Como mascarar dados confidenciais no Azure Firewall de Aplicativo Web
A ferramenta de depuração de log do Firewall do Aplicativo Web (WAF) ajuda a remover dados confidenciais dos logs do WAF. Funciona usando um mecanismo de regras que permite você criar regras personalizadas para identificar partes específicas de uma solicitação que contêm dados confidenciais. Uma vez identificada, a ferramenta limpa essas informações de seus logs e as substitui por *******.
Observação
O recurso de remoção de log só tem suporte em Firewalls de Aplicativo Web que executam o mecanismo WAF mais recente. Selecione CRS 3.2 do OWASP ou Conjunto de Regras Padrão 2.1 como o conjunto de regras gerenciadas.
Observação
Ao habilitar o recurso de remoção de log, a Microsoft ainda retém endereços IP em nossos logs internos para dar suporte a recursos críticos de segurança.
A tabela a seguir mostra exemplos de regras de depuração de log que podem ser usadas para proteger seus dados confidenciais:
Variável de correspondência | Operador | Seletor | O que é depurado |
---|---|---|---|
Nomes do cabeçalho da solicitação | É igual a | X-Forwarded-For | REQUEST_HEADERS:x-forwarded-for.","data":"******" |
Nomes do cookie da solicitação | É igual a | cookie1 | "Matched Data: ****** found within REQUEST_COOKIES:cookie1: ******" |
Nomes do argumento da solicitação | É igual a | arg1 | "requestUri":"/?arg1=******" |
Nomes do argumento da postagem da solicitação | É igual a | Post1 | "data":"Matched Data: ****** found within ARGS:post1: ******" |
Nomes do argumento JSON da solicitação | É igual a | Jsonarg | "data":"Matched Data: ****** found within ARGS:jsonarg: ******" |
Endereço IP da solicitação* | Equals Any | NULO | "clientIp":"******" |
* As regras de endereço IP da solicitação só dão suporte ao operador equals any e limpa todas as instâncias do endereço IP do solicitante que aparecem nos logs do WAF.
Para obter mais informações, confira O que é o proteção de dados confidenciais do Firewall de Aplicativo Web do Azure?
Habilitar proteção de dados confidenciais
Use as informações a seguir para habilitar e configurar a proteção de dados confidenciais.
Para habilitar proteção de dados confidenciais:
- Abra uma política existente do WAF do Gateway de Aplicativo.
- Em Configurações, selecione Dados confidenciais.
- Na página Dados confidenciais , selecione Habilitar depuração de log.
Para configurar as regras de depuração de log para proteção de dados confidenciais:
- Em Regras de depuração de log, selecione uma Variável correspondente.
- Selecione um Operador (se aplicável).
- Digite um Seletor (se aplicável).
- Clique em Salvar.
Repita para adicionar mais regras.
Verificar proteção de dados confidenciais
Para verificar suas regras de proteção de dados confidenciais, abra o log do firewall do Gateway de Aplicativo e pesquise ****** no lugar dos campos confidenciais.