Front Door 上の Azure Web アプリケーション ファイアウォールは、ネットワーク エッジの Web アプリケーションを一般的な悪用や脆弱性から保護します。 次の推奨事項は、WAF が適切に構成され、監視されていることを確認するのに役立ちます。
すべての Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項の概要については、 Azure ネットワーク セキュリティのゼロ トラストに関する推奨事項を参照してください。
レコメンデーション
Azure Front Door WAF が防止モードで有効になっている
Azure Front Door Web Application Firewall (WAF) は、SQL インジェクション、クロスサイト スクリプティング、その他の Open Worldwide Application Security Project (OWASP) のネットワーク エッジでの上位 10 件の脅威など、一般的な悪用や脆弱性から Web アプリケーションを保護します。 WAF は 2 つのモードで動作します。検出モードでは受信要求とログの一致が評価されますが、トラフィックはブロックされません。防止モードでは要求が評価され、WAF 規則に違反する悪意のある要求がアクティブにブロックされます。 一般的な Web 攻撃からアプリケーションを積極的に保護するには、防止モードで WAF を実行することが重要です。 WAF が検出モードの場合、悪意のあるトラフィックのみがログに記録され、防止されず、アプリケーションが悪用にさらされます。
修復アクション
Azure Front Door WAF で要求本文の検査が有効になっている
Azure Front Door Web Application Firewall (WAF) は、一般的な悪用や脆弱性に対する Web アプリケーションの一元的な保護を提供します。 要求本文の検査により、WAF は、SQL インジェクション、クロスサイト スクリプティング、コマンド インジェクション ペイロードなどの悪意のあるパターンについて HTTP POST、PUT、PATCH 要求本文を分析できます。 要求本文の検査が無効になっている場合、脅威アクターは、すべての WAF ルールの評価をバイパスするフォームの送信、API 呼び出し、またはファイルアップロード内に悪意のあるコンテンツを埋め込むことができます。 これにより、攻撃者が保護されていないエンドポイントを介して初期アクセスを取得し、バックエンド データベースに対して任意のコマンドを実行し、機密データを流出させ、内部システムにピボットする悪用への直接パスが作成されます。 Open Worldwide Application Security Project (OWASP) Core Rule Set や Microsoft の脅威インテリジェンスベースのルールを含む WAF のマネージド ルール セットは、見ることができない脅威を評価できず、これらの保護は一般的な身体ベースの攻撃ベクトルに対して効果がありません。
修復アクション
- Azure Front Door 上の Azure Web アプリケーション ファイアウォールの概要
- Azure Front Door 上の ウェブ アプリケーション ファイアウォールのポリシー設定、要求本文検査の構成を含む
- Azure Front Door 用の Azure Web アプリケーション ファイアウォールのチューニング
既定の規則セットは Azure Front Door WAF で割り当てられます
Azure Front Door Web Application Firewall (WAF) は、既知の攻撃パターンに対して事前に構成された検出署名を含むマネージド ルール セットを通じて、グローバルに分散された Web アプリケーションにエッジベースの保護を提供します。 Microsoft 既定の規則セットは、セキュリティの専門知識を必要とせずに、最も一般的で危険な Web の脆弱性から保護する継続的に更新される管理ルール セットです。 マネージド ルール セットが有効になっていない場合、WAF ポリシーは既知の攻撃パターンに対する保護を提供せず、パススルーとして効果的に動作します。 脅威アクターは、保護されていないアプリケーションを定期的にスキャンし、自動ツールキットを使用して文書化された脆弱性を悪用して、SQL インジェクション、クロスサイト スクリプティング、ローカル ファイルインクルージョン、コマンドインジェクション攻撃を実行します。 マネージド ルール セットは、悪意のあるトラフィックが配信元サーバーに到達する前に、エッジでこれらの攻撃を検出してブロックします。
修復アクション
- Azure WAF on Azure Front Door の概要
- Azure Front Door の WAF DRS ルール グループとルール
- Azure Front Door で WAF ポリシーを作成する
ボット保護規則セットが有効になっており、Azure Front Door WAF で割り当てられている
Azure Front Door Web Application Firewall (WAF) は、Bot Manager ルール セットを介してボット保護を提供します。これは、グローバル エッジ ネットワークでの自動トラフィックを識別して分類する Premium SKU でのみ使用できます。 ボット保護がないと、脅威アクターは、資格情報の詰め込み、Web スクレイピング、インベントリの保管、アプリケーション層分散型サービス拒否 (DDoS) 攻撃などの自動攻撃をデプロイできます。 Bot Manager ルール セットは、ボットを既知の適切なボット、既知の悪いボット、不明なボットに分類し、セキュリティ チームがカテゴリごとに適切なアクションを構成できるようにします。 不適切なボットは CAPTCHA でブロックまたはチャレンジできますが、検索エンジン クローラーなどの正当なボットは許可されます。 ボット保護がないと、組織はボットのトラフィック パターンを可視化できず、人間のユーザーと自動化されたクライアントを区別できません。
修復アクション
- Azure Front Door レベルの比較
- Azure Front Door の WAF ポリシーを作成する
- Azure Front Door で WAF のボット保護を構成する
- Azure Front Door でセキュリティ ポリシーを追加する
- Azure Front Door で設定されたボット保護規則
- Azure Front Door でのメトリックとログの監視
Azure Front Door WAF でレート制限が有効になっている
Azure Front Door Web Application Firewall (WAF) では、グローバル エッジ ネットワーク全体の指定された時間枠内にクライアントが行うことができる要求の数を制限するカスタム規則によるレート制限がサポートされています。 レート制限がないと、脅威アクターは、認証エンドポイントに対するブルート フォース攻撃、大規模な資格情報の詰め込み、データを抽出したりバックエンド リソースを消費したりする API の悪用、エンドポイントをあふれさせるアプリケーション層のサービス拒否攻撃を実行したりできます。 レート制限ルールを使用すると、管理者は 1 分あたりの要求数に基づいてしきい値を定義でき、クライアント IP アドレスで要求をグループ化できます。 クライアントが構成されたしきい値を超えると、WAF は後続の要求、ログ違反、CAPTCHA チャレンジの発行、またはカスタム ページへのリダイレクトをブロックできます。 グローバル エッジでのレート制限により、配信元サーバーに到達する前に悪意のあるトラフィックがブロックされます。
修復アクション
- Azure WAF on Azure Front Door の概要
- Azure Front Door の WAF カスタム規則
- Azure Front Door で WAF ポリシーを作成する
- Azure Front Door WAF のレート制限
Azure Front Door WAF で JavaScript チャレンジが有効になっている
Azure Front Door Web Application Firewall (WAF) は、グローバル エッジ ネットワーク全体で自動化されたボットとヘッドレス ブラウザーに対する防御メカニズムとして JavaScript チャレンジをサポートしています。 要求がチャレンジをトリガーすると、WAF は、クライアント ブラウザーが有効なチャレンジ Cookie を取得するために実行する必要がある JavaScript スニペットを提供します。これは、要求が単純な HTTP クライアントまたはボットではなく実際のブラウザーから送信されたことを証明します。 チャレンジを正常に実行したクライアントは Cookie の有効期限が切れるまで正常に進みますが、JavaScript を実行できないボットや自動化されたツールは、トラフィックが配信元サーバーに到達する前にエッジでブロックされます。 このメカニズムは、単純な HTTP ライブラリを使用する資格情報詰め込みボット、Web スクレーパー、分散型サービス拒否 (DDoS) ボットに対して有効です。 JavaScript チャレンジは、CAPTCHA などのユーザー操作を必要とせずにブラウザーの機能を検証し、すべてのトラフィックを許可することと、疑わしいボットを完全にブロックする中間地点を提供します。
修復アクション
- Azure WAF on Azure Front Door の概要
- Azure Front Door の WAF カスタム規則
- Azure Front Door で WAF ポリシーを作成する
- Azure Front Door WAF の JavaScript チャレンジを構成する
AZURE Front Door WAF で CAPTCHA チャレンジが有効になっている
Azure Front Door Web Application Firewall (WAF) は、グローバル エッジ ネットワーク全体で高度なボットと自動化されたツールに対する防御メカニズムとして CAPTCHA チャレンジをサポートしています。 CAPTCHA は、人間の認知能力を必要とする視覚的またはオーディオパズルをユーザーに提示し、要求がボットではなく実際の人間から発生することを証明します。 CAPTCHA を正常に完了したユーザーは、有効期限が切れるまで通常のアクセスを許可するチャレンジ Cookie を受け取りますが、パズルを解決できないボットはエッジでブロックされます。 CAPTCHA は、人間レベルの認知を必要としているため、完全な JavaScript サポートを備えたヘッドレス ブラウザーを使用する高度なボットに対する JavaScript チャレンジよりも効果的です。 CAPTCHA チャレンジ アクションを使用してカスタム ルールを構成することで、組織はログイン ページ、登録フォーム、支払いページなどの機密性の高いエンドポイントを自動不正使用から保護できます。
修復アクション
- Azure WAF on Azure Front Door の概要
- Azure Front Door の WAF カスタム規則
- Azure Front Door で WAF ポリシーを作成する
- Azure Front Door WAF の CAPTCHA チャレンジを構成する
Azure Front Door WAF で診断ログが有効になっている
Azure Front Door Web Application Firewall (WAF) は、悪意のあるトラフィックが配信元サーバーに到達する前に、ネットワーク エッジでの SQL インジェクション、クロスサイト スクリプティング、Open Worldwide Application Security Project (OWASP) 上位 10 件の脅威など、一般的な悪用から Web アプリケーションを保護します。 診断ログが有効になっていない場合、セキュリティ チームは、ブロックされた攻撃、ルールの一致、アクセス パターン、およびエッジでの WAF イベントの可視性を失います。 ログを記録しないと、脆弱性を悪用しようとする脅威アクターは検出されず、インシデント レスポンダーは攻撃タイムラインを構築できません。 Azure Front Door WAF には、セキュリティ監視とフォレンジック分析のために Log Analytics、ストレージ アカウント、またはイベント ハブにルーティングする必要があるアクセス ログと WAF ログが用意されています。
修復アクション
- Log Analytics ワークスペースの作成
- Azure Monitor の診断設定を作成する
- Azure Front Door WAF の監視とログ記録
- Azure Front Door でのメトリックとログの監視
- Azure Monitor ブック
- Azure Front Door アラートを構成する