Come mascherare i dati sensibili in Web application firewall di Azure
Lo strumento di scrubbing dei log di Web Application Firewall (WAF) consente di rimuovere i dati sensibili dai log WAF. Funziona utilizzando un motore di regole che consente di creare regole personalizzate per identificare porzioni specifiche di una richiesta che contengono dati sensibili. Una volta identificato, lo strumento esegue la ripulitura delle informazioni dai log e lo sostituisce con *******.
Nota
La funzionalità di pulitura dei log è supportata solo nei web application firewall che eseguono il motore WAF più recente. Selezionare OWASP CRS 3.2 o Set di regole predefinito 2.1 come set di regole gestite.
Nota
Quando si abilita la funzionalità di ripulitura dei log, Microsoft mantiene comunque gli indirizzi IP nei log interni per supportare le funzionalità di sicurezza critiche.
La tabella seguente mostra esempi di regole di ripulitura dei log che possono essere usate per proteggere i dati sensibili:
| Variabile di corrispondenza | Operatore | Selettore | Cosa viene ripulito |
|---|---|---|---|
| Nomi intestazione della richiesta | Equals | X-Forwarded-For | REQUEST_HEADERS:x-forwarded-for.","data":"******" |
| Nomi cookie della richiesta | Equals | cookie1 | "Dati corrispondenti: ****** trovati all'interno di REQUEST_COOKIES:cookie1: ******" |
| Request Arg Names | Equals | arg1 | "requestUri":"/?arg1=******" |
| Nomi di argomenti post della richiesta | Equals | Post1 | "data":"Matched Data: ****** trovato in ARGS:post1: ******" |
| Richiedere nomi Arg JSON | Equals | Jsonarg | "data":"Matched Data: ****** trovato in ARGS:jsonarg: ******" |
| Indirizzo IP della richiesta* | Uguale a qualsiasi | NULL | "clientIp":"******" |
* Le regole di indirizzo IP della richiesta supportano solo qualsiasi operatore ed esegue lo scrubing di tutte le istanze dell'indirizzo IP del richiedente visualizzato nei log WAF.
Per altre informazioni, vedere Che cos'è la protezione dei dati sensibili di Web Application Firewall di Azure?
Abilitare la protezione dati sensibili
Usare le informazioni seguenti per abilitare e configurare la protezione dati sensibili.
Per abilitare la protezione dati sensibili:
- Aprire un criterio WAF gateway applicazione esistente.
- In Impostazioni selezionare Dati sensibili.
- Nella pagina Dati sensibili selezionare Abilita la ripulitura dei log.
Per configurare le regole di ripulitura dei log per la protezione dei dati sensibili:
- In Regole di ripulitura log selezionare una variabile di corrispondenza.
- Selezionare un operatore (se applicabile).
- Digitare un selettore (se applicabile).
- Seleziona Salva.
Ripetere per aggiungere più regole.
Verificare la protezione dati sensibili
Per verificare le regole di protezione dei dati sensibili, aprire il log del firewall gateway applicazione e cercare ****** al posto dei campi sensibili.