آخرین بهروزرسانیهای مایکروسافت برای فایروال برنامه وب Azure، آن را به یکی از اجزای ضروری معماریهای ابری تبدیل کرده است.
هرقدر که ما بخواهیم غیر از این فکر کنیم، برنامه های کاربردی ابری، برنامه های کاربردی وب هستند. ما ممکن است خدمات بسازیم، اما APIهای آنها اغلب RESTful هستند، و در جایی که ممکن است در گذشته از فناوریهای مختلف فراخوانی از راه دور استفاده کرده باشیم، اکنون در حال انتقال به gRPC مبتنی بر QUIC هستیم. همه این بدان معناست که ما بیشتر تعاملات برنامه های خود را با دنیای خارج از طریق پروتکل های وب از طریق همان مجموعه محدود پورت ها انجام می دهیم.
در روزهای اولیه اینترنت، ما میتوانستیم برنامهها را بر اساس پورتهای IP جدا کنیم و از فایروالها برای مسدود کردن ترافیک ناخواسته با جلوگیری از دسترسی به پورتهای ناخواسته استفاده کنیم. مهاجمان باید قبل از یافتن آسیبپذیریها، کل محدوده شماره پورتهای احتمالی را اسکن کنند، اندازه سطح حمله موجود را کاهش دهند و خطر را به حداقل برسانند. با این حال، اکنون آنها می توانند به سادگی به پورت های آشنای HTTP، HTTPS و QUIC بروند و سعی کنند با استفاده از مجموعه ای از ابزارهای کاهش یافته، وارد شوند.
تغییر به APIهای مبتنی بر وب، کار مهاجمان را در مقیاس آسانتر و شناسایی ترافیک قانونی و جلوگیری از اسکنها و حملات ناخواسته را برای مدافعان سختتر کرده است. اگرچه ممکن است در ابتدا مسدود کردن تمام ترافیک و سپس اسکن بستههای HTTP سادهتر باشد، اما حجم زیادی از ترافیکی که از طریق آن پورتها وارد میکنیم میتواند فایروال سنتی را بیش از حد بارگذاری کند. سپس این مسئله وجود دارد که چگونه ترافیک مورد نظر خود را شناسایی و مدیریت می کنیم. چگونه میتوانیم تفاوت بین جستارهای معتبر و مخرب را در یک API تشخیص دهیم و حملات انکار سرویس و حملاتی را که از بارهای دستکاری شده برای به خطر انداختن برنامههای شما استفاده میکنند، مسدود کنیم؟
برنامه های Azure را با Azure WAF ایمن کنید
در Azure، این نقش فایروال برنامه وب Azure است. (آژور WAF). در دسترس به عنوان یک محصول مستقل و به عنوان بخشی از مجموعه تحویل محتوای Azure Front Door، Azure WAF ترافیک مورد نظر ما یا بازیگران خوب را از ترافیکی که نمیخواهیم یا بازیگران بد جدا میکند. اگر میخواهید یک برنامه Azure عمومی را اجرا کنید، ابزاری مانند این ضروری است. برنامههای خصوصی که با استفاده از VPN یا اتصالات مستقیم از طریق سرویسهایی مانند ExpressRoute، Azure را به عنوان یک افزونه شبکه شما در نظر میگیرند، بعید است که به WAF نیاز داشته باشند، زیرا فقط ترافیک قابل اعتماد و تأیید شده باید به آن دسترسی داشته باشد.
مایکروسافت مرتباً Azure WAF را بهروزرسانی میکند، و اخیراً نسخه اصلی Azure Front Door با نسخه جدید WAF عرضه شد. Azure WAF در دو نسخه ارائه می شود: WAF جهانی برای برنامه های کاربردی وب در مقیاس بزرگ بخشی از Front Door است و WAF منطقه ای برای زیرساخت های مجازی خودتان.
این که از کدام یک استفاده می کنید به نحوه استقرار برنامه شما بستگی دارد. اگر در حال استقرار سراسری در چندین منطقه Azure با استفاده از متعادلکنندههای بار Front Door هستید تا ترافیک را به نزدیکترین نمونه برنامه هدایت کنید، احتمالاً از Global استفاده میکنید و از استقرار آن در مراکز داده لبه شهری منطقهای استفاده میکنید. کدهایی که در یک منطقه قرار میگیرند احتمالاً از منطقهای استفاده میکنند، با Azure WAF به عنوان بخشی از یک Azure Application Gateway در زیرساخت برنامه شما، که با استفاده از ابزارهایی مانند ARM مستقر شده است.
استقرار Azure WAF در زیرساخت مجازی
اگر Azure WAF را به صورت محلی اجرا میکنید، میتوانید نمونههای v1 و v2 را انتخاب کنید. V2 اخیرا منتشر شده است و پیشرفت قابل توجهی نسبت به نسخه ۱ دارد و ویژگی های مقیاس بندی و قابلیت اطمینان را اضافه می کند. اگر در حال حاضر نسخه ۱ را اجرا می کنید، به طور خودکار به نسخه جدید ارتقا نمی دهید و باید به صورت دستی ارتقا دهید، تنظیمات و ترافیک را قبل از حذف هر نمونه v1 به یک WAF جدید v2 منتقل کنید. یک نکته مهم این است که شما نمی توانید آدرس های IP را به یک دروازه جدید منتقل کنید، بنابراین به یک آدرس جدید نیاز دارد. یک اسکریپت PowerShell برای Azure CLI وجود دارد که به کمک می کند فرآیند به روز رسانی.
ساده ترین راه برای استقرار نمونه V2 Azure WAF در یک محیط جدید با یک الگوی ARM است. این رویکرد به شما امکان میدهد امنیت برنامه را در هر استقرار خودکار ایجاد کنید، یک عامل کلیدی در ارائه نسخههای غیرقابل نفوذ به عنوان بخشی از خط لوله CI/CD (ادغام پیوسته و تحویل مداوم).
ابتدا باید یک دروازه برنامه برای VNet خود پیکربندی کنید. این می تواند به همان اندازه که شما می خواهید اساسی باشد. آنچه مهم است سیاست های فایروالی است که اعمال می کنید. مایکروسافت از قوانینهای Open Web Application Security Project (OWASP) برای Azure WAF خود استفاده میکند، بنابراین نسخه مورد نظر خود را انتخاب کنید و آن را در آن اعمال کنید. دروازه برنامه شما همراه با قوانینی که پارامترهای اصلی درخواست را مدیریت می کنند، به عنوان مثال، محدود کردن اندازه بدنه های درخواست برای کاهش خطر بارگذاری درخواست های مخرب که API شما را با کد اجرایی بارگذاری می کنند. سایر حفاظت ها شامل دفاع در برابر حملات تزریق SQL، اسکریپت نویسی بین سایتی و پرس و جوهای نادرست است.
جدیدترین موتور WAF برای نسخه نسخه ۲ از نسخه ۳.۲ اصلی OWASP استفاده می کند که خطر مثبت کاذب را کاهش می دهد و قوانینی را اضافه می کند که به محافظت از برنامه های جاوا کمک می کند. انتخاب مجموعه قوانین بخشی از راه اندازی فایروال شما است. اگر می خواهید از ۳.۲ و موتور جدید استفاده کنید، باید آن را همراه با نمونه WAF خود پیکربندی کنید زیرا نصب پیش فرض نسخه قدیمی ۳.۱ است. نسخه جدید مزایای قابل توجهی دارد: در همان زیرساخت مجازی تا ۸ برابر سریعتر است و می تواند با درخواست های بسیار بزرگتر کار کند. ۱۴ گروه قانون مختلف در CRS 3.2 وجود دارد که به شما امکان می دهد قوانینی را که بر اساس نیازهای برنامه اعمال می شوند تنظیم کنید.
ادغام Azure WAF با سایر ابزارهای امنیتی Azure
Azure WAF با ابزارهای امنیتی Azure مایکروسافت، از جمله Microsoft Defender for Cloud، یکپارچه شده است. این به شما مجموعه ای از گزینه های جالب را برای مدیریت WAF خود، انتقال مدیریت به خارج از تیم زیرساخت و به تیم امنیتی خود، استفاده از ابزارهای آنها برای مدیریت قوانین پس از استقرار می دهد. متخصصان امنیتی می توانند فایروال ایجاد کنند، قوانین را مدیریت کنند و مستقیماً از پورتال Defender for Cloud مستقر شوند. یکی از گزینههای مفید، امکان یافتن برنامههای محافظتنشده با استفاده از ابزارهای اسکن داخلی است که به Azure WAF اجازه میدهد به طور خودکار از برنامههای آسیبپذیر محافظت کند.
Azure WAF علاوه بر ارسال هشدارها به ابزارهای Defender for Cloud، با ابزارهای مدیریت رویداد اطلاعات امنیتی Sentinel مایکروسافت ادغام میشود. تیم امنیتی شما میتواند از این موارد برای شناسایی سریع حملات احتمالی استفاده کند و از ترکیبی از گزارشهای یادگیری ماشین برای تعقیب تهدیدات جدیدی که ممکن است در ابتدا آشکار نبودهاند، استفاده کند. استفاده از WAF به عنوان یک حسگر اضافی در محیط امنیتی شما ایده خوبی است، زیرا در یکی از سطوح حمله آشکار قرار می گیرد و می تواند به عنوان یک هشدار اولیه عمل کند.
جالب است که مایکروسافت از Azure WAF خارج از مرکز داده آشنا استفاده میکند با پشتیبانی از شبکه جهانی تحویل محتوای Azure، Azure CDN. شاید بتوان این را به عنوان جایگزینی برای Cloudflare در نظر گرفت که با محافظت از محتوای کش شده با محدودیتهای کنترل نرخ برای توقف زودهنگام حملات DDoS، به خوبی خارج از برنامه شما محافظت میکند. با استفاده از فناوریهایی مانند Azure Static Web Apps از Azure CDN برای میزبانی برنامهها در مقیاس بزرگ، استفاده از Azure WAF در لبه شبکه Azure بسیار منطقی است.
مایکروسافت افزودن Azure WAF را به برنامههای شما آسان میکند، که رویکرد معقولی برای تشویق پذیرش است. ایمن سازی برنامه های کاربردی ابری نباید سخت باشد. تبدیل آن به زیرساخت قابل برنامه ریزی، استقرار را ساده می کند و به بهترین شیوه های معماری بومی ابری پایبند است. با فناوریهای وب کلیدی برای ارائه برنامههای کاربردی مدرن، WAF جزء ضروری زیرساخت شما است. تنها چیزی که مهم است این نیست که آیا یکی را نصب می کنید، بلکه این است که کجا.
پست های مرتبط
با Azure WAF امنیت را به برنامه های Azure اضافه کنید
با Azure WAF امنیت را به برنامه های Azure اضافه کنید
با Azure WAF امنیت را به برنامه های Azure اضافه کنید