Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, aprenderá a habilitar el servicio Azure Web Application Firewall (WAF) para un inquilino de Microsoft Entra External ID. Azure WAF protege las aplicaciones web frente a exploits y vulnerabilidades comunes, como el secuestro de secuencias de comandos entre sitios, ataques de denegación de servicio distribuido (DDoS) y actividad de bots maliciosos.
Prerrequisitos
- Una suscripción de Azure. Si no tiene una, obtenga una cuenta de Azure gratis.
- Un inquilino de Id. externa de Microsoft Entra. Servidor de autorización que verifica las credenciales de usuario con los flujos de usuarios en el inquilino, también conocido como proveedor de identidad (IdP). Aprenda a crear un inquilino externo.
- Azure Front Door Premium. Azure Front Door habilita dominios personalizados para el inquilino de Microsoft Entra External ID con optimización de la seguridad y acceso a conjuntos de reglas administradas por WAF.
- azure Web Application Firewall (requiere SKU Premium). azure WAF administra el tráfico que recibe el servidor de autorización.
- Un dominio personalizado. Use con las características de dominio personalizadas en Azure Front Door. Aprenda a habilitar dominios URL personalizados para aplicaciones en arrendatarios externos.
Importante
Después de configurar el dominio personalizado, prueba tu dominio personalizado antes de usarlo.
Habilitación del firewall de aplicaciones web de Azure
Para habilitar WAF para la protección, configure una directiva waf y asóciela a Azure Front Door Premium. Microsoft optimiza Azure Front Door premium para la seguridad y administra los conjuntos de reglas proporcionados por el WAF para protegerse frente a vulnerabilidades comunes, incluidos los scripts entre sitios y las vulnerabilidades de javaScript. Además, Azure WAF proporciona conjuntos de reglas que ayudan a protegerse contra la actividad de bot malintencionada y proporcionan protección contra DDoS de nivel 7 para la aplicación.
Creación de una directiva de Firewall de aplicaciones web de Azure
Siga estos pasos para crear la política WAF.
- Inicie sesión en Azure Portal.
- En Servicios de Azure, seleccione Crear un recurso.
- En la barra de búsqueda, escriba Azure WAF y, después, seleccione Firewall de aplicaciones web de servicio de Azure (WAF) de Microsoft.
- Seleccione Crear.
- Vaya a Crear una directiva de WAF.
- Seleccione Conceptos básicos.
- En Directiva para, seleccione WAF global (Front Door).
- Para la Front Door SKU, seleccione la SKU Premium.
- En Suscripción, seleccione el nombre de la suscripción a Front Door.
- Para el grupo de recursos , seleccione el nombre del grupo de recursos de Front Door.
- En Nombre de la directiva, escriba un nombre único para la directiva WAF.
- En Estado de la directiva, seleccione Habilitado.
- En Modo de directiva, seleccione Detección.
- Vaya a Crear una directiva de WAF>Asociación.
- Seleccione + Asociar un perfil de Front Door.
- Front Door: Seleccione el nombre de Front Door asociado con el dominio personalizado de Microsoft Entra External ID.
- Dominios: Seleccione los dominios personalizados de Microsoft Entra External ID a los que asociar la directiva WAF.
- Seleccione Agregar.
- Seleccione Revisar + crear.
- Seleccione Crear.
Configuración del conjunto de reglas predeterminado
Después de crear una nueva directiva de WAF, Azure Front Door se implementa automáticamente con la versión más reciente del conjunto de reglas predeterminado administrado por Azure (DRS). Este conjunto de reglas protege las aplicaciones web frente a vulnerabilidades comunes y vulnerabilidades de seguridad. Los conjuntos de reglas administrados por Azure protegen frente a amenazas de seguridad comunes. Azure administra y actualiza estos conjuntos de reglas según sea necesario para protegerse frente a nuevas firmas de ataque. El DRS incluye las reglas de recopilación de inteligencia sobre amenazas de Microsoft que proporcionan una cobertura aumentada, correcciones para vulnerabilidades específicas y una reducción mejorada de falsos positivos.
Configuración del conjunto de reglas de Bot Manager
De forma predeterminada, la WAF de Azure Front Door se implementa con la versión más reciente del conjunto de reglas del Bot Manager administrado por Azure . Este conjunto de reglas clasifica el tráfico de bots en bots buenos, incorrectos y desconocidos. La plataforma WAF administra y actualiza dinámicamente las firmas del bot detrás de este conjunto de reglas.
Configuración de la limitación de velocidad
Limitación de velocidad para Azure Front Door permite detectar y bloquear el tráfico anómalomente alto desde cualquier dirección IP de socket. Use Azure WAF en Azure Front Door para mitigar algunos tipos de ataques por denegación de servicio. La limitación de velocidad protege a los clientes configurados incorrectamente por accidente de enviar grandes volúmenes de solicitudes en un corto período de tiempo. Debe usar reglas personalizadas para configurar manualmente la limitación de volumen en el WAF.
Configurar modos de detección y prevención
Después de crear una directiva de WAF, Azure activa la directiva en Modo de detección. Deje la directiva WAF en Modo de detección mientras ajusta el WAF para el tráfico. En Modo detección, el WAF no bloquea las solicitudes. En su lugar, WAF registra las solicitudes que coinciden con las reglas de WAF después de habilitar el registro.
Después de habilitar el registro y de que el WAF reciba solicitudes de tráfico, revise los registros y ajuste el WAF.
En la consulta siguiente se muestran las solicitudes que una directiva WAF de ejemplo bloqueó en las 24 horas anteriores. Los detalles incluyen el nombre de la regla, los datos de solicitud, la acción que tomó la directiva y el modo de directiva.
AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s
| RuleID | DetailMsg | Acción | Mode | DetailData |
|---|---|---|---|---|
| DefaultRuleSet-1.0-SQLI-942430 | Restringe la detección de anomalías de caracteres de SQL (args): número de caracteres especiales que se han excedido (12) | Block | Detección | Datos coincidentes: CfDJ8KQ8bY6D |
Revise los registros del WAF para determinar si alguna de las reglas del WAF causó algún falso positivo. Después, use exclusiones para mitigar esos falsos positivos de WAF. Configurar las listas de exclusión del firewall de aplicaciones web. Configura el firewall de aplicaciones web con listas de exclusión de Azure Front Door.
Después de configurar el registro y de que el WAF reciba tráfico, puede evaluar la eficacia de las reglas del administrador de bots para gestionar el tráfico de bots. En la consulta siguiente se muestran las acciones que el conjunto de reglas del administrador de bots de ejemplo tomó categorizada por tipo de bot. En Modo de detección, el WAF solo registra las acciones de tráfico bot. Después de cambiar al modo de prevención de , WAF comienza a bloquear activamente el tráfico de bots no deseados.
AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked
Cambiar del modo de detección al modo de prevención
Para observar la actividad en el tráfico solicitado, seleccione Cambiar a modo de prevención en la página Información general de la directiva WAF en el portal de Azure. Esta selección cambia del modo de detección al modo de prevención . Waf bloquea las solicitudes que coinciden con las reglas de la directiva de WAF y las registra en los registros de WAF. El WAF realiza la acción prescrita cuando una solicitud coincide con una o varias reglas y registra los resultados. De forma predeterminada, el DRS se establece en modo de puntuación de anomalías; el WAF no actúa sobre una solicitud a menos que alcance el umbral de puntuación de anomalías.
Para volver al Modo de detección, seleccione Cambiar a modo de detección en la página Infromación general.