Usando o WAF do Application Gateway para proteger seus aplicativos
Adicione proteção do Web Application Firewall (WAF) para aplicativos publicados com o proxy de aplicativo Microsoft Entra.
Para saber mais sobre o Firewall de Aplicativo Web, consulte O que é o Firewall de Aplicativo Web do Azure no Gateway de Aplicativo do Azure?.
Etapas de implantação
Este artigo fornece as etapas para expor com segurança um aplicativo Web na Internet usando o proxy de aplicativo Microsoft Entra com o Azure WAF no Application Gateway.
Configurar o Gateway de Aplicativo do Azure para enviar tráfego para seu aplicativo interno
Algumas etapas da configuração do Application Gateway são omitidas neste artigo. Para obter um guia detalhado sobre como criar e configurar um Gateway de Aplicativo, consulte Guia de início rápido: tráfego da Web direto com o Gateway de Aplicativo do Azure - Centro de administração do Microsoft Entra.
1. Crie um listener HTTPS voltado para o lado privado
Crie um ouvinte para que os usuários possam acessar o aplicativo Web de forma privada quando conectados à rede corporativa.
2. Crie um pool de back-end com os servidores Web
Neste exemplo, os servidores back-end têm o IIS (Serviços de Informações da Internet) instalado.
3. Crie uma configuração de back-end
Uma configuração de back-end determina como as solicitações chegam aos servidores do pool de back-end.
4. Crie uma regra de roteamento que vincule o ouvinte, o pool de back-end e a configuração de back-end criada nas etapas anteriores
5. Habilite o WAF no Application Gateway e defina-o para o modo de Prevenção
Configure seu aplicativo para ser acessado remotamente por meio de proxy de aplicativo no Microsoft Entra ID
Ambas as VMs de conector, o Gateway de Aplicativo e os servidores de back-end são implantados na mesma rede virtual no Azure. A configuração também se aplica a aplicativos e conectores implantados localmente.
Para obter um guia detalhado sobre como adicionar seu aplicativo ao proxy de aplicativo no Microsoft Entra ID, consulte Tutorial: Adicionar um aplicativo local para acesso remoto por meio de proxy de aplicativo no Microsoft Entra ID. Para obter mais informações sobre considerações de desempenho relativas aos conectores de rede privada, consulte Otimizar o fluxo de tráfego com o proxy de aplicativo Microsoft Entra.
Neste exemplo, a mesma URL foi configurada como a URL interna e externa. Clientes remotos acessam o aplicativo pela Internet na porta 443, através do proxy do aplicativo. Um cliente conectado à rede corporativa acessa o aplicativo de forma privada. O acesso é feito através do Application Gateway diretamente na porta 443. Para obter uma etapa detalhada sobre como configurar domínios personalizados no proxy de aplicativo, consulte Configurar domínios personalizados com o proxy de aplicativo do Microsoft Entra.
Uma zona DNS (Sistema de Nomes de Domínio) Privada do Azure é criada com um registo A. O registro A aponta www.fabrikam.one
para o endereço IP de front-end privado do Application Gateway. O registro garante que as VMs do conector enviem solicitações para o Application Gateway.
Testar a aplicação
Depois de adicionar um usuário para testar, você pode testar o aplicativo acessando https://www.fabrikam.one
. O usuário é solicitado a autenticar no Microsoft Entra ID e, após a autenticação bem-sucedida, acessa o aplicativo.
Simular um ataque
Para testar se o WAF está bloqueando solicitações maliciosas, você pode simular um ataque usando uma assinatura básica de injeção de SQL. Por exemplo, "https://www.fabrikam.one/api/sqlquery?query=x%22%20or%201%3D1%20--".
Uma resposta HTTP 403 confirma que o WAF bloqueou a solicitação.
Os logs dos Application Gateway Firewall fornecem mais detalhes sobre a solicitação e por que o WAF a está bloquear.