Che cos'è il firewall per applicazioni web di Azure sul gateway delle applicazioni di Azure?

Una distribuzione di Web Application Firewall di Azure su Azure Application Gateway protegge attivamente le applicazioni Web da exploit e vulnerabilità comuni. A manó a mano che le applicazioni Web diventano obiettivi più frequenti per attacchi dannosi, questi attacchi spesso sfruttano vulnerabilità note come SQL injection e scripting tra siti.

Firewall per applicazioni web di Azure sul gateway dell'applicazione si basa sul Core Rule Set (CRS) del progetto OWASP (Open Web Application Security Project).

Tutte le seguenti funzionalità del Web Application Firewall di Azure esistono all'interno di una politica di Web Application Firewall (WAF). È possibile creare più criteri e associarli a un gateway applicativo, a singoli listener o a regole di routing basate sul percorso in un gateway applicativo. Questa associazione consente di definire criteri separati per ogni sito dietro il gateway delle applicazioni, se necessario. Per altre informazioni sui criteri WAF, vedere Crea criteri WAF per Application Gateway.

Il Application Gateway opera come controller di distribuzione delle applicazioni. Offre la terminazione di Transport Layer Security (TLS) (precedentemente noto come Secure Sockets Layer o SSL), l'affinità di sessione basata su cookie, la distribuzione del carico round-robin, l'instradamento basato sui contenuti, la possibilità di ospitare più siti web e miglioramenti della sicurezza.

Il Gateway Applicativo migliora la sicurezza tramite la gestione dei criteri TLS e il supporto TLS end-to-end. L'integrazione del Firewall per Applicazioni Web di Azure nel Gateway delle Applicazioni fortifica la sicurezza delle applicazioni. Questa combinazione protegge attivamente le applicazioni Web da vulnerabilità comuni e offre una posizione gestibile centralmente.

Vantaggi

Questa sezione descrive i vantaggi principali offerti dal Web Application Firewall di Azure sull'Application Gateway.

Protezione

• Proteggere le applicazioni Web da vulnerabilità e attacchi Web senza modifiche al codice back-end.

• Proteggere più applicazioni Web contemporaneamente. Un'istanza del gateway applicativo può ospitare fino a 40 siti Web che usano un firewall per applicazioni web.

• Creare policy WAF personalizzate per siti diversi dietro lo stesso WAF.

• Proteggere le applicazioni Web da bot dannosi con il set di regole di reputazione IP.

• Aiuta a proteggere l'applicazione dagli attacchi DDoS. Per altre informazioni, vedere Protezione DDoS di livello 7 dell'applicazione.

Monitoraggio

• Monitoraggio degli attacchi contro le applicazioni Web tramite il log in tempo reale di WAF. Il log è integrato con Monitoraggio di Azure per tenere traccia degli avvisi waf e monitorare le tendenze.

• Il WAF del gateway applicazione è integrato con Microsoft Defender per il Cloud. Defender per il cloud offre una visualizzazione centrale dello stato di sicurezza di tutte le risorse di Azure, ibride e multi-cloud.

Personalizzazione

• Personalizza le regole e i gruppi di regole del WAF per soddisfare i requisiti delle applicazioni ed eliminare i falsi positivi.

• Associare un criterio WAF per ogni sito protetto da WAF per consentire la configurazione specifica del sito.

• Creare regole personalizzate in base alle esigenze dell'applicazione.

Funzionalità

• Protezione da SQL injection.
• Protezione dagli script tra siti.
• Protezione da altri attacchi Web comuni, ad esempio l'inserimento di comandi, il contrabbando di richieste HTTP, la suddivisione delle risposte HTTP e l'inclusione di file remoti.
• Protezione da violazioni del protocollo HTTP.
• Protezione dalle anomalie del protocollo HTTP, come intestazioni mancanti Host, User-Agent e Accept.
• Protezione da crawler e scanner.
• Rilevamento di errori di configurazione comuni dell'applicazione (ad esempio, Apache e IIS).
• Limiti inferiori e superiori configurabili per le dimensioni delle richieste.
• Elenchi di esclusione che consentono di omettere determinati attributi di richiesta da una valutazione WAF. Un esempio comune è rappresentato dai token inseriti in Active Directory che vengono usati per l'autenticazione o per i campi delle password.
• Possibilità di creare regole personalizzate in base alle esigenze specifiche delle applicazioni.
• Possibilità di filtrare geograficamente il traffico, per consentire o impedire a determinati paesi/aree geografiche di ottenere l'accesso alle applicazioni.
• Set di regole di Bot Manager che consente di proteggere le applicazioni dai bot.
• Possibilità di esaminare JSON e XML nel corpo della richiesta.

Regole e criteri di WAF

Per usare un firewall applicativo web sul Gateway Applicazione, è necessario creare una politica WAF. Questo criterio è la posizione in cui esistono tutte le regole gestite, le regole personalizzate, le esclusioni e altre personalizzazioni (ad esempio il limite di caricamento di file).

È possibile configurare un criterio WAF e associare tale criterio a uno o più gateway applicazione per la protezione. I criteri di WAF sono costituiti da due tipi di regole di sicurezza:

• Regole personalizzate che crei
• Set di regole gestite che sono raccolte di regole preconfigurate gestite da Azure

Quando entrambi sono presenti, WAF elabora regole personalizzate prima di elaborare le regole in un set di regole gestite.

Una regola è costituita da una condizione di corrispondenza, una priorità e un'azione. I tipi di azione supportati sono ALLOW, BLOCKe LOG. È possibile creare un criterio completamente personalizzato che soddisfi i requisiti specifici per la protezione delle applicazioni combinando regole gestite e personalizzate.

Il WAF elabora le regole all'interno di una politica in un ordine di priorità. La priorità è un numero intero univoco che definisce l'ordine di elaborazione delle regole. Un valore intero più piccolo indica una priorità più alta e WAF valuta tali regole prima delle regole con un valore intero superiore. Dopo che WAF corrisponde a una regola con una richiesta, applica l'azione corrispondente definita dalla regola alla richiesta. Dopo che il WAF elabora tale corrispondenza, le regole con priorità inferiore non vengono elaborate ulteriormente.

Un'applicazione Web che Application Gateway offre può avere associato un criterio WAF a livello globale, a livello di sito o a livello di URI.

Regole personalizzate

Il gateway delle applicazioni supporta la creazione di regole personalizzate. Il gateway applicativo valuta le regole personalizzate per ogni richiesta che passa attraverso il WAF. Queste regole hanno una priorità più elevata rispetto alle altre dei set di regole gestiti. Se una richiesta soddisfa un set di condizioni, il WAF esegue un'azione per consentire o bloccare. Per altre informazioni sulle regole personalizzate, vedere Regole personalizzate per il gateway applicativo.

L'operatore Geomatch è ora disponibile per le regole personalizzate. Per altre informazioni, vedere Regole personalizzate di corrispondenza geografica.

Set di regole

Il gateway applicativo supporta più set di regole, tra cui CRS 3.2, CRS 3.1 e CRS 3.0. Queste regole consentono di proteggere le applicazioni Web da attività dannose. Per ulteriori informazioni, vedere i gruppi di regole e le regole del firewall per applicazioni web DRS e CRS.

Set di regole di Bot Manager

È possibile abilitare un set di regole di Bot Manager gestito per eseguire azioni personalizzate sulle richieste da tutte le categorie di bot.

Il gateway applicativo supporta tre categorie di bot:

• Bot dannosi: Bot con indirizzi IP dannosi o che hanno falsificato la loro identità. Gli indirizzi IP dannosi potrebbero derivare dagli indicatori IP di alta affidabilità nel feed di intelligence sulle minacce Microsoft e dai feed di reputazione IP. I bot non validi includono anche bot che si identificano come bot validi, ma hanno indirizzi IP che non appartengono a autori di bot legittimi.

• Bot validi: agenti utente attendibili. Le regole per i bot validi vengono ordinate in più categorie per fornire un controllo granulare sulla configurazione dei criteri WAF. Queste categorie includono:

  • Bot del motore di ricerca verificati (ad esempio Googlebot e Bingbot).
  • Bot per il controllo dei collegamenti convalidati.
  • Bot di social media verificati (ad esempio FacebookBot e LinkedInBot).
  • Bot pubblicitari verificati.
  • Bot di verifica del contenuto verificati.
  • Bot convalidati vari.

• Bot sconosciuti: agenti utente senza convalida aggiuntiva. I bot sconosciuti potrebbero anche avere indirizzi IP dannosi che provengono dagli indicatori IP a media attendibilità del feed di Intelligence per le minacce di Microsoft.

Web application firewall di Azure gestisce e aggiorna in modo dinamico le firme del bot.

Quando si attiva la protezione del bot, blocca, consente o registra le richieste in ingresso che corrispondono alle regole del bot in base all'azione configurata. Blocca i bot dannosi, consente l'accesso ai crawler verificati dei motori di ricerca, blocca i bot sconosciuti dei motori di ricerca e registra i bot sconosciuti per impostazione predefinita. È possibile impostare azioni personalizzate per bloccare, consentire o registrare vari tipi di bot.

È possibile accedere ai log waf da un account di archiviazione, da un hub eventi o da Log Analytics. È anche possibile inviare log a una soluzione partner.

Per ulteriori informazioni sulla protezione dei bot del gateway delle applicazioni, vedere la Web Application Firewall nella panoramica della protezione dei bot del gateway delle applicazioni.

Modalità di WAF

È possibile configurare il WAF del gateway applicativo per funzionare nelle modalità seguenti:

• Modalità di rilevamento: Monitora e registra tutti gli avvisi sulle minacce. Attiva la registrazione diagnostica per il gateway applicativo nella sezione Diagnostica. È anche necessario assicurarsi che il log WAF sia selezionato e attivato. Un web application firewall non blocca le richieste in ingresso quando opera in modalità di rilevamento.
• Modalità di prevenzione: Blocca intrusioni e attacchi rilevati dalle regole. L'autore dell'attacco riceve un'eccezione di "accesso non autorizzato 403" e la connessione viene chiusa. La modalità di prevenzione registra tali attacchi nei log di WAF.

Motore WAF

Il motore WAF è il componente che controlla il traffico e rileva se una richiesta contiene una firma che indica un potenziale attacco. Quando si usa CRS 3.2 o versione successiva, il web application firewall esegue il nuovo motore WAF, che offre prestazioni più elevate e un set di funzionalità migliorato. Quando si usano versioni precedenti del CRS, il WAF viene eseguito su un motore più vecchio. Le nuove funzionalità sono disponibili solo nel nuovo motore WAF.

Azioni di WAF

È possibile scegliere l'azione eseguita da WAF quando una richiesta corrisponde a una condizione della regola. Il gateway applicativo supporta le seguenti azioni:

• Consenti: la richiesta passa attraverso il WAF e viene inoltrata al back-end. Nessun'altra regola con priorità inferiore può bloccare questa richiesta. Queste azioni si applicano solo al set di regole di Bot Manager. Non si applicano al CRS.
• Blocca: la richiesta è bloccata. WAF invia una risposta al client senza inoltrare la richiesta al back-end.
• Log: la richiesta viene registrata nei log waf. WAF continua a valutare le regole con priorità più bassa.
• Punteggio di anomalia: questa azione è l'impostazione predefinita per CRS. Il punteggio di anomalia totale viene incrementato quando una richiesta corrisponde a una regola con questa azione. La valutazione delle anomalie non si applica al set di regole del Bot Manager.

Modalità di valutazione delle anomalie

OWASP ha due modalità per decidere se bloccare il traffico: assegnazione di punteggi tradizionali e anomalie.

In modalità tradizionale, il traffico che corrisponde a qualsiasi regola viene considerato indipendentemente dalle corrispondenze con qualsiasi altra regola. Questa modalità è facile da comprendere, ma la mancanza di informazioni sul numero di regole che corrispondono a una richiesta specifica è una limitazione. La modalità di valutazione delle anomalie è stata introdotta come predefinita per OWASP 3.x.

In modalità di valutazione delle anomalie, il traffico che corrisponde a una qualsiasi regola non viene bloccato immediatamente quando il firewall è in modalità di protezione. Le regole hanno una certa gravità: Critico, Errore, Attenzione o Avviso. Tale gravità influisce su un valore numerico per la richiesta, ovvero il punteggio di anomalia. Ad esempio, una regola di tipo avviso aggiunge 3 al punteggio. Una corrispondenza della regola critica contribuisce 5.

Esiste una soglia di 5 per il punteggio di anomalia per bloccare il traffico. Pertanto, una singola corrispondenza di regola critica è sufficiente affinché il WAF del gateway applicazioni blocchi una richiesta in modalità di prevenzione. Tuttavia, una regola di avviso aumenta solo il punteggio di anomalia di 3, che non è sufficiente da solo per bloccare il traffico.

Impostazione

È possibile configurare e distribuire tutti i criteri WAF usando il portale di Azure, le API REST, i modelli di Azure Resource Manager e Azure PowerShell. È anche possibile configurare e gestire i criteri WAF su larga scala usando l'integrazione di Gestione firewall di Azure. Per altre informazioni, vedere Configurare i criteri WAF usando Gestione firewall di Azure.

Monitoraggio di WAF

Il monitoraggio dell'integrità del gateway delle applicazioni è importante. È possibile ottenerlo integrando WAF (e le applicazioni da proteggere) con Microsoft Defender for Cloud, Monitoraggio di Azure e Log di Monitoraggio di Azure.

Monitoraggio di Azure

I log del gateway dell'applicazione sono integrati con Azure Monitor per monitorare le informazioni diagnostiche, inclusi avvisi e log WAF. È possibile accedere a questa funzionalità nel portale di Azure, nella scheda Diagnostica della risorsa gateway applicazione. In alternativa, è possibile accedervi direttamente in Monitoraggio di Azure.

Per ulteriori informazioni sull'uso dei log, consulta Log di diagnostica per il Gateway Applicazione.

Microsoft Defender for Cloud

Defender per il Cloud consente di prevenire, rilevare e rispondere alle minacce. Offre maggiore visibilità e controllo sulla sicurezza delle risorse di Azure. Application Gateway è integrato con Defender per Cloud.

Defender per il Cloud analizza l'ambiente per rilevare applicazioni Web non protette. Può consigliare un WAF di gateway applicativo per aiutare a proteggere queste risorse vulnerabili.

I firewall vengono creati direttamente da Defender per il cloud. Queste istanze WAF sono integrate con Defender per il cloud. Inivano avvisi e informazioni sulla sicurezza a Defender per il Cloud per la generazione di report.

Microsoft Sentinel

Microsoft Sentinel è una soluzione scalabile e nativa del cloud che include siem (Security Information Event Management) e soAR (Security Orchestration Automated Response). Microsoft Sentinel offre funzionalità intelligenti di analisi della sicurezza e intelligence sulle minacce in tutta l'azienda. Offre una singola soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.

Con la cartella di lavoro degli eventi del firewall integrata in Web application firewall di Azure, è possibile ottenere una panoramica degli eventi di sicurezza nel WAF. La panoramica include regole corrispondenti, regole bloccate e tutte le altre attività del firewall registrate.

Cartella di lavoro per Azure Monitor per WAF

La cartella di lavoro di Monitoraggio di Azure per WAF consente la visualizzazione personalizzata degli eventi WAF rilevanti per la sicurezza in diversi pannelli filtrabili. Funziona con tutti i tipi WAF, tra cui gateway applicazione, Frontdoor di Azure e rete per la distribuzione di contenuti di Azure.

È possibile filtrare la cartella di lavoro in base al tipo WAF o a un'istanza WAF specifica. È possibile importarlo tramite un modello di Azure Resource Manager o un modello di galleria.

Per distribuire questa cartella di lavoro, consultare il repository GitHub di Azure Web Application Firewall.

Registrazione

Il gateway di applicazione WAF fornisce report dettagliati su ogni minaccia rilevata. La registrazione è integrata con i log di Diagnostica di Azure. Gli avvisi vengono registrati in formato JSON. È possibile integrare questi log con i log di Monitoraggio di Azure.

{
  "resourceId": "/SUBSCRIPTIONS/{subscriptionId}/RESOURCEGROUPS/{resourceGroupId}/PROVIDERS/MICROSOFT.NETWORK/APPLICATIONGATEWAYS/{appGatewayName}",
  "operationName": "ApplicationGatewayFirewall",
  "time": "2017-03-20T15:52:09.1494499Z",
  "category": "ApplicationGatewayFirewallLog",
  "properties": {
    {
      "instanceId": "ApplicationGatewayRole_IN_0",
      "clientIp": "203.0.113.145",
      "clientPort": "0",
      "requestUri": "/",
      "ruleSetType": "OWASP",
      "ruleSetVersion": "3.0",
      "ruleId": "920350",
      "ruleGroup": "920-PROTOCOL-ENFORCEMENT",
      "message": "Host header is a numeric IP address",
      "action": "Matched",
      "site": "Global",
      "details": {
        "message": "Warning. Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host ....",
        "data": "127.0.0.1",
        "file": "rules/REQUEST-920-PROTOCOL-ENFORCEMENT.conf",
        "line": "791"
      },
      "hostname": "127.0.0.1",
      "transactionId": "16861477007022634343"
      "policyId": "/subscriptions/aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e/resourceGroups/drewRG/providers/Microsoft.Network/ApplicationGatewayWebApplicationFirewallPolicies/globalWafPolicy",
      "policyScope": "Global",
      "policyScopeName": " Global "
    }
  }
} 

Prezzi WAF del Gateway di Applicazione

I modelli di determinazione dei prezzi sono diversi per le versioni di WAF_v1 e WAF_v2. Per altre informazioni, vedere Prezzi del gateway applicazione.

Novità

Per informazioni sulle novità di Azure web application firewall, vedere aggiornamenti di Azure.

Contenuti correlati

• Gruppi di regole DRS e CRS e regole del Web Application Firewall di Azure
• Regole personalizzate per Azure Web Application Firewall v2 su Azure Application Gateway
• Azure Web Application Firewall su Azure Front Door
• Documentazione sulla sicurezza di rete di Azure