با Azure WAF امنیت را به برنامه های Azure اضافه کنید

آخرین به‌روزرسانی‌های مایکروسافت برای فایروال برنامه وب Azure، آن را به یکی از اجزای ضروری معماری‌های ابری تبدیل کرده است.

هرقدر که ما بخواهیم غیر از این فکر کنیم، برنامه های کاربردی ابری، برنامه های کاربردی وب هستند. ما ممکن است خدمات بسازیم، اما APIهای آنها اغلب RESTful هستند، و در جایی که ممکن است در گذشته از فناوری‌های مختلف فراخوانی از راه دور استفاده کرده باشیم، اکنون در حال انتقال به gRPC مبتنی بر QUIC هستیم. همه این بدان معناست که ما بیشتر تعاملات برنامه های خود را با دنیای خارج از طریق پروتکل های وب از طریق همان مجموعه محدود پورت ها انجام می دهیم.

در روزهای اولیه اینترنت، ما می‌توانستیم برنامه‌ها را بر اساس پورت‌های IP جدا کنیم و از فایروال‌ها برای مسدود کردن ترافیک ناخواسته با جلوگیری از دسترسی به پورت‌های ناخواسته استفاده کنیم. مهاجمان باید قبل از یافتن آسیب‌پذیری‌ها، کل محدوده شماره پورت‌های احتمالی را اسکن کنند، اندازه سطح حمله موجود را کاهش دهند و خطر را به حداقل برسانند. با این حال، اکنون آنها می توانند به سادگی به پورت های آشنای HTTP، HTTPS و QUIC بروند و سعی کنند با استفاده از مجموعه ای از ابزارهای کاهش یافته، وارد شوند.

تغییر به APIهای مبتنی بر وب، کار مهاجمان را در مقیاس آسان‌تر و شناسایی ترافیک قانونی و جلوگیری از اسکن‌ها و حملات ناخواسته را برای مدافعان سخت‌تر کرده است. اگرچه ممکن است در ابتدا مسدود کردن تمام ترافیک و سپس اسکن بسته‌های HTTP ساده‌تر باشد، اما حجم زیادی از ترافیکی که از طریق آن پورت‌ها وارد می‌کنیم می‌تواند فایروال سنتی را بیش از حد بارگذاری کند. سپس این مسئله وجود دارد که چگونه ترافیک مورد نظر خود را شناسایی و مدیریت می کنیم. چگونه می‌توانیم تفاوت بین جستارهای معتبر و مخرب را در یک API تشخیص دهیم و حملات انکار سرویس و حملاتی را که از بارهای دستکاری شده برای به خطر انداختن برنامه‌های شما استفاده می‌کنند، مسدود کنیم؟

برنامه های Azure را با Azure WAF ایمن کنید

در Azure، این نقش فایروال برنامه وب Azure است. (آژور WAF). در دسترس به عنوان یک محصول مستقل و به عنوان بخشی از مجموعه تحویل محتوای Azure Front Door، Azure WAF ترافیک مورد نظر ما یا بازیگران خوب را از ترافیکی که نمی‌خواهیم یا بازیگران بد جدا می‌کند. اگر می‌خواهید یک برنامه Azure عمومی را اجرا کنید، ابزاری مانند این ضروری است. برنامه‌های خصوصی که با استفاده از VPN یا اتصالات مستقیم از طریق سرویس‌هایی مانند ExpressRoute، Azure را به عنوان یک افزونه شبکه شما در نظر می‌گیرند، بعید است که به WAF نیاز داشته باشند، زیرا فقط ترافیک قابل اعتماد و تأیید شده باید به آن دسترسی داشته باشد.

مایکروسافت مرتباً Azure WAF را به‌روزرسانی می‌کند، و اخیراً نسخه اصلی Azure Front Door با نسخه جدید WAF عرضه شد. Azure WAF در دو نسخه ارائه می شود: WAF جهانی برای برنامه های کاربردی وب در مقیاس بزرگ بخشی از Front Door است و WAF منطقه ای برای زیرساخت های مجازی خودتان.

این که از کدام یک استفاده می کنید به نحوه استقرار برنامه شما بستگی دارد. اگر در حال استقرار سراسری در چندین منطقه Azure با استفاده از متعادل‌کننده‌های بار Front Door هستید تا ترافیک را به نزدیک‌ترین نمونه برنامه هدایت کنید، احتمالاً از Global استفاده می‌کنید و از استقرار آن در مراکز داده لبه شهری منطقه‌ای استفاده می‌کنید. کدهایی که در یک منطقه قرار می‌گیرند احتمالاً از منطقه‌ای استفاده می‌کنند، با Azure WAF به عنوان بخشی از یک Azure Application Gateway در زیرساخت برنامه شما، که با استفاده از ابزارهایی مانند ARM مستقر شده است.

استقرار Azure WAF در زیرساخت مجازی

اگر Azure WAF را به صورت محلی اجرا می‌کنید، می‌توانید نمونه‌های v1 و v2 را انتخاب کنید. V2 اخیرا منتشر شده است و پیشرفت قابل توجهی نسبت به نسخه ۱ دارد و ویژگی های مقیاس بندی و قابلیت اطمینان را اضافه می کند. اگر در حال حاضر نسخه ۱ را اجرا می کنید، به طور خودکار به نسخه جدید ارتقا نمی دهید و باید به صورت دستی ارتقا دهید، تنظیمات و ترافیک را قبل از حذف هر نمونه v1 به یک WAF جدید v2 منتقل کنید. یک نکته مهم این است که شما نمی توانید آدرس های IP را به یک دروازه جدید منتقل کنید، بنابراین به یک آدرس جدید نیاز دارد. یک اسکریپت PowerShell برای Azure CLI وجود دارد که به کمک می کند فرآیند به روز رسانی.

ساده ترین راه برای استقرار نمونه V2 Azure WAF در یک محیط جدید با یک الگوی ARM است. این رویکرد به شما امکان می‌دهد امنیت برنامه را در هر استقرار خودکار ایجاد کنید، یک عامل کلیدی در ارائه نسخه‌های غیرقابل نفوذ به عنوان بخشی از خط لوله CI/CD (ادغام پیوسته و تحویل مداوم).

ابتدا باید یک دروازه برنامه برای VNet خود پیکربندی کنید. این می تواند به همان اندازه که شما می خواهید اساسی باشد. آنچه مهم است سیاست های فایروالی است که اعمال می کنید. مایکروسافت از قوانین‌های Open Web Application Security Project (OWASP) برای Azure WAF خود استفاده می‌کند، بنابراین نسخه مورد نظر خود را انتخاب کنید و آن را در آن اعمال کنید. دروازه برنامه شما همراه با قوانینی که پارامترهای اصلی درخواست را مدیریت می کنند، به عنوان مثال، محدود کردن اندازه بدنه های درخواست برای کاهش خطر بارگذاری درخواست های مخرب که API شما را با کد اجرایی بارگذاری می کنند. سایر حفاظت ها شامل دفاع در برابر حملات تزریق SQL، اسکریپت نویسی بین سایتی و پرس و جوهای نادرست است.

جدیدترین موتور WAF برای نسخه نسخه ۲ از نسخه ۳.۲ اصلی OWASP استفاده می کند که خطر مثبت کاذب را کاهش می دهد و قوانینی را اضافه می کند که به محافظت از برنامه های جاوا کمک می کند. انتخاب مجموعه قوانین بخشی از راه اندازی فایروال شما است. اگر می خواهید از ۳.۲ و موتور جدید استفاده کنید، باید آن را همراه با نمونه WAF خود پیکربندی کنید زیرا نصب پیش فرض نسخه قدیمی ۳.۱ است. نسخه جدید مزایای قابل توجهی دارد: در همان زیرساخت مجازی تا ۸ برابر سریعتر است و می تواند با درخواست های بسیار بزرگتر کار کند. ۱۴ گروه قانون مختلف در CRS 3.2 وجود دارد که به شما امکان می دهد قوانینی را که بر اساس نیازهای برنامه اعمال می شوند تنظیم کنید.

ادغام Azure WAF با سایر ابزارهای امنیتی Azure

Azure WAF با ابزارهای امنیتی Azure مایکروسافت، از جمله Microsoft Defender for Cloud، یکپارچه شده است. این به شما مجموعه ای از گزینه های جالب را برای مدیریت WAF خود، انتقال مدیریت به خارج از تیم زیرساخت و به تیم امنیتی خود، استفاده از ابزارهای آنها برای مدیریت قوانین پس از استقرار می دهد. متخصصان امنیتی می توانند فایروال ایجاد کنند، قوانین را مدیریت کنند و مستقیماً از پورتال Defender for Cloud مستقر شوند. یکی از گزینه‌های مفید، امکان یافتن برنامه‌های محافظت‌نشده با استفاده از ابزارهای اسکن داخلی است که به Azure WAF اجازه می‌دهد به طور خودکار از برنامه‌های آسیب‌پذیر محافظت کند.

Azure WAF علاوه بر ارسال هشدارها به ابزارهای Defender for Cloud، با ابزارهای مدیریت رویداد اطلاعات امنیتی Sentinel مایکروسافت ادغام می‌شود. تیم امنیتی شما می‌تواند از این موارد برای شناسایی سریع حملات احتمالی استفاده کند و از ترکیبی از گزارش‌های یادگیری ماشین برای تعقیب تهدیدات جدیدی که ممکن است در ابتدا آشکار نبوده‌اند، استفاده کند. استفاده از WAF به عنوان یک حسگر اضافی در محیط امنیتی شما ایده خوبی است، زیرا در یکی از سطوح حمله آشکار قرار می گیرد و می تواند به عنوان یک هشدار اولیه عمل کند.

جالب است که مایکروسافت از Azure WAF خارج از مرکز داده آشنا استفاده می‌کند با پشتیبانی از شبکه جهانی تحویل محتوای Azure، Azure CDN. شاید بتوان این را به عنوان جایگزینی برای Cloudflare در نظر گرفت که با محافظت از محتوای کش شده با محدودیت‌های کنترل نرخ برای توقف زودهنگام حملات DDoS، به خوبی خارج از برنامه شما محافظت می‌کند. با استفاده از فناوری‌هایی مانند Azure Static Web Apps از Azure CDN برای میزبانی برنامه‌ها در مقیاس بزرگ، استفاده از Azure WAF در لبه شبکه Azure بسیار منطقی است.

مایکروسافت افزودن Azure WAF را به برنامه‌های شما آسان می‌کند، که رویکرد معقولی برای تشویق پذیرش است. ایمن سازی برنامه های کاربردی ابری نباید سخت باشد. تبدیل آن به زیرساخت قابل برنامه ریزی، استقرار را ساده می کند و به بهترین شیوه های معماری بومی ابری پایبند است. با فناوری‌های وب کلیدی برای ارائه برنامه‌های کاربردی مدرن، WAF جزء ضروری زیرساخت شما است. تنها چیزی که مهم است این نیست که آیا یکی را نصب می کنید، بلکه این است که کجا.