Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure Web Application Firewall (WAF) fornece proteção centralizada para seus aplicativos Web contra exploits e vulnerabilidades comuns, como injeção de SQL, scripts entre sites e outros ataques OWASP Top 10. Como um componente de segurança crítico que fica entre seus aplicativos e ameaças potenciais, é essencial proteger adequadamente sua implantação do WAF para maximizar sua eficácia e manter sua postura geral de segurança.
Este artigo fornece orientação sobre como proteger melhor sua implantação do Firewall de Aplicativo Web do Azure.
Segurança de rede
A segurança de rede para o Firewall de Aplicativos Web do Azure se concentra na proteção de seus aplicativos por meio do gerenciamento de tráfego adequado, no bloqueio de endereços IP mal-intencionados e na configuração adequada dos modos WAF. Esses controles ajudam a garantir que apenas o tráfego legítimo chegue aos seus aplicativos, mantendo uma proteção abrangente contra ataques baseados na Web.
Configurar o WAF no modo de Prevenção após o período da linha de base: Comece com o modo de Deteção para entender seus padrões de tráfego e identificar falsos positivos e, em seguida, alterne para o modo de Prevenção para bloquear ativamente os ataques. O modo de prevenção bloqueia intrusões e ataques detetados pelas regras, enviando aos atacantes uma exceção de "acesso não autorizado 403". Consulte os modos WAF no Application Gateway e os modos WAF na Front Door.
Use regras personalizadas para bloquear endereços IP mal-intencionados: crie regras personalizadas para permitir e bloquear o tráfego com base em endereços IP, intervalos ou localizações geográficas. Isso fornece controle granular sobre quem pode acessar seus aplicativos e ajuda a evitar ataques de agentes mal-intencionados conhecidos. Consulte Grupos de regras e regras CRS do Web Application Firewall.
Personalize as regras do WAF para reduzir falsos positivos: aplique políticas WAF específicas do site e personalize regras e grupos de regras para atender aos requisitos do seu aplicativo Web. Isso ajuda a eliminar falsos positivos, mantendo a proteção contra ameaças genuínas. Associe uma Política WAF do Azure exclusiva para cada site para permitir a configuração específica do site.
Habilite o registro e o monitoramento abrangentes: ative os logs de diagnóstico e WAF ao operar no modo de deteção para monitorar e registrar todos os alertas de ameaça. Isso fornece visibilidade sobre o que seu WAF está avaliando, combinando e bloqueando. Consulte Visão geral do log.
Usar tags para gerenciamento de segurança de rede organizada: aplique tags a grupos de segurança de rede associados ao seu WAF na sub-rede do Gateway de Aplicativo do Azure e recursos de segurança de rede relacionados. Use o campo "Descrição" para regras NSG individuais para especificar as necessidades e a duração do negócio. Consulte Como criar e usar tags.
Monitorar configurações de recursos de rede: use o Log de Atividades do Azure para monitorar configurações de recursos de rede e detetar alterações nas configurações de rede e recursos relacionados às suas implantações do WAF. Crie alertas no Azure Monitor que são acionados quando ocorrem alterações nas configurações críticas de rede. Consulte Como exibir e recuperar eventos do Log de Atividades do Azure.
Implementar limitação de taxa para evitar ataques DDoS: Configure regras de limitação de taxa para controlar o número de solicitações permitidas de cada endereço IP do cliente durante um período de tempo especificado. Defina limites de limite de taxa altos o suficiente para evitar o bloqueio de tráfego legítimo e, ao mesmo tempo, proteger contra tempestades de repetição e ataques DDoS. Veja Qual é a limitação de taxa para o Azure Front Door?
Habilitar a proteção de bot para bloquear bots mal-intencionados: use o conjunto de regras gerenciadas de proteção de bot para identificar e bloquear bots ruins, permitindo bots legítimos, como rastreadores de mecanismos de pesquisa. As regras de proteção de bots categorizam os bots como bons, ruins ou desconhecidos e podem bloquear automaticamente o tráfego de bots mal-intencionados. Consulte Configurar a proteção de bot para o Web Application Firewall.
Implementar filtragem geográfica para aplicativos regionais: se seu aplicativo atender usuários de regiões geográficas específicas, configure a filtragem geográfica para bloquear solicitações de países ou regiões fora do esperado. Inclua o local desconhecido (ZZ) para evitar bloquear solicitações válidas de endereços IP não mapeados. Veja O que é geo-filtragem num domínio para Azure Front Door?
Utilize as versões mais recentes do conjunto de políticas geridas: atualize regularmente para as versões mais recentes do conjunto de políticas geridas pelo Azure para proteger contra ameaças atuais. A Microsoft atualiza regularmente as regras gerenciadas com base no cenário de ameaças e nos 10 principais tipos de ataque do OWASP. Consulte Grupos de regras e regras DRS do Firewall de Aplicativo Web do Azure.
Gestão de identidades
O gerenciamento de identidades para o Azure Web Application Firewall garante que o acesso administrativo aos seus recursos WAF seja controlado e monitorado corretamente. Isso inclui a manutenção de inventários de contas administrativas, o uso de sistemas de identidade centralizados e a implementação de mecanismos de autenticação forte para qualquer pessoa que gerencie sua implantação do WAF.
Usar o Azure Ative Directory para autenticação centralizada: use o Azure AD como seu sistema central de autenticação e autorização para gerenciar recursos WAF. O Azure AD protege os dados com criptografia forte e fornece gerenciamento de identidade consistente em seu ambiente do Azure. Consulte Como criar e configurar uma instância do Azure AD.
Manter o inventário de contas administrativas: use funções internas do Azure AD que podem ser consultadas e devem ser atribuídas explicitamente. Use o módulo Azure AD PowerShell para executar consultas e descobrir contas que são membros de grupos administrativos com acesso a recursos do WAF. Consulte Como obter uma função de diretório no Azure AD com PowerShell.
Habilitar autenticação multifator para acesso administrativo: exija MFA para todos os usuários com acesso administrativo aos recursos do WAF. Isso adiciona uma camada adicional crucial de segurança, mesmo se as senhas forem comprometidas. Siga as recomendações de Gerenciamento de Identidade e Acesso do Microsoft Defender for Cloud. Consulte Como habilitar a autenticação multifator no Azure.
Usar contas administrativas dedicadas com procedimentos padrão: crie procedimentos operacionais padrão em torno do uso de contas administrativas dedicadas que têm acesso a instâncias WAF do Azure. Use os recursos de Gerenciamento de Identidade e Acesso do Microsoft Defender for Cloud para monitorar o número de contas administrativas. Veja Compreender Microsoft Defender for Cloud Identity and Access.
Gerencie o acesso somente de locais aprovados: configure políticas de Acesso Condicional com locais nomeados para restringir o acesso aos recursos do WAF. Crie agrupamentos lógicos de intervalos de endereços IP ou países e regiões e restrinja o acesso a recursos confidenciais aos locais nomeados configurados. Consulte Qual é a condição de localização no Acesso Condicional do Azure Ative Directory.
Monitorar e alertar sobre atividades suspeitas da conta: use os relatórios de segurança do Azure AD e o Microsoft Defender for Cloud para monitorar a atividade de identidade e acesso. Configure alertas para atividades suspeitas ou inseguras e integre-se ao Microsoft Sentinel para deteção avançada de ameaças. Consulte Como identificar usuários do Azure AD sinalizados para atividades de risco.
Acesso privilegiado
Os controles de acesso privilegiados para o Azure Web Application Firewall se concentram em limitar e monitorar o acesso administrativo aos seus recursos WAF. Essas medidas ajudam a evitar alterações não autorizadas em suas configurações de segurança e garantem que as operações privilegiadas sejam devidamente rastreadas e auditadas.
Use o RBAC do Azure para controlar o acesso a recursos: controle o acesso aos seus recursos do Azure WAF usando o controle de acesso baseado em função do Azure. Aplique o princípio do menor privilégio atribuindo apenas as permissões mínimas necessárias aos usuários e serviços. Consulte Como configurar o RBAC do Azure no Azure.
Usar estações de trabalho de acesso privilegiado para tarefas administrativas: use estações de trabalho dedicadas e reforçadas com autenticação multifator configurada para fazer logon e configurar o WAF do Azure e recursos relacionados. Isso reduz o risco de comprometimento administrativo por meio de estações de trabalho de usuário padrão. Consulte Saiba mais sobre estações de trabalho com acesso privilegiado.
Revise e reconcilie regularmente o acesso do usuário: use as Revisões de Acesso de Identidade do Azure para gerenciar com eficiência associações de grupo, acesso a aplicativos corporativos e atribuições de função para recursos do WAF. Revise o acesso do usuário regularmente para garantir que apenas os usuários ativos tenham acesso contínuo. Consulte Como usar as Revisões do Azure Identity Access.
Monitorizar o acesso a credenciais desativadas: integrar as fontes de log de Atividade de Início de Sessão, Auditoria e Eventos de Risco do Azure AD com o Microsoft Sentinel ou outras ferramentas SIEM. Crie Configurações de Diagnóstico para contas de usuário do Azure AD e envie logs de auditoria e entrada para um espaço de trabalho do Log Analytics para monitoramento. Consulte Como integrar os Logs de Atividade do Azure no Azure Monitor.
Configurar respostas automatizadas a atividades suspeitas: use os recursos de Proteção de Risco e Identidade do Azure AD para configurar respostas automatizadas para ações suspeitas detetadas relacionadas às identidades dos usuários. Ingerir dados no Microsoft Sentinel para investigação e resposta adicionais. Consulte Como configurar e habilitar políticas de risco da Proteção de Identidade.
Registo e deteção de ameaças
O registro abrangente e a deteção de ameaças são essenciais para manter a visibilidade da postura de segurança do Web Application Firewall. Esses recursos ajudam a detetar ameaças, investigar incidentes e manter a conformidade, coletando e analisando eventos de segurança em toda a implantação do WAF.
Habilite o gerenciamento centralizado de logs com o Microsoft Sentinel: configure os logs WAF do Azure para serem enviados ao Microsoft Sentinel ou a um SIEM de terceiros. Isso inclui logs de Atividade, Diagnóstico e WAF em tempo real do Azure que fornecem informações sobre quais dados seu WAF está avaliando, combinando e bloqueando. Consulte Conectar dados do firewall de aplicativos Web da Microsoft ao Microsoft Sentinel.
Habilite o registo de auditoria abrangente: Ative o registo para os seus recursos do Azure WAF para capturar registos de auditoria, segurança e diagnóstico. O WAF do Azure fornece relatórios detalhados sobre cada ameaça detetada por meio de logs de diagnóstico configurados, incluindo origem do evento, data, usuário, carimbo de data/hora e endereços. Consulte Visão geral do log.
** Configurar políticas de retenção de armazenamento de log: Enviar logs do Azure WAF para uma conta de armazenamento personalizada e definir políticas de retenção de acordo com os requisitos de conformidade da sua organização. Use o Azure Monitor para definir o período de retenção do espaço de trabalho do Log Analytics adequadamente. Consulte Configurar o monitoramento para uma conta de armazenamento.
Monitore e revise os logs regularmente: revise os logs WAF que fornecem relatórios detalhados sobre cada ameaça detetada. Use as recomendações do Microsoft Defender for Cloud para detetar aplicativos Web desprotegidos e proteger recursos vulneráveis. Aproveite a pasta de trabalho WAF integrada do Microsoft Sentinel para obter uma visão geral de eventos de segurança. Consulte Como habilitar configurações de diagnóstico para o Gateway de Aplicativo do Azure.
Criar alertas para atividades anômalas: habilite as configurações de diagnóstico do Log de Atividades do Azure e as configurações de diagnóstico do WAF, enviando logs para um espaço de trabalho do Log Analytics. Crie alertas para atividades anômalas com base em métricas WAF, como quando solicitações bloqueadas excedem os limites definidos. Consulte Como criar alertas no Azure.
Usar fontes de sincronização de tempo aprovadas: crie regras de rede para o Azure WAF para permitir o acesso a servidores NTP com portas e protocolos apropriados, como a porta 123 sobre UDP, garantindo carimbos de data/hora precisos em seus logs e eventos.
Habilite a proteção de dados confidenciais com depuração de logs: configure regras de depuração de logs para remover informações confidenciais, como senhas, endereços IP e dados pessoais de seus logs WAF. Isso protege os dados do cliente enquanto mantém a visibilidade de segurança. Consulte O que é a Proteção de Dados Confidenciais do Firewall do Aplicativo Web do Azure? e Proteção de Dados Confidenciais do Firewall do Aplicativo Web do Azure.
Configure as definições de diagnóstico para uma cobertura completa de logs: Ative as configurações de diagnóstico nos seus recursos WAF para guardar logs no Log Analytics, Conta de Armazenamento ou Hub de Eventos. A revisão regular do log ajuda a ajustar suas políticas WAF e entender os padrões de ataque contra seus aplicativos. Veja Monitorização e registo de logs do Firewall de Aplicativo Web do Azure.
Proteção de dados
A proteção de dados para o Firewall de Aplicativo Web do Azure envolve a proteção de informações confidenciais processadas pelo WAF, a implementação de criptografia adequada e a manutenção de controles de acesso apropriados. Essas medidas ajudam a proteger seus aplicativos e os dados que eles manipulam contra acesso e divulgação não autorizados.
Recursos de tags que lidam com informações confidenciais: use tags para identificar e rastrear o WAF do Azure e recursos relacionados que armazenam ou processam informações confidenciais. Isso ajuda na elaboração de relatórios de conformidade e garante a aplicação de controles de segurança apropriados. Consulte Como criar e usar tags.
Implementar isolamento de ambiente: use assinaturas e grupos de gerenciamento separados para diferentes domínios de segurança, como ambientes de desenvolvimento, teste e produção. Isso evita a exposição de dados entre ambientes e permite controles de segurança específicos do ambiente. Consulte Como criar assinaturas adicionais do Azure.
Garantir a criptografia em trânsito: verifique se os clientes que se conectam às suas instâncias WAF do Azure e recursos relacionados podem negociar TLS 1.2 ou superior. Siga as recomendações do Microsoft Defender for Cloud para criptografia em repouso e em trânsito. Consulte Entender a criptografia durante a transmissão com o Azure.
Usar criptografia em repouso para recursos WAF: aplique criptografia em repouso para todos os recursos do Azure, incluindo o WAF do Azure e recursos relacionados. A Microsoft recomenda permitir que o Azure gerencie chaves de criptografia, mas você pode gerenciar suas próprias chaves quando houver requisitos específicos. Consulte Entender a criptografia em repouso no Azure.
Monitorar alterações em recursos críticos: configure seu WAF do Azure para ser executado no modo de Prevenção depois de estabelecer linhas de base e use o Azure Monitor para criar alertas quando ocorrerem alterações em recursos ou configurações críticos do WAF. Consulte Modos WAF no Application Gateway.
Habilitar inspeção de corpo de solicitação: configure políticas WAF para inspecionar corpos de solicitação HTTP, não apenas cabeçalhos, cookies e URIs. Isso permite que o WAF detete ameaças ocultas nos dados POST e nas cargas úteis JSON. Consulte Firewall de Aplicativo Web do Azure e Política do Azure.
Usar chaves gerenciadas pelo cliente para criptografia aprimorada: considere o uso de chaves gerenciadas pelo cliente armazenadas no Cofre de Chaves do Azure para requisitos de criptografia que excedam as chaves gerenciadas pela plataforma. Isso fornece controle adicional sobre o ciclo de vida e o acesso da chave de criptografia. Consulte Como configurar chaves de criptografia gerenciadas pelo cliente.
Gestão de ativos
O gerenciamento eficaz de ativos ajuda você a manter a visibilidade e o controle sobre os recursos do Web Application Firewall. Isso inclui deteção automatizada, marcação adequada, reconciliação regular de inventário e aplicação de políticas para garantir que sua implantação do WAF permaneça segura e em conformidade.
Usar descoberta automatizada de ativos: use o Azure Resource Graph para consultar e descobrir todos os recursos relacionados ao WAF, incluindo computação, armazenamento, rede, portas e protocolos em suas assinaturas. Verifique se você tem permissões de leitura apropriadas e pode enumerar todas as assinaturas e recursos do Azure. Consulte Como criar consultas com o Azure Resource Graph.
Manter metadados de ativos com tags: aplique tags a políticas WAF do Azure e recursos relacionados para organizar logicamente o acesso e o gerenciamento. As tags podem ser associadas a recursos e aplicadas para organizar o acesso a esses recursos em sua assinatura. Consulte Como criar e usar tags.
Organizar e controlar recursos sistematicamente: use marcação, grupos de gerenciamento e assinaturas separadas para organizar e acompanhar o WAF do Azure e recursos relacionados. Reconcilie o inventário regularmente e garanta que recursos não autorizados sejam excluídos das assinaturas em tempo hábil. Consulte Como criar grupos de gerenciamento.
Definir e manter inventário de recursos aprovados: crie um inventário de recursos aprovados, incluindo suas configurações com base nas necessidades organizacionais. Use a Política do Azure para restringir os tipos de recursos que podem ser criados em suas assinaturas e garantir que todos os recursos presentes sejam aprovados. Consulte Como configurar e gerenciar a Política do Azure.
Monitorar recursos não aprovados: use a Política do Azure para colocar restrições em tipos de recursos e monitorar recursos WAF do Azure não aprovados em suas assinaturas. Use o Azure Resource Graph para consultar e descobrir recursos, garantindo que todos os WAF do Azure e recursos relacionados em seu ambiente sejam aprovados. Consulte Como criar consultas com o Azure Graph.
Limitar o acesso ao Azure Resource Manager: use o Acesso Condicional do Azure para limitar a capacidade dos usuários de interagir com o Azure Resource Manager configurando "Bloquear acesso" para o aplicativo "Gerenciamento do Microsoft Azure". Isso ajuda a evitar alterações não autorizadas nos recursos do WAF. Consulte Como configurar o Acesso Condicional para bloquear o acesso ao Azure Resources Manager.
Conformidade e governança de políticas
A conformidade e a governança de políticas garantem que suas implantações do Web Application Firewall atendam aos padrões organizacionais e aos requisitos normativos. Esses controles ajudam a manter configurações de segurança consistentes em todo o seu ambiente e fornecem monitoramento e aplicação de conformidade automatizados.
Use a Política do Azure para impor a implantação do WAF: implemente as definições da Política do Azure para exigir a implantação do WAF nos recursos do Azure Front Door e do Application Gateway. Configure políticas para auditar, negar ou corrigir automaticamente recursos não compatíveis. Consulte Firewall de Aplicativo Web do Azure e Política do Azure.
Exigir conformidade com o modo WAF: use a Política do Azure para impor que todas as políticas WAF operem no modo de Prevenção após o ajuste inicial. Isso garante uma proteção consistente em todo o seu ambiente e evita a implantação acidental de WAFs no modo Somente deteção. Consulte Firewall de Aplicativo Web do Azure e Política do Azure.
Exigir conformidade de registo de recursos: implemente políticas que exijam a ativação de registos e métricas de recursos em todos os serviços com WAF ativado. Isso garante um registro consistente para monitoramento de segurança e requisitos de conformidade em toda a sua organização. Consulte Firewall de Aplicativo Web do Azure e Política do Azure.
Impor o uso da camada Premium para maior segurança: use a Política do Azure para exigir a camada Premium do Azure Front Door para todos os perfis, garantindo acesso a recursos avançados do WAF, como conjuntos de regras gerenciadas, proteção de bot e recursos de link privado. Consulte Firewall de Aplicativo Web do Azure e Política do Azure.
Defina a configuração do WAF como código: implemente a infraestrutura como práticas de código usando modelos ARM, Bíceps ou Terraform para manter configurações WAF consistentes em todos os ambientes. Essa abordagem simplifica o gerenciamento de exclusão de regras e reduz o desvio de configuração. Consulte Práticas recomendadas para o Firewall de Aplicação Web do Azure no Azure Front Door.
Implementar monitoramento de conformidade automatizado: use o Microsoft Defender for Cloud e a Política do Azure para monitorar continuamente a conformidade com o WAF e receber recomendações para aplicativos Web desprotegidos. Configure alertas automatizados para violações de políticas e desvios de conformidade. Consulte Firewall de Aplicativo Web do Azure e Política do Azure.