GA された Azure Front Door Service で WAF 対策(パブリックプレビュー)を設定してみたよ

こんにちは。

Azure Front Door Service が GA されましたね。

azure.microsoft.com

Azure Front Door Service is now generally available

https://azure.microsoft.com/en-us/blog/azure-front-door-service-is-now-generally-available/

Every internet facing web application, whether serving a large audience or a small set of users in a single region, is by default a global application. Whether you are running a large news website with millions of users across the globe, running a B2B application for managing your sales channe…

GA と同じ日に、WAF 機能のパブリックプレビューもアナウンスされたので、このサイトに設定してみました。

azure.microsoft.com

Web application firewall at Azure Front Door service

https://azure.microsoft.com/en-us/blog/web-application-firewall-at-azure-front-door-service/

We have heard from many of you that security is a top priority when moving web applications onto the cloud. Today, we are very excited to announce our public preview of the Web Application Firewall (WAF) for the Azure Front Door service. By combining the global application and content deliver…

ちなみに、今回の設定は次のドキュメントに記載されています。

docs.microsoft.com

Configure a web application firewall (WAF) policy with custom rules and Defau...

https://docs.microsoft.com/en-us/azure/frontdoor/waf-front-door-custom-rules-powershell

Learn how to configure a WAF policy consist of both custom and managed rules for an existing Front Door endpoint.

設定してみた

Azure Front Door Service の WAF を設定する際の構成とかはひとまずおいておいて、こんな感じで設定してみました。

カスタムルールは、ひとまず後回しにして、今回は Azure-managed rule sets を Detection mode(検出モード)で設定してみました。

設定する前に、Az.FrontDoor モジュールのアップデートしました。
アップデートした後のバージョンは、0.73 です。

Connect-AzAccount

Install-Module PowerShellGet -Force -AllowClobber
Install-Module -Name Az.FrontDoor -Force

バージョン確認～

PS C:\WINDOWS\system32> get-module -Name  Az.FrontDoor

ModuleType Version    Name                                ExportedCommands
---------- -------    ----                                ----------------
Script     0.7.3      Az.FrontDoor                        {Disable-AzFrontDoorCustomDomainHttps, Enable-AzFrontDoorC...

あとは、ドキュメントに沿ってこんな感じのコマンドで設定しました。
変数に「2」がついてるあたりが、やり直しした感満載ですねｗ

PS C:\WINDOWS\system32> $managedRules = New-AzFrontDoorManagedRuleObject -Type DefaultRuleSet -Version "preview-0.1"

PS C:\WINDOWS\system32> $myWAFPolicy2=New-AzFrontDoorFireWallPolicy -Name mngpoldetect -ResourceGroupName memobogfd -ManagedRule $managedRules -EnabledState Enabled -Mode Detection

PS C:\WINDOWS\system32> $FrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName  memobogfd  -Name memobog

PS C:\WINDOWS\system32> $FrontDoorObjectExample[0].FrontendEndpoints[1].WebApplicationFirewallPolicyLink = $myWAFPolicy2.Id

PS C:\WINDOWS\system32> Set-AzFrontDoor -InputObject $FrontDoorObjectExample[0]

FrontendEndpoints[1] としているのは、Frontend hosts を複数設定している環境の2番目のに、今回作成した WAF のポリシーを適用したためです。
※　ドキュメントでは、[0]になってるはず～。

変数に 2 をついてるのは、最初は、Detection Mode ではなくて、Prevention Mode で設定したんですよねー。そしたら、このブログの編集を行うのも全部ブロックされちゃったのでDetection に変更しようと、Set-AzFrontDoorFireWallPolicy で変更しようとしたら、コマンドエラーになっちゃったんですよねー。

Az.FrontDoor を 0.73 にする前は動いていたと思うのですが、別に作って付け替えちゃえばいいのでってことで、こんな感じになりましたー。

WAF の設定の確認

WAF がちゃんと動いているかは、Azure Monitor の メトリックスの「WebApplicationFirewallRequestCount」で確認しました。

設定後ちゃんと数値が増えてるので、動作してるっぽい。

ちゃんと、ブロックされた時のログもでてますなー。(っていうか、ブロックされた時のスクショとっておけばよかった。。。)

監視およびログについては、以下のドキュメントに記載されてます。

docs.microsoft.com

Azure web application firewall monitoring and logging

https://docs.microsoft.com/en-us/azure/frontdoor/waf-front-door-monitor

Learn web application firewall (WAF) with FrontDoor monitoring and logging

WAF のポリシーの設定の構成

自分の頭の整理のために、WAF のポリシーの設定時の構成についてまとめておきます。

ちょっとネストが深い気もするけど、一度ぶら下げたら、Front Door Service 側の変更をしなくてもいいから、これでいいような気も。。

まとめ

Azure Front Door サービスの GA は思ったよりも早かったなーって思いますが、もともと、MS のサービスで使われている分、こなれたサービスなんだろうなーって思います。

で、WAF も入ってきてサービスとして MVP の範囲がそろってきたのかなーって思います。

でも、Application Gateway V2 よりも、GA が早いとは思わなかったなぁー。