O que é o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure?

Aplica-se a: ✔️ Application Gateway

Uma implantação do Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure protege ativamente seus aplicativos Web contra explorações e vulnerabilidades comuns. À medida que os aplicativos da Web se tornam alvos mais frequentes de ataques mal-intencionados, esses ataques geralmente exploram vulnerabilidades bem conhecidas, como injeção de SQL e scripts entre sites.

O Firewall de Aplicações Web do Azure no Gateway de Aplicação é baseado no Core Rule Set (CRS) do Open Web Application Security Project (OWASP).

Todos os seguintes recursos do Firewall de Aplicativo Web do Azure existem dentro de uma política de firewall de aplicativo Web (WAF). Você pode criar várias políticas e associá-las a um gateway de aplicativo, a ouvintes individuais ou a regras de roteamento baseadas em caminho em um gateway de aplicativo. Essa associação permite que você defina políticas separadas para cada site atrás do gateway de aplicativo, se necessário. Para obter mais informações sobre políticas WAF, consulte Criar políticas WAF para Application Gateway.

O Application Gateway opera como um controlador de entrega de aplicativos. Ele oferece terminação de Transport Layer Security (TLS) (anteriormente conhecida como Secure Sockets Layer ou SSL), afinidade de sessão baseada em cookies, distribuição de carga round-robin, roteamento baseado em conteúdo, a capacidade de hospedar vários sites e melhorias de segurança.

O Application Gateway melhora a segurança por meio do gerenciamento de políticas TLS e do suporte completo a TLS. A integração do Firewall de Aplicativo Web do Azure no Gateway de Aplicativo fortalece a segurança do aplicativo. Essa combinação defende ativamente seus aplicativos da Web contra vulnerabilidades comuns e oferece um local gerenciável centralmente.

Benefícios

Esta seção descreve os principais benefícios que o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo oferece.

Proteção

• Proteja as suas aplicações web contra vulnerabilidades e ataques web sem modificar o código back-end.

• Proteja várias aplicações Web ao mesmo tempo. Uma instância do Application Gateway pode alojar até 40 sites que utilizam um firewall de aplicações web.

• Crie políticas WAF personalizadas para diferentes sites detrás do mesmo WAF.

• Proteja as suas aplicações web contra bots maliciosos utilizando o Conjunto de Regras de Reputação IP.

• Proteja seu aplicativo contra ataques DDoS. Para obter mais informações, consulte Proteção contra DDoS de aplicativos (camada 7).

Monitorização

• Monitore ataques contra seus aplicativos da Web usando um log WAF em tempo real. Azure Monitor integra-se com o log para acompanhar alertas WAF e monitorizar tendências.

• O Microsoft Defender para a Cloud integra-se com o WAF do Gateway de Aplicações. O Defender para a Cloud fornece uma visão central do estado de segurança de todos os seus recursos do Azure, híbridos e multicloud.

Personalização

• Personalize as regras e grupos de regras do WAF para corresponder aos requisitos da sua aplicação e eliminar os falsos positivos.

• Associe uma política WAF a cada site protegido pelo WAF para permitir a configuração específica para o site.

• Crie regras personalizadas para atender às necessidades do seu aplicativo.

Funcionalidades

• Proteção contra injeção de SQL.
• Proteção contra scripts entre sites.
• Proteção contra outros ataques comuns da Web, como injeção de comando, contrabando de solicitação HTTP, divisão de resposta HTTP e inclusão remota de arquivos.
• Proteção contra violações do protocolo HTTP.
• Proteção contra anomalias do protocolo HTTP, como a ausência de cabeçalhos Host, User-Agent e Accept.
• Proteção contra rastreadores e scanners.
• Deteção de configurações incorretas comuns de aplicativos (por exemplo, Apache e IIS).
• Limites de tamanho de solicitação configuráveis com limites inferiores e superiores.
• Listas de exclusão que permitem omitir determinados atributos de solicitação de uma avaliação WAF. Um exemplo comum são os tokens inseridos no Ative Directory que são usados para campos de autenticação ou senha.
• Capacidade de criar regras personalizadas para atender às necessidades específicas de seus aplicativos.
• Capacidade de filtrar geograficamente o tráfego, para permitir ou bloquear o acesso de determinados países/regiões às suas aplicações.
• Conjunto de regras do Bot Manager que ajuda a proteger seus aplicativos contra bots.
• Capacidade de inspecionar JSON e XML no corpo da solicitação.

Política e regras do WAF

Para usar um firewall de aplicativo Web no Application Gateway, você deve criar uma política WAF. Esta política contém todas as regras geridas, regras personalizadas, exclusões e outras personalizações, como o limite de carregamento de ficheiros.

Você pode configurar uma política WAF e associá-la a um ou mais gateways de aplicativos para proteção. Uma política WAF consiste em dois tipos de regras de segurança:

• Regras personalizadas que você cria
• Conjuntos de regras gerenciadas que são coleções de regras pré-configuradas gerenciadas pelo Azure

Quando ambos os tipos de regras estão presentes, o WAF processa regras personalizadas antes de processar as regras num conjunto de regras geridas.

Uma regra consiste em uma condição de correspondência, uma prioridade e uma ação. Os tipos de ação suportados são ALLOW, BLOCKe LOG. Ao combinar regras geridas e personalizadas, pode criar uma política totalmente personalizada que satisfaça os seus requisitos específicos para a proteção da aplicação.

O WAF processa regras dentro de uma política por ordem de prioridade. A prioridade é um número inteiro exclusivo que define a ordem das regras a serem processadas. Um valor inteiro menor indica uma prioridade mais alta, por isso o WAF avalia essas regras antes de regras que têm um valor inteiro mais elevado. Depois que o WAF faz a correspondência de uma regra com uma solicitação, ele aplica a ação correspondente que a regra define à solicitação. Depois de o WAF processar esse tipo de jogo, deixa de processar regras com prioridades mais baixas.

Um aplicativo Web fornecido pelo Application Gateway pode ter uma política WAF associada a ele em nível global, por site ou por URI.

Regras personalizadas

O Application Gateway suporta a criação de suas próprias regras personalizadas. O Application Gateway avalia regras personalizadas para cada solicitação que passa pelo WAF. Estas regras têm uma prioridade superior às restantes regras nos conjuntos de regras geridas. Se uma solicitação atender a um conjunto de condições, o WAF tomará uma ação para permitir ou bloquear. Para obter mais informações sobre regras personalizadas, consulte Regras personalizadas para o Application Gateway.

O Geomatch operador agora está disponível para regras personalizadas. Para obter mais informações, consulte Regras personalizadas de correspondência geográfica.

Conjuntos de regras

O Application Gateway suporta vários conjuntos de regras, incluindo CRS 3.2, CRS 3.1 e CRS 3.0. Essas regras ajudam a proteger seus aplicativos Web contra atividades maliciosas. Para obter mais informações, consulte Grupos e regras de DRS e CRS do firewall de aplicativos Web.

Conjunto de regras do Gerenciador de Bots

Você pode habilitar um Conjunto de Regras do Gerenciador de Bots gerenciado para executar ações personalizadas em solicitações de todas as categorias de bots.

O Application Gateway suporta três categorias de bots:

• Bots maus: Bots que têm endereços IP maliciosos ou que falsificam as suas identidades. Endereços IP maliciosos podem provir dos Indicadores IP de Compromisso de alta confiança do feed de Inteligência de Ameaças da Microsoft e dos feeds de reputação IP. Os bots ruins também incluem bots que se identificam como bons bots, mas têm endereços IP que não pertencem a editores legítimos de bots.

• Bons bots: Agentes de usuário confiáveis. As regras para bons bots são classificadas em várias categorias para fornecer controle granular sobre a configuração da política WAF. Estas categorias incluem:

  • Bots verificados do mecanismo de pesquisa (como Googlebot e Bingbot).
  • Bots verificadores de links validados.
  • Bots de mídia social verificados (como FacebookBot e LinkedInBot).
  • Bots de publicidade verificados.
  • Bots verificados para verificação de conteúdo.
  • Bots validados diversos.

• Bots desconhecidos: agentes de usuário sem validação adicional. Bots desconhecidos podem também ter endereços IP maliciosos provenientes dos indicadores de comprometimento de IP de confiança média do feed de inteligência de ameaças da Microsoft.

O Firewall de Aplicações Web do Azure gerencia ativamente e atualiza dinamicamente as assinaturas de bot.

Quando você ativa a proteção de bot, ela bloqueia, permite ou registra solicitações de entrada que correspondem às regras de bot com base na ação configurada. Ele bloqueia bots mal-intencionados, permite rastreadores verificados de mecanismos de pesquisa, bloqueia rastreadores de mecanismos de pesquisa desconhecidos e registra bots desconhecidos por padrão. Você pode definir ações personalizadas para bloquear, permitir ou registrar vários tipos de bots.

Você pode acessar logs WAF de uma conta de armazenamento, um hub de eventos ou Log Analytics. Você também pode enviar logs para uma solução parceira.

Para obter mais informações sobre a proteção de bot do Application Gateway, consulte Visão geral do Firewall de Aplicações Web on Application Gateway bot protection.

Modos WAF

Você pode configurar o WAF do Application Gateway para ser executado nos seguintes modos:

• Modo de deteção: Monitoriza e regista todos os alertas de ameaças. Ative os diagnósticos de registo para o Application Gateway na secção de Diagnósticos . Você também deve certificar-se de que o log WAF está selecionado e ativado. Um firewall de aplicativo Web não bloqueia solicitações de entrada quando está operando no modo de deteção.
• Modo de prevenção: bloqueia intrusões e ataques que as regras detetam. O invasor recebe uma exceção de "acesso não autorizado 403" e a conexão é fechada. O modo de prevenção registra esses ataques nos logs do WAF.

Motor WAF

O mecanismo WAF é o componente que inspeciona o tráfego e deteta se uma solicitação contém uma assinatura que indica um ataque potencial. Quando você usa o CRS 3.2 ou posterior, o firewall do aplicativo Web executa o novo mecanismo WAF, que oferece maior desempenho e um conjunto aprimorado de recursos. Ao utilizar versões anteriores do CRS, o seu WAF funciona num motor mais antigo. As novas funcionalidades estão disponíveis apenas no novo motor WAF.

Ações do WAF

Escolhe qual a ação que o WAF executa quando um pedido corresponde a uma condição de regra. O Application Gateway suporta as seguintes ações:

• Permitir: A solicitação passa pelo WAF e é encaminhada para o back-end. Nenhuma outra regra de prioridade inferior pode bloquear este pedido. Essas ações se aplicam somente ao Conjunto de Regras do Gerenciador de Bots. Não se aplicam ao CRS.
• Bloqueio: A solicitação está bloqueada. O WAF envia uma resposta ao cliente sem encaminhar a solicitação para o back-end.
• Log: A solicitação é registrada nos logs do WAF. O WAF continua a avaliar as regras de prioridade mais baixa.
• Pontuação de anomalia: Esta ação é o padrão para o CRS. A pontuação total de anomalias é incrementada quando uma solicitação corresponde a uma regra com essa ação. A pontuação de anomalias não se aplica ao Conjunto de Regras do Gerenciador de Bots.

Modo de pontuação de anomalias

O OWASP tem dois modos para decidir se bloqueia o tráfego: tradicional e pontuação de anomalias.

No modo tradicional, o tráfego que corresponde a qualquer regra é considerado independentemente de qualquer outra correspondência de regra. Esse modo é fácil de entender, mas a falta de informações sobre quantas regras correspondem a uma solicitação específica é uma limitação. Assim, o modo de pontuação de anomalias foi introduzido como padrão para o OWASP 3. x.

No modo de pontuação de anomalias, o tráfego que corresponde a qualquer regra não é imediatamente bloqueado quando o firewall está no modo de prevenção. As regras têm uma certa gravidade: Crítica, Erro, Aviso ou Aviso. Essa gravidade afeta um valor numérico para a solicitação, que é a pontuação de anomalia. Por exemplo, uma ocorrência de uma regra de aviso contribui com 3 para a pontuação. Uma correspondência de regra crítica contribui com 5 pontos.

Existe um limite de 5 para a pontuação de anomalia, para que o tráfego seja bloqueado. Portanto, uma única regra Crítica emparelhada é suficiente para que o WAF do Application Gateway bloqueie uma solicitação no estado de prevenção. Mas uma correspondência de regra de alerta apenas aumenta a pontuação de anomalia em 3, o que, por si só, não é suficiente para bloquear o tráfego.

Configuração

Você pode configurar e implantar todas as políticas WAF usando o portal do Azure, APIs REST, modelos do Azure Resource Manager e Azure PowerShell. Você também pode configurar e gerenciar políticas WAF em escala usando a integração do Azure Firewall Manager. Para obter mais informações, consulte Configurar políticas WAF usando o Gerenciador de Firewall do Azure.

Monitorização WAF

Monitorar a integridade do gateway de aplicativo é importante. Pode conseguir esta monitorização integrando o seu WAF (e as aplicações que ele ajuda a proteger) com o Microsoft Defender para a Cloud, Azure Monitor e Azure Monitor Logs.

Azure Monitor

Os logs do Gateway de Aplicação são integrados com o Azure Monitor para que seja possível monitorizar informações de diagnóstico, incluindo alertas e logs do WAF. Você pode acessar esse recurso no portal do Azure, na guia Diagnóstico do recurso Gateway de Aplicativo. Ou você pode acessá-lo diretamente no Azure Monitor.

Para saber mais sobre a utilização de logs, consulte Logs de diagnóstico do Application Gateway.

Microsoft Defender para a Cloud

O Defender para a Cloud ajuda-o a prevenir, detetar e responder a ameaças. Ele fornece maior visibilidade e controle sobre a segurança de seus recursos do Azure. O Application Gateway é integrado ao Defender para a Cloud.

O Defender para a Cloud verifica seu ambiente para detetar aplicativos Web desprotegidos. Ele pode recomendar um WAF do Application Gateway para ajudar a proteger esses recursos vulneráveis.

Você cria os firewalls diretamente do Defender para a Cloud. Essas instâncias WAF são integradas ao Defender para a Cloud. Eles enviam alertas e informações de saúde para o Defender para a Cloud para relatórios.

Microsoft Sentinel

O Microsoft Sentinel é uma solução escalável e nativa da nuvem que engloba o gerenciamento de eventos de informações de segurança (SIEM) e a resposta automatizada de orquestração de segurança (SOAR). O Microsoft Sentinel oferece análises de segurança inteligentes e inteligência contra ameaças em toda a empresa. Ele fornece uma solução única para deteção de alertas, visibilidade de ameaças, caça proativa e resposta a ameaças.

Com a pasta de trabalho de eventos de firewall integrada ao Firewall de Aplicativo Web do Azure, você pode obter uma visão geral dos eventos de segurança em seu WAF. A visão geral inclui regras correspondentes, regras bloqueadas e todas as outras atividades de firewall registradas.

Pasta de trabalho do Azure Monitor para WAF

A pasta de trabalho do Azure Monitor para WAF permite a visualização personalizada de eventos WAF relevantes para a segurança em vários painéis filtráveis. Ele funciona com todos os tipos de WAF, incluindo Gateway de Aplicações, Azure Front Door e Rede de Entrega de Conteúdos do Azure.

Você pode filtrar essa pasta de trabalho com base no tipo WAF ou em uma instância específica do WAF. Você o importa por meio do modelo do Azure Resource Manager ou do modelo de galeria.

Para implantar este livro de trabalho, consulte o repositório GitHub para o Firewall de Aplicativo Web do Azure.

Registo

O WAF do Application Gateway fornece relatórios detalhados sobre cada ameaça detetada. O registo é integrado com os registos de Diagnóstico do Azure. Os alertas são gravados no formato JSON. Você pode integrar esses logs com os Logs do Azure Monitor.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Preços do Application Gateway WAF

As versões WAF_v1 e WAF_v2 utilizam modelos de preços diferentes. Para obter mais informações, consulte Preços do Application Gateway.

Novidades

Para saber o que há de novo no Firewall de Aplicativo Web do Azure, consulte Atualizações do Azure.

Conteúdo relacionado

• Grupos de regras e regras do Firewall de Aplicações Web do Azure DRS e CRS
• Regras personalizadas para o Firewall de Aplicações Web do Azure v2 no Gateway de Aplicação do Azure
• Firewall de Aplicações Web do Azure no Azure Front Door
• Documentação de segurança de rede do Azure