAF. In questo modo viene aggiunto un livello di sicurezza aggiuntivo fondamentale anche se le password vengono compromesse. Seguire le raccomandazioni sulla gestione delle identità e degli accessi di Microsoft Defender for Cloud. Vedere Come abilitare l'autenticazione a più fattori in Azure.
Usare account amministrativi dedicati con procedure standard: creare procedure operative standard per l'uso di account amministrativi dedicati che hanno accesso alle istanze di Azure WAF. Usare le funzionalità di gestione delle identità e degli accessi di Microsoft Defender for Cloud per monitorare il numero di account amministrativi. Consulta Microsoft Defender per l'identità e l'accesso al cloud.
Gestire l'accesso solo da posizioni approvate: configurare i criteri di accesso condizionale con località denominate per limitare l'accesso alle risorse WAF. Creare raggruppamenti logici di intervalli di indirizzi IP o paesi e aree geografiche e limitare l'accesso alle risorse sensibili alle località denominate configurate. Vedere What is the location condition in Azure Active Directory Conditional Access (Qual è la condizione di posizione nell'accesso condizionale di Azure Active Directory).
Monitorare e avvisare le attività degli account sospette: usare i report di sicurezza di Azure AD e Microsoft Defender for Cloud per monitorare le attività di identità e accesso. Configurare avvisi per attività sospette o non sicure e integrarsi con Microsoft Sentinel per il rilevamento avanzato delle minacce. Vedere Come identificare gli utenti di Azure AD contrassegnati per l'attività rischiosa.
Accesso con privilegi
I controlli di accesso con privilegi per Web application firewall di Azure sono incentrati sulla limitazione e il monitoraggio dell'accesso amministrativo alle risorse WAF. Queste misure consentono di evitare modifiche non autorizzate alle configurazioni di sicurezza e assicurarsi che le operazioni con privilegi siano monitorate e controllate correttamente.
Usare il controllo degli accessi in base al ruolo di Azure per controllare l'accesso alle risorse: controllare l'accesso alle risorse WAF di Azure usando il controllo degli accessi in base al ruolo di Azure. Applicare il principio dei privilegi minimi assegnando solo le autorizzazioni minime necessarie a utenti e servizi. Vedere Come configurare il controllo degli accessi in base al ruolo di Azure in Azure.
Usare workstation con accesso con privilegi per le attività amministrative: usare workstation dedicate e con protezione avanzata con l'autenticazione a più fattori configurata per l'accesso e la configurazione di AZURE WAF e risorse correlate. In questo modo si riduce il rischio di compromissione amministrativa tramite workstation utente standard. Vedere Informazioni sulle workstation con accesso con privilegi.
Esaminare e riconciliare regolarmente l'accesso degli utenti: usare le verifiche di accesso alle identità di Azure per gestire in modo efficiente le appartenenze ai gruppi, l'accesso alle applicazioni aziendali e le assegnazioni di ruolo per le risorse WAF. Esaminare regolarmente l'accesso degli utenti per assicurarsi che solo gli utenti attivi abbiano accesso continuo. Vedere Come usare le verifiche di accesso alle identità di Azure.
Monitorare l'accesso alle credenziali disattivate: integrare le origini del log eventi di accesso, controllo e rischio di Azure AD con Microsoft Sentinel o altri strumenti SIEM. Creare impostazioni di diagnostica per gli account utente di Azure AD e inviare log di controllo e accesso a un'area di lavoro Log Analytics per il monitoraggio. Vedere Come integrare i log attività di Azure in Monitoraggio di Azure.
Configurare le risposte automatiche alle attività sospette: usare le funzionalità di Azure AD Risk and Identity Protection per configurare risposte automatizzate per rilevare azioni sospette correlate alle identità utente. Inserire dati in Microsoft Sentinel per ulteriori indagini e risposte. Vedere Come configurare e abilitare i criteri di rischio di Identity Protection.
Registrazione e rilevamento delle minacce
La registrazione completa e il rilevamento delle minacce sono essenziali per mantenere la visibilità sul comportamento di sicurezza di Web Application Firewall. Queste funzionalità consentono di rilevare le minacce, analizzare gli eventi imprevisti e mantenere la conformità raccogliendo e analizzando gli eventi di sicurezza nella distribuzione waf.
Abilitare la gestione centralizzata dei log con Microsoft Sentinel: configurare i log waf di Azure da inviare a Microsoft Sentinel o a una soluzione SIEM di terze parti. Questi includono i log di attività, diagnostica e WAF in tempo reale di Azure che forniscono informazioni dettagliate sui dati che il WAF valuta, corrisponde e blocca. Vedi Connetti i dati dal Web Application Firewall di Microsoft a Microsoft Sentinel.
Abilitare la registrazione di controllo completa: attivare la registrazione per le risorse waf di Azure per acquisire i log di controllo, sicurezza e diagnostica. Azure WAF fornisce report dettagliati su ogni minaccia rilevata tramite log di diagnostica configurati, tra cui origine evento, data, utente, timestamp e indirizzi. Vedere Panoramica dei log.
Configurare i criteri di conservazione dell'archiviazione dei log: inviare i log waf di Azure a un account di archiviazione personalizzato e definire i criteri di conservazione in base ai requisiti di conformità dell'organizzazione. Usare Monitoraggio di Azure per impostare il periodo di conservazione dell'area di lavoro Log Analytics in modo appropriato. Vedere Configurare il monitoraggio per un account di archiviazione.
Monitorare ed esaminare regolarmente i log: esaminare i log waf che forniscono report dettagliati su ogni minaccia rilevata. Usare le raccomandazioni di Microsoft Defender for Cloud per rilevare applicazioni Web non protette e proteggere le risorse vulnerabili. Sfruttare la cartella di lavoro WAF predefinita di Microsoft Sentinel per la panoramica degli eventi di sicurezza. Consulta come abilitare le impostazioni diagnostiche per il Gateway di applicazione di Azure.
Creare avvisi per attività anomale: abilitare le impostazioni di diagnostica del log attività di Azure e le impostazioni di diagnostica WAF, inviando log a un'area di lavoro Log Analytics. Creare avvisi per attività anomale in base alle metriche WAF, ad esempio quando le richieste bloccate superano le soglie definite. Vedere Come creare avvisi in Azure.
Utilizzare fonti di sincronizzazione del tempo approvate: creare regole di rete per Azure WAF che consentano l'accesso ai server NTP con porte e protocolli idonei, come la porta 123 su UDP, garantendo timestamp accurati nei registri e eventi.
Abilitare la protezione dei dati sensibili con lo scrubbing dei log: configurare le regole di pulitura dei log per rimuovere informazioni riservate, ad esempio password, indirizzi IP e dati personali dai log WAF. In questo modo i dati dei clienti vengono protetti mantenendo la visibilità della sicurezza. Consultare Che cos'è la protezione dei dati sensibili con Azure Web Application Firewall? e Protezione dei dati sensibili con Azure Web Application Firewall.
Configurare le impostazioni di diagnostica per la registrazione completa: abilitare le impostazioni di diagnostica nelle risorse WAF per salvare i log in Log Analytics, account di archiviazione o hub eventi. La revisione regolare dei log consente di ottimizzare i criteri WAF e comprendere i modelli di attacco contro le applicazioni. Vedere Monitoraggio e registrazione di Web Application Firewall di Azure.
Protezione dei dati
La protezione dei dati per Web application firewall di Azure implica la protezione delle informazioni riservate elaborate dal WAF, l'implementazione della crittografia appropriata e la gestione dei controlli di accesso appropriati. Queste misure consentono di proteggere le applicazioni e i dati gestiti da accessi non autorizzati e divulgazione.
Contrassegnare le risorse che gestiscono le informazioni riservate: usare i tag per identificare e monitorare le risorse WAF di Azure e le risorse correlate che archiviano o elaborano informazioni riservate. Ciò consente di creare report sulla conformità e di garantire l'applicazione di controlli di sicurezza appropriati. Vedere Come creare e usare i tag.
Implementare l'isolamento dell'ambiente: usare sottoscrizioni e gruppi di gestione separati per domini di sicurezza diversi, ad esempio ambienti di sviluppo, test e produzione. Ciò impedisce l'esposizione dei dati tra ambienti e consente controlli di sicurezza specifici dell'ambiente. Vedere Come creare sottoscrizioni di Azure aggiuntive.
Verificare la crittografia in transito: verificare che i client che si connettono alle istanze di Azure WAF e le risorse correlate possano negoziare TLS 1.2 o versione successiva. Seguire le raccomandazioni di Microsoft Defender for Cloud per la crittografia a riposo e in transito. Consulta Informazioni sulla crittografia in transito con Azure.
Usare la crittografia dei dati inattivi per le risorse WAF: applicare la crittografia dei dati inattivi per tutte le risorse di Azure, tra cui Azure WAF e le risorse correlate. Microsoft consiglia di consentire ad Azure di gestire le chiavi di crittografia, ma è possibile gestire le proprie chiavi quando esistono requisiti specifici. Per ulteriori informazioni, consulta Informazioni sulla crittografia dei dati inattivi in Azure.
Monitorare le modifiche apportate alle risorse critiche: configurare Azure WAF per l'esecuzione in modalità prevenzione dopo aver stabilito le baseline e usare Monitoraggio di Azure per creare avvisi quando si verificano modifiche a risorse o configurazioni WAF critiche. Vedere Modalità WAF nel Gateway di applicazione.
Abilitare l'ispezione del corpo della richiesta: configurare i criteri WAF per controllare i corpi delle richieste HTTP, non solo intestazioni, cookie e URI. Ciò consente al WAF di rilevare le minacce nascoste nei dati POST e nei payload JSON. Consulta firewall per applicazioni web di Azure e criteri di Azure.
Usare chiavi gestite dal cliente per la crittografia avanzata: prendere in considerazione l'uso di chiavi gestite dal cliente archiviate in Azure Key Vault per i requisiti di crittografia che superano le chiavi gestite dalla piattaforma. In questo modo è possibile controllare ulteriormente il ciclo di vita e l'accesso delle chiavi di crittografia. Vedere Come configurare le chiavi di crittografia gestite dal cliente.
Gestione delle risorse
Una gestione efficace degli asset consente di mantenere visibilità e controllo sulle risorse di Web Application Firewall. Sono inclusi l'individuazione automatica, l'assegnazione di tag appropriati, la riconciliazione regolare dell'inventario e l'applicazione delle politiche per garantire che la distribuzione del WAF rimanga sicura e conforme.
Usare l'individuazione automatica degli asset: usare Azure Resource Graph per eseguire query e individuare tutte le risorse correlate a WAF, tra cui calcolo, archiviazione, rete, porte e protocolli all'interno delle sottoscrizioni. Assicurarsi di disporre delle autorizzazioni di lettura appropriate e di poter enumerare tutte le sottoscrizioni e le risorse di Azure. Vedere Come creare query con Azure Resource Graph.
Gestire i metadati degli asset con i tag: applicare tag ai criteri waf di Azure e alle risorse correlate per organizzare logicamente l'accesso e la gestione. I tag possono essere associati alle risorse e applicati per organizzare l'accesso a queste risorse all'interno della sottoscrizione. Vedere Come creare e usare tag.
Organizzare e tenere traccia sistematicamente delle risorse: usare l'assegnazione di tag, i gruppi di gestione e le sottoscrizioni separate per organizzare e tenere traccia di WAF di Azure e delle risorse correlate. Riconciliare regolarmente l'inventario e assicurarsi che le risorse non autorizzate vengano eliminate dalle sottoscrizioni in modo tempestivo. Vedere Come creare gruppi di gestione.
Definire e gestire l'inventario delle risorse approvate: creare un inventario delle risorse approvate, incluse le configurazioni in base alle esigenze dell'organizzazione. Usare Criteri di Azure per limitare i tipi di risorse che è possibile creare nelle sottoscrizioni e assicurarsi che tutte le risorse presenti siano approvate. Vedere Come configurare e gestire Criteri di Azure.
Monitorare le risorse non approvate: usare Azure Policy per impostare restrizioni sui tipi di risorse e monitorare le risorse WAF di Azure non approvate all'interno delle sottoscrizioni. Usare Azure Resource Graph per eseguire query e individuare le risorse, assicurandosi che tutte le risorse di Azure WAF e correlate nell'ambiente siano approvate. Vedere Come creare query con Azure Graph.
Limitare l'accesso ad Azure Resource Manager: usare l'accesso condizionale di Azure per limitare la capacità degli utenti di interagire con Azure Resource Manager configurando "Blocca l'accesso" per l'app "Gestione di Microsoft Azure". Ciò consente di evitare modifiche non autorizzate alle risorse WAF. Vedere Come configurare l'accesso condizionale per bloccare l'accesso a Gestione risorse di Azure.
Conformità e governance delle norme
La conformità e la governance dei criteri assicurano che le distribuzioni di Web Application Firewall soddisfino gli standard aziendali e i requisiti normativi. Questi controlli consentono di mantenere configurazioni di sicurezza coerenti nell'ambiente e di fornire il monitoraggio e l'applicazione automatizzati della conformità.
Usare Criteri di Azure per applicare la distribuzione di WAF: implementare le definizioni di Criteri di Azure per richiedere la distribuzione di WAF nelle risorse di Azure Front Door e Application Gateway. Configurare i criteri per controllare, negare o correggere automaticamente le risorse non conformi. Consulta firewall per applicazioni web di Azure e criteri di Azure.
Imporre la conformità della modalità WAF: usare Criteri di Azure per fare in modo che tutti i criteri WAF funzionino in modalità prevenzione dopo l'ottimizzazione iniziale. In questo modo si garantisce una protezione coerente nell'ambiente e impedisce la distribuzione accidentale di WAF in modalità di sola rilevamento. Consulta firewall per applicazioni web di Azure e criteri di Azure.
Richiedi conformità alla registrazione delle risorse: implementare criteri che impongono l'abilitazione dei log delle risorse e delle metriche in tutti i servizi abilitati per WAF. In questo modo si garantisce una registrazione coerente per i requisiti di monitoraggio e conformità della sicurezza nell'organizzazione. Consulta firewall per applicazioni web di Azure e criteri di Azure.
Imponi l'utilizzo del livello Premium per la sicurezza avanzata: usare Criteri di Azure per richiedere il livello Premium di Frontdoor di Azure per tutti i profili, assicurando l'accesso alle funzionalità avanzate di WAF, ad esempio set di regole gestite, protezione bot e funzionalità di collegamento privato. Consulta firewall per applicazioni web di Azure e criteri di Azure.
Definire la configurazione WAF come codice: implementare l'infrastruttura come procedure di codice usando modelli arm, Bicep o Terraform per mantenere configurazioni WAF coerenti in tutti gli ambienti. Questo approccio semplifica la gestione dell'esclusione delle regole e riduce la deriva della configurazione. Consulta Procedure consigliate per il Web Application Firewall di Azure in Azure Front Door.
Implementare il monitoraggio automatizzato della conformità: usare Microsoft Defender per cloud e Criteri di Azure per monitorare continuamente la conformità waf e ricevere raccomandazioni per le applicazioni Web non protette. Configurare avvisi automatizzati per violazioni dei criteri e deviazione della conformità. Consulta firewall per applicazioni web di Azure e criteri di Azure.