Azure Front Door 上の Azure Web Application Firewall で機密データをマスクする方法
Web Application Firewall (WAF) のログ スクラブ ツールは、WAF ログから機密データを削除するのに役立ちます。 これは、機密データを含む要求の特定の部分を識別するカスタム ルールを作成できるルール エンジンを使用することで機能します。 情報が識別されると、ツールはその情報をログからスクラブし、******* で置き換えます。
Note
ログ スクラブ機能が有効にされても、Microsoft は重要なセキュリティ機能をサポートするために自社の内部ログに IP アドレスを引き続き保持します。
次の表は、機密データの保護に使用できるログ スクラブ ルールの例を示しています。
| 一致変数 | 演算子 | セレクター | スクラブされる内容 |
|---|---|---|---|
| 要求のヘッダー名 | 等しい | keytoblock | {"matchVariableName":"HeaderValue:keytoblock","matchVariableValue":"****"} |
| 要求の Cookie 名 | 等しい | cookietoblock | {"matchVariableName":"CookieValue:cookietoblock","matchVariableValue":"****"} |
| 要求の Post 引数名 | 等しい | var | {"matchVariableName":"PostParamValue:var","matchVariableValue":"****"} |
| 要求本文の JSON 引数名 | Equals | JsonValue | {"matchVariableName":"JsonValue:key","matchVariableValue":"****"} |
| クエリ文字列の引数名 | Equals | foo | {"matchVariableName":"QueryParamValue:foo","matchVariableValue":"****"} |
| 要求の IP アドレス* | Equals Any | NULL | {"matchVariableName":"ClientIP","matchVariableValue":"****"} |
| 要求 URI | Equals Any | NULL | {"matchVariableName":"URI","matchVariableValue":"****"} |
* 要求の IP アドレスと要求の URI のルールは、equals any 演算子のみをサポートし、WAF ログに記録される要求元の IP アドレスのすべてのインスタンスをスクラブします。
詳しくは、Azure Front Door の機密データ保護での Azure Web Application Firewall に関する記事をご覧ください
機密データ保護を有効にする
次の情報を使用して機密データ保護を有効にして構成します。
機密データ保護を有効にするには:
- 既存の Front Door WAF ポリシーを開きます。
- [設定] で、[機密データ] を選択します。
- [機密データ] ページで、[ログ スクラブの有効化] を選択します。
機密データ保護のログ スクラブ ルールを構成するには:
- [ログ スクラブ ルール] で、[一致変数] を選択します。
- [演算子] を選択します (該当する場合)。
- [セレクター] を入力します (該当する場合)。
- [保存] を選択します。
さらにルールを追加するには同じことを繰り返します。
機密データ保護を確認する
機密データ保護ルールを確認するには、Front Door ファイアウォールのログを開き、機密フィールドの代わりに ****** を検索します。