Application Gateway 上の Azure Web Application Firewall は、Web アプリケーションを一般的な悪用や脆弱性から保護します。 次の推奨事項は、WAF が適切に構成され、監視されていることを確認するのに役立ちます。
すべての Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項の概要については、 Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項を参照してください。
レコメンデーション
Application Gateway WAF が防止モードで有効になっている
Azure Application Gateway Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、その他の Open Worldwide Application Security Project (OWASP) 上位 10 の脅威などの一般的な悪用や脆弱性から Web アプリケーションを保護します。 WAF は 2 つのモードで動作します。検出モードでは受信要求とログの一致が評価されますが、トラフィックはブロックされません。防止モードでは要求が評価され、WAF 規則に違反する悪意のある要求がアクティブにブロックされます。 一般的な Web 攻撃からアプリケーションを積極的に保護するには、防止モードで WAF を実行することが重要です。 WAF が検出モードの場合、悪意のあるトラフィックのみがログに記録され、防止されず、アプリケーションが悪用にさらされます。
修復アクション
Application Gateway WAF で要求本文の検査が有効になっている
Azure Application Gateway Web Application Firewall (WAF) は、リージョン レベルでの一般的な悪用や脆弱性に対する Web アプリケーションの一元的な保護を提供します。 要求本文の検査により、WAF は、SQL インジェクション、クロスサイト スクリプティング、コマンド インジェクション ペイロードなどの悪意のあるパターンについて HTTP POST、PUT、PATCH 要求本文を分析できます。 要求本文の検査が無効になっている場合、脅威アクターは、すべての WAF ルールの評価をバイパスするフォームの送信、API 呼び出し、またはファイルアップロード内に悪意のあるコンテンツを埋め込むことができます。 これにより、攻撃者が保護されていないエンドポイントを介して初期アクセスを取得し、バックエンド データベースに対して任意のコマンドを実行し、機密データを流出させ、内部システムにピボットする悪用への直接パスが作成されます。 Open Worldwide Application Security Project (OWASP) コア ルール セットや Microsoft Bot Manager ルールを含む WAF のマネージド ルール セットは、見ることができない脅威を評価できず、これらの保護は一般的な身体ベースの攻撃ベクトルに対して効果的ではありません。
修復アクション
- Azure Application Gateway 上の Azure Web アプリケーション ファイアウォールの概要
- 要求本文の検査設定を含む Application Gateway の Web アプリケーション ファイアウォール ポリシーを作成する
- Application Gateway WAF に関する FAQ とチューニングのベスト プラクティス
Application Gateway WAF で既定の規則セットが有効になっている
Azure Application Gateway Web Application Firewall (WAF) は、既知の攻撃パターンに対して事前に構成された検出署名を含むマネージド ルール セットを通じて、Web アプリケーションに対する一元的な保護を提供します。 Microsoft 既定の規則セットと Open Worldwide Application Security Project (OWASP) コア ルール セットは、セキュリティの専門知識を必要とせずに、最も一般的で危険な Web の脆弱性から保護するマネージド ルール セットを継続的に更新します。 マネージド ルール セットが有効になっていない場合、WAF ポリシーは既知の攻撃パターンに対する保護を提供せず、デプロイされているにもかかわらずパススルーとして効果的に動作します。 脅威アクターは、保護されていない Web アプリケーションを定期的にスキャンし、自動化されたツールキットを使用して適切に文書化された脆弱性を悪用します。 マネージド ルールがないと、攻撃者は SQL インジェクション、クロスサイト スクリプティング、バックエンド サーバーに対するコマンド インジェクションなどの一般的な脆弱性を悪用する可能性があります。
修復アクション
- マネージド ルール セットを含む Azure Application Gateway 上の Azure Web アプリケーション ファイアウォールの概要
- Web アプリケーション ファイアウォールの CRS 規則グループと規則
- マネージド ルール セットを使用して Application Gateway の Web アプリケーション ファイアウォール ポリシーを作成する
Application Gateway WAF でボット保護規則セットが有効になり、割り当てられる
Azure Application Gateway Web Application Firewall (WAF) は、Microsoft Bot Manager ルール セットを介してボット保護を提供します。これにより、行動パターン、既知のボット署名、IP 評判に基づいて自動トラフィックが識別および分類されます。 ボット保護を有効にしないと、脅威アクターは、資格情報の詰め込み攻撃、コンテンツ スクレイピング、インベントリの保管、および手動で実行できないアプリケーション層のサービス拒否攻撃に対して自動化されたツールを利用できます。 これらの攻撃は、多くの場合、IP アドレスをローテーションして単純なレート制限を回避する分散ボットネットから発生するため、署名ベースのボット検出が不可欠になります。 Bot Manager ルール セットは、ボットを既知の適切なボット、既知の悪いボット、不明なボットに分類し、詳細なポリシー適用を可能にします。 この分類がないと、悪意のあるボット トラフィックは正当な要求と融合し、アプリケーション リソースを消費し、不正行為を可能にします。
修復アクション
Application Gateway WAF で HTTP DDoS 保護規則セットが有効になっている
Azure Application Gateway Web アプリケーション ファイアウォール (WAF) は、Microsoft HTTP DDoS 規則セットを介して HTTP 分散型サービス拒否 (DDoS) 保護を提供します。これにより、アプリケーション 層での帯域幅消費 HTTP ベースの攻撃を検出して軽減します。 帯域幅をターゲットとするネットワーク層 DDoS 攻撃とは異なり、HTTP ベースの DDoS 攻撃は、一見正当な HTTP 要求を大量に送信してサーバー リソース、データベース接続、アプリケーション スレッドを使い果たすことで、アプリケーション層を悪用します。 HTTP DDoS 保護が有効でない場合、脅威アクターはバックエンドサーバーを圧倒するHTTPフラッド攻撃、接続プールを枯渇させるために接続を長時間維持するスローロリス攻撃、そして資源集約的な操作を引き起こすよう設計された高頻度な要求パターンを実行することができます。 HTTP DDoS ルール セットには、構成可能な秘密度レベルに基づいて異常な要求レートを検出し、バックエンド アプリケーション サーバーに影響を与える前に悪意のあるトラフィックをブロック、ログ、またはリダイレクトできるルール グループが含まれています。
修復アクション
- DDoS 保護規則セットを含む Azure Application Gateway 上の Azure Web アプリケーション ファイアウォールの概要
- HTTP DDoS 規則を含む Web アプリケーション ファイアウォール CRS 規則グループと 規則
- マネージド ルール セットを使用して Application Gateway の Web アプリケーション ファイアウォール ポリシーを作成する
- Azure DDoS Protection の概要
Application Gateway WAF でレート制限が有効になっている
Azure Application Gateway Web Application Firewall (WAF) では、指定された時間枠内にクライアントが行うことができる要求の数を制限するカスタム規則によるレート制限がサポートされています。 レート制限は、ブルート フォース攻撃、資格情報の詰め込み、API の悪用、および過剰な要求でエンドポイントをあふれさせるアプリケーション層のサービス拒否攻撃からアプリケーションを保護します。 レート制限を構成しないと、脅威アクターは、認証エンドポイントに対して 1 分あたり数千のパスワードの組み合わせを試みたり、盗まれた資格情報を大規模にテストしたり、大量のデータを抽出したり、サーバーの容量を過剰に使うことができます。 レート制限ルールを使用すると、管理者は 1 分あたりの要求数に基づいてしきい値を定義し、IP アドレスで個々のクライアントを追跡できます。 クライアントが構成されたしきい値を超えると、WAF は後続の要求をブロックしたり、違反をログに記録したり、カスタム ページにリダイレクトしたりできます。
修復アクション
- カスタム 規則を含む Azure Application Gateway 上の Azure Web Application Firewall の概要
- レート制限を含む Application Gateway で Web Application Firewall v2 カスタム規則を作成して使用する
- RateLimitRule の種類を含む Web アプリケーション ファイアウォールのカスタム 規則の概要
- Application Gateway WAF でのレート制限
Application Gateway WAF で JavaScript チャレンジが有効になっている
Azure Application Gateway Web Application Firewall (WAF) は、自動化されたボットとヘッドレス ブラウザーに対する防御メカニズムとして JavaScript チャレンジ (現在プレビュー段階) をサポートしています。 要求がチャレンジをトリガーすると、WAF は、クライアント ブラウザーが有効なチャレンジ Cookie を取得するために実行する必要がある JavaScript スニペットを提供します。これは、要求が単純な HTTP クライアントまたはボットではなく実際のブラウザーから送信されたことを証明します。 チャレンジを正常に実行したクライアントは、Cookie の有効期限が切れるまで通常どおりに進みますが、JavaScript を実行できないボットや自動化されたツールはブロックされます。 このメカニズムは、JavaScript エンジンのない単純な HTTP ライブラリを使用する資格情報詰め込みボット、Web スクレーパー、およびアプリケーション層分散型サービス拒否 (DDoS) ボットに対して有効です。 JavaScript チャレンジは、すべてのトラフィックを許可することと、疑わしいボットを完全にブロックすることと、CAPTCHA などのユーザー操作を必要とせずにブラウザーの機能を検証するという中間点を提供します。
修復アクション
- Azure Application Gateway 上の Azure WAF の概要
- Application Gateway で WAF v2 カスタム規則を作成して使用する
- WAF カスタム 規則の概要
- Application Gateway WAF のボット保護の概要
Application Gateway WAF で診断ログが有効になっている
Azure Application Gateway Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、Open Worldwide Application Security Project (OWASP) Top 10 の脅威など、一般的な悪用から Web アプリケーションを保護します。 診断ログが有効になっていないと、セキュリティ チームはブロックされた攻撃、ルールの一致、アクセス パターン、ファイアウォール イベントの可視性を失います。 ログを記録しないと、悪用は検出されず、インシデント レスポンダーは WAF イベントを他のテレメトリと関連付けたり、攻撃タイムラインを構築したりできません。 Application Gateway WAF には、セキュリティ監視のために Log Analytics、ストレージ アカウント、またはイベント ハブにルーティングする必要があるアクセス ログ、パフォーマンス ログ、ファイアウォール ログなど、複数のログ カテゴリが用意されています。
修復アクション
- Log Analytics ワークスペースの作成
- Azure Monitor の診断設定を作成する
- Application Gateway WAF のログとメトリック
- Azure アプリケーション ゲートウェイを監視する
- Azure Monitor ブック