Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O WAF (Firewall de Aplicativo Web) do Azure fornece proteção centralizada para seus aplicativos Web contra explorações e vulnerabilidades comuns, como injeção de SQL, script entre sites e outros ataques OWASP Top 10. Como um componente de segurança crítico que fica entre seus aplicativos e possíveis ameaças, é essencial proteger corretamente sua implantação do WAF para maximizar sua eficácia e manter sua postura de segurança geral.
Este artigo fornece diretrizes sobre como proteger melhor sua implantação do Firewall de Aplicativo Web do Azure.
Segurança de rede
A segurança de rede do Firewall de Aplicativo Web do Azure se concentra em proteger seus aplicativos por meio do gerenciamento de tráfego adequado, bloquear endereços IP mal-intencionados e configurar os modos waf adequadamente. Esses controles ajudam a garantir que apenas o tráfego legítimo atinja seus aplicativos, mantendo uma proteção abrangente contra ataques baseados na Web.
Configurar o WAF no modo prevenção após o período de linha de base: comece com o modo de detecção para entender seus padrões de tráfego e identificar falsos positivos e, em seguida, alterne para o modo prevenção para bloquear ativamente os ataques. O modo de prevenção bloqueia invasões e ataques detectados pelas regras, enviando aos invasores uma exceção de "acesso não autorizado 403". Consulte os modos WAF no Application Gateway e os modos WAF no Front Door.
Use regras personalizadas para bloquear endereços IP mal-intencionados: crie regras personalizadas para permitir e bloquear o tráfego com base em endereços IP, intervalos ou localizações geográficas. Isso fornece controle granular sobre quem pode acessar seus aplicativos e ajuda a evitar ataques de maus atores conhecidos. Consulte os grupos de regras e regras do CRS do Firewall de Aplicativo Web.
Personalize as regras do WAF para reduzir falsos positivos: aplique políticas de WAF específicas do site e personalize regras e grupos de regras para atender aos seus requisitos de aplicativo Web. Isso ajuda a eliminar falsos positivos, mantendo a proteção contra ameaças genuínas. Associe um Azure WAF Policy exclusivo para cada site para permitir a configuração específica do site.
Habilitar log e monitoramento abrangentes: Ative os logs de Diagnóstico e WAF ao operar no modo Detecção para monitorar e registrar todos os alertas de ameaças. Isso fornece visibilidade sobre o que o seu WAF está avaliando, correlacionando e bloqueando. Confira a visão geral do log
Utilize marcas para o gerenciamento de segurança de rede organizado: Aplique marcas aos grupos de segurança de rede associados ao seu WAF na sub-rede do Gateway de Aplicativos do Azure e aos recursos de segurança de rede relacionados. Use o campo "Descrição" para regras NSG individuais para especificar as necessidades e a duração dos negócios. Veja Como criar e usar marcas.
Monitorar as configurações de recursos de rede: use o Log de Atividades do Azure para monitorar as configurações de recursos de rede e detectar alterações nas configurações de rede e recursos relacionados às implantações do WAF. Crie alertas no Azure Monitor que disparam quando ocorrem alterações nas configurações de rede críticas. Veja como exibir e recuperar eventos do Log de Atividades do Azure.
Implementar a limitação de taxa para evitar ataques de DDoS: configure regras de limitação de taxa para controlar o número de solicitações permitidas de cada endereço IP do cliente durante um período de tempo especificado. Defina limites de taxa altos o suficiente para evitar o bloqueio de tráfego legítimo e proteger contra tempestades de repetição e ataques DDoS. Veja o que é limitação de taxas para Azure Front Door?
Habilite a proteção contra bots para bloquear bots mal-intencionados: use o conjunto de regras gerenciadas de proteção contra bots para identificar e bloquear bots mal-intencionados, permitindo bots legítimos, como robôs de mecanismos de busca. As regras de proteção contra bot categorizam os bots como bons, ruins ou desconhecidos e podem bloquear automaticamente o tráfego de bot mal-intencionado. Consulte Configurar a proteção de bot para o Firewall do Aplicativo Web.
Implementar a filtragem geográfica para aplicativos regionais: Se o aplicativo atender usuários de regiões geográficas específicas, configure a filtragem geográfica para bloquear solicitações de países ou regiões fora dos esperados. Inclua o local desconhecido (ZZ) para evitar bloquear solicitações válidas de endereços IP não mapeados. Veja o que é filtragem geográfica em um domínio para o Azure Front Door?
Use as versões mais recentes do conjunto de regras gerenciado pela Azure: atualize regularmente para as versões mais recentes do conjunto de regras gerenciado pela Azure para se proteger contra ameaças atuais. A Microsoft atualiza regularmente as regras gerenciadas com base no cenário de ameaças e nos 10 principais tipos de ataque do OWASP. Confira Grupos de regras e regras DRS do Azure Firewall de Aplicativo Web.
Gerenciamento de identidades
O gerenciamento de identidades para o Firewall de Aplicativo Web do Azure garante que o acesso administrativo aos recursos do WAF seja controlado e monitorado corretamente. Isso inclui a manutenção de inventários de contas administrativas, o uso de sistemas de identidade centralizados e a implementação de mecanismos de autenticação fortes para qualquer pessoa que gerencie sua implantação do WAF.
Use o Azure Active Directory para autenticação centralizada: use o Azure AD como seu sistema central de autenticação e autorização para gerenciar recursos do WAF. O Azure AD protege dados com criptografia forte e fornece gerenciamento de identidade consistente em seu ambiente do Azure. Veja Como criar e configurar uma instância do Azure AD.
Manter o inventário de contas administrativas: use funções internas do Azure AD que sejam consultáveis e que devem ser atribuídas explicitamente. Use o módulo do PowerShell do Azure AD para executar consultas e descobrir contas que são membros de grupos administrativos com acesso aos recursos do WAF. Veja como obter uma função de diretório no Azure AD com o PowerShell.
Habilitar a autenticação multifator para acesso administrativo: exigir MFA para todos os usuários com acesso administrativo aos recursos do WAF. Isso adiciona uma camada adicional crucial de segurança mesmo se as senhas estiverem comprometidas. Siga as recomendações de Gerenciamento de Identidade e Acesso do Microsoft Defender para Nuvem. Veja como habilitar a autenticação multifator no Azure.
Use contas administrativas dedicadas com procedimentos padrão: crie procedimentos operacionais padrão em torno do uso de contas administrativas dedicadas que tenham acesso a instâncias do WAF do Azure. Use os recursos de Gerenciamento de Identidade e Acesso do Microsoft Defender para Nuvem para monitorar o número de contas administrativas. Confira Entenda o Microsoft Defender para Identidade e Acesso à Nuvem.
Gerenciar o acesso somente de locais aprovados: configure políticas de acesso condicional com locais nomeados para restringir o acesso aos recursos do WAF. Crie agrupamentos lógicos de intervalos de endereços IP ou países e regiões e restrinja o acesso a recursos confidenciais aos locais nomeados configurados. Veja qual é a condição de localização no Acesso Condicional do Azure Active Directory.
Monitorar e alertar sobre atividades de conta suspeitas: use os relatórios de segurança do Azure AD e o Microsoft Defender para Nuvem para monitorar a atividade de identidade e acesso. Configure alertas para atividades suspeitas ou não seguras e integre-se ao Microsoft Sentinel para detecção avançada de ameaças. Veja como identificar usuários do Azure AD sinalizados para atividades arriscadas.
Acesso privilegiado
Os controles de acesso privilegiado para o Firewall do Aplicativo Web do Azure se concentram em limitar e monitorar o acesso administrativo aos recursos do WAF. Essas medidas ajudam a evitar alterações não autorizadas em suas configurações de segurança e a garantir que as operações privilegiadas sejam controladas e auditadas corretamente.
Use o RBAC do Azure para controlar o acesso a recursos: Controle o acesso aos seus recursos do WAF do Azure usando o RBAC do Azure (controle de acesso baseado em função do Azure). Aplique o princípio do privilégio mínimo atribuindo apenas as permissões mínimas necessárias aos usuários e serviços. Veja como configurar o RBAC do Azure no Azure.
Use estações de trabalho de acesso privilegiado para tarefas administrativas: use estações de trabalho dedicadas e protegidas com autenticação multifator configurada para fazer logon e configurar o WAF do Azure e recursos relacionados. Isso reduz o risco de comprometimento administrativo por meio de estações de trabalho de usuário padrão. Consulte Saiba mais sobre estações de trabalho do Privileged Access.
Examine e reconcilie regularmente o acesso do usuário: use as Revisões de Acesso à Identidade do Azure para gerenciar com eficiência associações de grupo, acesso a aplicativos empresariais e atribuições de função para recursos do WAF. Examine o acesso do usuário regularmente para garantir que somente usuários ativos tenham acesso contínuo. Veja como usar as Revisões de Acesso à Identidade do Azure.
Monitore o acesso a credenciais desativadas: integre as fontes de log de Eventos de Entrada, Auditoria e Risco do Azure AD com o Microsoft Sentinel ou outras ferramentas SIEM. Crie configurações de diagnóstico para contas de usuário do Azure AD e envie logs de auditoria e login para um workspace do Log Analytics para monitoramento. Veja como integrar os Logs de Atividades do Azure ao Azure Monitor.
Configurar respostas automatizadas para atividades suspeitas: use os recursos de Proteção de Risco e Identidade do Azure AD para configurar respostas automatizadas para ações suspeitas detectadas relacionadas às identidades do usuário. Ingerir dados no Microsoft Sentinel para obter mais investigação e resposta. Veja como configurar e habilitar políticas de risco da Proteção de Identidade.
Registro em log e detecção de ameaças
O registro em log abrangente e a detecção de ameaças são essenciais para manter a visibilidade da postura de segurança do seu Firewall de Aplicativo Web. Esses recursos ajudam você a detectar ameaças, investigar incidentes e manter a conformidade coletando e analisando eventos de segurança em sua implantação do WAF.
Habilitar o gerenciamento de log centralizado com o Microsoft Sentinel: configure os logs do WAF do Azure a serem enviados ao Microsoft Sentinel ou a um SIEM de terceiros. Isso inclui logs de Atividade, Diagnóstico e WAF em tempo real do Azure, que fornecem insights sobre quais dados seu WAF está avaliando, correspondendo e bloqueando. Consulte Conectar dados do firewall de aplicativo web da Microsoft ao Microsoft Sentinel.
Habilite o log de auditoria abrangente: ative o registro em log dos recursos do WAF do Azure para capturar logs de auditoria, segurança e diagnóstico. O WAF do Azure fornece relatórios detalhados sobre cada ameaça detectada por meio de logs de diagnóstico configurados, incluindo origem do evento, data, usuário, carimbo de data/hora e endereços. Confira a visão geral do log
Configurar políticas de retenção de armazenamento de logs: enviar logs do WAF do Azure para uma conta de armazenamento personalizada e definir políticas de retenção com base nos requisitos de conformidade da sua organização. Use o Azure Monitor para definir o período de retenção do workspace do Log Analytics adequadamente. Consulte Configurar o monitoramento de uma conta de armazenamento.
Monitorar e revisar logs regularmente: revise os logs do WAF que fornecem relatórios detalhados sobre cada ameaça detectada. Use as recomendações do Microsoft Defender para Nuvem para detectar aplicativos Web desprotegidos e proteger recursos vulneráveis. Aproveite o workbook do WAF integrado do Microsoft Sentinel para uma visão geral dos eventos de segurança. Veja como habilitar as configurações de diagnóstico para o Gateway de Aplicativo do Azure.
Crie alertas para atividades anômalas: habilite as configurações de diagnóstico do Log de Atividades do Azure e as configurações de diagnóstico do WAF, enviando logs para um workspace do Log Analytics. Crie alertas para atividades anômalas com base nas métricas do WAF, como quando as solicitações bloqueadas excedem os limites definidos. Veja como criar alertas no Azure.
Use fontes de sincronização de tempo aprovadas: crie regras de rede para o WAF do Azure para permitir o acesso a servidores NTP com portas e protocolos apropriados, como a porta 123 por UDP, garantindo carimbos de data/hora precisos em seus logs e eventos.
Habilite a proteção de dados confidenciais com a limpeza de logs: configure regras de eliminação de log para remover informações confidenciais, como senhas, endereços IP e dados pessoais dos logs do WAF. Isso protege os dados do cliente, mantendo a visibilidade de segurança. Veja o que é a Proteção de Dados Confidenciais do Firewall do Aplicativo Web do Azure? e a Proteção de Dados Confidenciais do Firewall do Aplicativo Web do Azure.
Configurar as configurações de diagnóstico para registro em log abrangente: habilite as configurações de diagnóstico nos seus recursos WAF para salvar logs no Log Analytics, na Conta de Armazenamento ou no Hub de Eventos. A revisão regular de log ajuda a ajustar suas políticas de WAF e a entender os padrões de ataque em relação aos seus aplicativos. Consulte o registro de atividades do Firewall de Aplicativo Web do Azure.
Proteção de dados
A proteção de dados para o Firewall do Aplicativo Web do Azure envolve a proteção de informações confidenciais processadas pelo WAF, a implementação da criptografia adequada e a manutenção dos controles de acesso apropriados. Essas medidas ajudam a proteger seus aplicativos e os dados que eles manipulam contra acesso e divulgação não autorizados.
Marcar recursos que manipulam informações confidenciais: use marcas para identificar e rastrear o WAF do Azure e os recursos relacionados que armazenam ou processam informações confidenciais. Isso ajuda no relatório de conformidade e garante que os controles de segurança apropriados sejam aplicados. Veja Como criar e usar marcas.
Implementar o isolamento do ambiente: use assinaturas e grupos de gerenciamento separados para diferentes domínios de segurança, como ambientes de desenvolvimento, teste e produção. Isso impede a exposição de dados entre ambientes e permite controles de segurança específicos do ambiente. Veja como criar assinaturas adicionais do Azure.
Garantir a criptografia durante o trânsito: verifique se os clientes que se conectam às suas instâncias do WAF do Azure e aos recursos relacionados podem negociar TLS 1.2 ou superior. Siga as recomendações do Microsoft Defender para Nuvem para criptografia em repouso e em trânsito. Confira Entender a criptografia durante o trânsito com o Azure.
Usar criptografia inativa para recursos WAF: aplique criptografia inativa a todos os recursos do Azure, incluindo o Azure WAF e os recursos relacionados. A Microsoft recomenda permitir que o Azure gerencie chaves de criptografia, mas você pode gerenciar suas próprias chaves quando houver requisitos específicos. Consulte Entenda a criptografia em repouso no Azure.
Monitorar alterações em recursos críticos: configure o WAF do Azure para ser executado no modo de prevenção após estabelecer linhas de base e use o Azure Monitor para criar alertas quando ocorrerem alterações em recursos ou configurações críticas do WAF. Consulte os modos WAF no Application Gateway.
Habilitar a inspeção do corpo da solicitação: configure as políticas do WAF para inspecionar os corpos de solicitação HTTP, não apenas cabeçalhos, cookies e URIs. Isso permite que o WAF detecte ameaças ocultas em dados POST e cargas JSON. Consulte o Firewall de Aplicativo Web do Azure e o Azure Policy.
Use chaves gerenciadas pelo cliente para criptografia aprimorada: considere o uso de chaves gerenciadas pelo cliente armazenadas no Azure Key Vault para requisitos de criptografia que excedem as chaves gerenciadas pela plataforma. Isso fornece controle adicional sobre o ciclo de vida e o acesso da chave de criptografia. Veja como configurar chaves de criptografia gerenciadas pelo cliente.
Gerenciamento de ativos
O gerenciamento eficaz de ativos ajuda você a manter a visibilidade e o controle sobre os recursos do Firewall do Aplicativo Web. Isso inclui descoberta automatizada, marcação adequada, reconciliação de inventário regular e imposição de política para garantir que sua implantação do WAF permaneça segura e em conformidade.
Use a descoberta automatizada de ativos: use o Azure Resource Graph para consultar e descobrir todos os recursos relacionados ao WAF, incluindo computação, armazenamento, rede, portas e protocolos em suas assinaturas. Verifique se você tem permissões de leitura apropriadas e pode enumerar todas as assinaturas e recursos do Azure. Veja como criar consultas com o Azure Resource Graph.
Manter metadados de ativos com rótulos: aplique rótulos às políticas do Azure WAF e aos recursos relacionados para organizar o acesso e o gerenciamento de forma lógica. As tags podem ser associadas aos recursos e aplicadas para organizar o acesso a esses recursos em sua assinatura. Veja como criar e usar tags.
Organizar e acompanhar recursos sistematicamente: use marcação, grupos de gerenciamento e assinaturas separadas para organizar e acompanhar o WAF do Azure e recursos relacionados. Reconciliar o inventário regularmente e garantir que os recursos não autorizados sejam excluídos das assinaturas em tempo hábil. Veja como criar grupos de gerenciamento.
Definir e manter o inventário de recursos aprovado: crie um inventário de recursos aprovados, incluindo suas configurações com base nas necessidades organizacionais. Use o Azure Policy para restringir os tipos de recursos que podem ser criados em suas assinaturas e garantir que todos os recursos presentes sejam aprovados. Veja como configurar e gerenciar o Azure Policy.
Monitorar recursos não aprovados: use o Azure Policy para colocar restrições nos tipos de recursos e monitorar recursos de WAF do Azure não aprovados em suas assinaturas. Use o Azure Resource Graph para consultar e descobrir recursos, garantindo que todos os WAF do Azure e recursos relacionados em seu ambiente sejam aprovados. Veja como criar consultas com o Azure Graph.
Limitar o acesso ao Azure Resource Manager: use o Acesso Condicional do Azure para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure". Isso ajuda a evitar alterações não autorizadas nos recursos do WAF. Veja como configurar o Acesso Condicional para bloquear o acesso ao Azure Resources Manager.
Conformidade e governança da política
A conformidade e a governança de políticas garantem que as implantações do Firewall do Aplicativo Web atendam aos padrões organizacionais e aos requisitos regulatórios. Esses controles ajudam a manter configurações de segurança consistentes em seu ambiente e fornecem monitoramento e imposição de conformidade automatizados.
Use o Azure Policy para impor a implantação do WAF: implemente definições do Azure Policy para exigir a implantação do WAF nos recursos do Azure Front Door e do Gateway de Aplicativo. Configure políticas para auditar, negar ou corrigir automaticamente recursos não compatíveis. Consulte o Firewall de Aplicativo Web do Azure e o Azure Policy.
Exigir conformidade do modo WAF: use o Azure Policy para impor que todas as políticas do WAF operem no modo de prevenção após o ajuste inicial. Isso garante uma proteção consistente em seu ambiente e impede a implantação acidental de WAFs no modo somente detecção. Consulte o Firewall de Aplicativo Web do Azure e o Azure Policy.
Exigir conformidade com o log de recursos: implemente políticas que exijam a habilitação de logs de recursos e métricas em todos os serviços habilitados para WAF. Isso garante o registro em log consistente para requisitos de conformidade e monitoramento de segurança em toda a sua organização. Consulte o Firewall de Aplicativo Web do Azure e o Azure Policy.
Impor o uso da camada Premium para segurança aprimorada: use o Azure Policy para exigir a camada Premium do Azure Front Door para todos os perfis, garantindo acesso a recursos avançados do WAF, como conjuntos de regras gerenciadas, proteção de bot e recursos de link privado. Consulte o Firewall de Aplicativo Web do Azure e o Azure Policy.
Defina a configuração do WAF como código: implemente a infraestrutura como práticas de código usando modelos do ARM, Bicep ou Terraform para manter configurações de WAF consistentes entre ambientes. Essa abordagem simplifica o gerenciamento de exceções de regras e reduz o desvio de configuração. Consulte as práticas recomendadas para o Firewall do Aplicativo Web do Azure no Azure Front Door.
Implementar o monitoramento automatizado de conformidade: use o Microsoft Defender para Nuvem e o Azure Policy para monitorar continuamente a conformidade do WAF e receber recomendações para aplicativos Web desprotegidos. Configure alertas automatizados para violações de política e descompasso de conformidade. Consulte o Firewall de Aplicativo Web do Azure e o Azure Policy.