Självstudie: Konfigurera Azure Active Directory B2C med Azure Web Application Firewall

Lär dig hur du aktiverar tjänsten Azure Web Application Firewall (WAF) för en Azure Active Directory B2C-klientorganisation (Azure AD B2C) med en anpassad domän. WAF skyddar webbprogram från vanliga kryphål och sårbarheter, till exempel skript över flera webbplatser, DDoS-attacker och skadlig robotaktivitet.

Se Vad är Azure Web Application Firewall?

Förutsättningar

För att komma igång behöver du:

• En prenumeration på Azure
• Om du inte har något får du ett kostnadsfritt Azure-konto
• En Azure AD B2C-klientorganisation – auktoriseringsserver som verifierar användarautentiseringsuppgifter med hjälp av anpassade principer som definierats i klientorganisationen
  • Kallas även identitetsleverantör (IdP)
  • Se Självstudie: Skapa en Azure Active Directory B2C-tenant
• Azure Front Door Premium – möjliggör anpassade domäner för Azure AD B2C-klientorganisationen och är säkerhetsoptimerad med åtkomst till WAF-hanterade regeluppsättningar
  • Se Azure Front Door- och CDN-dokumentationen
• WAF – hanterar trafik som skickas till auktoriseringsservern
  • Azure Web Application Firewall (kräver Premium-SKU)

Anpassade domäner i Azure AD B2C

Om du vill använda anpassade domäner i Azure AD B2C använder du funktionerna för anpassade domäner i Azure Front Door. Se Aktivera anpassade domäner för Azure AD B2C.

Aktivera WAF

Om du vill aktivera WAF konfigurerar du en WAF-princip och associerar den med din Azure Front Door Premium för skydd. Azure Front Door Premium är optimerat för säkerhet och ger dig åtkomst till regeluppsättningar som hanteras av Azure och som skyddar mot vanliga sårbarheter och sårbarheter, inklusive skript över flera webbplatser och Java-sårbarheter. WAF tillhandahåller regeluppsättningar som hjälper dig att skydda dig mot skadlig robotaktivitet. WAF erbjuder dig DDoS-skydd på lager 7 för ditt program.

Skapa en WAF-policy

Skapa en WAF-policy med Azure-hanterad standardregeluppsättning (DRS). Se DRS-regelgrupper och regler för Web Application Firewall.

1. Logga in på Azure-portalen.
2. Välj Skapa en resurs.
3. Sök efter Azure WAF.
4. Välj Azure Service Web Application Firewall (WAF) från Microsoft.
5. Välj Skapa.
6. Gå till sidan Skapa en WAF-princip .
7. Välj fliken Basics (Grunder).
8. För Policy förväljer du Global WAF (Front Door).
9. För Front Door SKU väljer du Premium-SKU :n.
10. För Prenumeration , välj namnet på din Front Door-prenumeration.
11. För Resursgruppväljer du namnet på din Front Door-resursgrupp.
12. Ange ett unikt namn för din WAF-policy för Principnamn.
13. För Principtillståndväljer du Aktiverad.
14. För Principlägeväljer du Identifiering.
15. Gå till fliken Association på sidan Skapa en WAF-princip.
16. Välj + Associera en Front Door-profil.
17. För Front Door väljer du ditt Front Door-namn som är associerat med Azure AD B2C anpassad domän.
18. För Domäner väljer du de anpassade Azure AD B2C-domäner som WAF-principen ska associeras med.
19. Välj Lägg till.
20. Välj Förhandsgranska + skapa.
21. Välj Skapa.

Standardregeluppsättning

När du skapar en ny WAF-princip för Azure Front Door distribueras den automatiskt med den senaste versionen av Azure-hanterad standardregeluppsättning (DRS). Den här regeluppsättningen skyddar webbprogram från vanliga sårbarheter och exploateringar. Azure-hanterade regeluppsättningar är ett enkelt sätt att distribuera skydd mot en gemensam uppsättning säkerhetshot. Eftersom Azure hanterar dessa regeluppsättningar uppdateras reglerna efter behov för att skydda mot nya attacksignaturer. DRS innehåller Microsoft Threat Intelligence Collection-regler som är skrivna i samarbete med Microsoft Intelligence-teamet för att ge ökad täckning, korrigeringar för specifika sårbarheter och bättre minskning av falska positiva identifieringar.

Läs mer: DRS-regelgrupper och regler för Azure Web Application Firewall

Regeluppsättning för Bot Manager

Som standard distribueras Azure Front Door WAF med den senaste versionen av Azure-hanterade Bot Manager-regeluppsättningen. Den här regeluppsättningen kategoriserar robottrafik i bra, dåliga och okända robotar. Robotsignaturerna bakom den här regeluppsättningen hanteras av WAF-plattformen och uppdateras dynamiskt.

Läs mer: Vad är Azure Web Application Firewall på Azure Front Door?

Hastighetsbegränsning

Med hastighetsbegränsning kan du identifiera och blockera onormalt höga trafiknivåer från alla socket-IP-adresser. Genom att använda Azure WAF i Azure Front Door kan du minimera vissa typer av överbelastningsattacker. Hastighetsbegränsning skyddar dig mot klienter som av misstag har konfigurerats fel för att skicka stora mängder begäranden under en kort tidsperiod. Hastighetsbegränsning måste konfigureras manuellt på WAF med hjälp av anpassade regler.

Lära sig mer:

• Hastighetsbegränsning för brandvägg för webbaserade program för Azure Front Door
• Konfigurera en WAF-hastighetsbegränsningsregel för Azure Front Door

Detekterings- och förebyggande lägen

När du skapar en WAF-princip startar principen i identifieringsläge. Vi rekommenderar att du lämnar WAF-principen i identifieringsläge medan du finjusterar WAF för din trafik. I det här läget blockerar WAF inte begäranden. I stället loggas begäranden som matchar WAF-reglerna av WAF när loggning har aktiverats.

Aktivera loggning: Azure Web Application Firewall övervakning och loggning

När loggning har aktiverats och din WAF börjar ta emot begärandetrafik kan du börja justera din WAF genom att titta igenom loggarna.

Läs mer: Justera Azure Web Application Firewall för Azure Front Door

Följande fråga visar de begäranden som blockerats av WAF-principen under de senaste 24 timmarna. Informationen omfattar regelnamn, begärandedata, åtgärder som vidtas av principen och principläget.

AzureDiagnostics
| where TimeGenerated >= ago(24h)
| where Category == "FrontdoorWebApplicationFirewallLog"
| where action_s == "Block"
| project RuleID=ruleName_s, DetailMsg=details_msg_s, Action=action_s, Mode=policyMode_s, DetailData=details_data_s

Granska WAF-loggarna för att avgöra om policyregler orsakar falska positiva identifieringar. Undanta sedan WAF-reglerna baserat på WAF-loggarna.

Lära sig mer

• Konfigurera WAF-undantagslistor för Azure Front Door
• Undantagslistor för brandvägg för webbaserade program i Azure Front Door

När loggning har ställts in och din WAF tar emot trafik kan du utvärdera effektiviteten hos dina bot manager-regler för att hantera bottrafik. Följande fråga visar de åtgärder som vidtas av regeluppsättningen för robothanteraren, kategoriserade efter robottyp. I identifieringsläge loggar WAF endast robottrafikåtgärder. Men när WAF har växlats till förebyggande läge börjar den aktivt blockera oönskad bottrafik.

AzureDiagnostics
| where Category == "FrontDoorWebApplicationFirewallLog"
| where action_s in ("Log", "Allow", "Block", "JSChallenge", "Redirect") and ruleName_s contains "BotManager"
| extend RuleGroup = extract("Microsoft_BotManagerRuleSet-[\\d\\.]+-(.*?)-Bot\\d+", 1, ruleName_s)
| extend RuleGroupAction = strcat(RuleGroup, " - ", action_s)
| summarize Hits = count() by RuleGroupAction, bin(TimeGenerated, 30m)
| project TimeGenerated, RuleGroupAction, Hits
| render columnchart kind=stacked

Byta läge

Om du vill se WAF vidta åtgärder för begärandetrafik väljer du Växla till förebyggande läge på sidan Översikt, vilket ändrar läget från Identifiering till Förebyggande. Begäranden som matchar reglerna i DRS blockeras och loggas i WAF-loggarna. WAF vidtar den föreskrivna åtgärden när en begäran matchar en eller flera regler i DRS och loggar resultaten. Som standard är DRS inställt på avvikelsebedömningsläge. Det innebär att WAF inte vidtar några åtgärder för en begäran om inte tröskelvärdet för avvikelsepoäng uppfylls.

Läs mer: Avvikelsebedömning Azure Web Application Firewall DRS-regelgrupper och regler

Om du vill återgå till identifieringsläge väljer du Växla till detekteringsläge på sidan Översikt.

Nästa steg

• metodtips för Azure Web Application Firewall i Azure Front Door
• Hantera brandväggsprinciper för webbprogram
• Finjustera Azure Web Application Firewall för Azure Front Door