Блог

Я настроил Azure CDN перед учетной записью хранения для размещения статического веб-сайта, а также добавил политику WAF сети доставки контента для защиты от распространенных угроз. Политика WAF сети доставки контента разрешает использовать только DefaultRuleSet_1.0, что кажется прекрасным, но ниже приведены некоторые требования к безопасной практике, которые мне необходимо выполнить, и я не уверен, распространяется ли это на DefaultRuleSet_1.0.

 - Protection against crawlers and scanners.
- Detection of common application misconfigurations (for example, Apache and IIS).
- Protect applications from bots with the bot mitigation ruleset. 
- Inspect JSON and XML in the request body
 

Мои вопросы:

1. Защищает ли DefaultRuleSet_1.0 от атак, упомянутых в приведенном выше списке?
2. Если DefaultRuleSet_1.0 этого не делает, то как я могу добавить защиту от этих атак? Существует возможность добавления пользовательских правил, но предназначено ли это для такого уровня защиты?

1. Атаки ботов/сканеров/сканеров не охватываются набором правил по умолчанию. Существует отдельный набор правил менеджера ботов, который доступен в Azure Front Door Premium SKU, но недоступен для Azure CDN. WAF в Azure CDN от Microsoft в настоящее время находится в общедоступном предварительном просмотре и снабжен соглашением об уровне обслуживания предварительного просмотра. Некоторые функции могут не поддерживаться или иметь ограниченные возможности. Набор правил по умолчанию, управляемый Azure, включает правила для нескольких категорий угроз, как указано в приведенной ниже ссылке: https://docs.microsoft.com/en-us/azure/web-application-firewall/cdn/cdn-overview#azure-managed-rule-sets Номер версии набора правил по умолчанию увеличивается при добавлении в набор правил новых сигнатур атак.
2. Существует возможность добавления пользовательских правил, но это не поможет получить такой уровень защиты, так как они включают только правила соответствия и правила контроля скорости с возможностями, указанными в приведенной ниже ссылке: https://docs.microsoft.com/en-us/azure/web-application-firewall/cdn/cdn-overview#custom-rules. Поскольку WAF в Azure CDN от Microsoft в настоящее время находится в общедоступном предварительном просмотре, функции набора правил для ботов и дополнительные возможности пользовательских правил могут быть добавлены после его запуска. Пожалуйста, не стесняйтесь делиться своими отзывами на форуме ниже, запрашивая эту функцию. https://feedback.azure.com/forums/217313-networking?category_id=345019