Azure

GA された Azure Front Door Service で WAF 対策(パブリックプレビュー)を設定してみたよ

投稿日:2019年4月12日 更新日:

こんにちは。

Azure Front Door Service が GA されましたね。

GA と同じ日に、WAF 機能のパブリックプレビューもアナウンスされたので、このサイトに設定してみました。

ちなみに、今回の設定は次のドキュメントに記載されています。

 

設定してみた

Azure Front Door Service の WAF を設定する際の構成とかはひとまずおいておいて、こんな感じで設定してみました。

カスタムルールは、ひとまず後回しにして、今回は Azure-managed rule sets を Detection mode(検出モード)で設定してみました。

設定する前に、Az.FrontDoor モジュールのアップデートしました。
アップデートした後のバージョンは、0.73 です。

Connect-AzAccount

Install-Module PowerShellGet -Force -AllowClobber
Install-Module -Name Az.FrontDoor -Force

 

バージョン確認~

PS C:\WINDOWS\system32> get-module -Name  Az.FrontDoor

ModuleType Version    Name                                ExportedCommands
---------- -------    ----                                ----------------
Script     0.7.3      Az.FrontDoor                        {Disable-AzFrontDoorCustomDomainHttps, Enable-AzFrontDoorC...

あとは、ドキュメントに沿ってこんな感じのコマンドで設定しました。
変数に「2」がついてるあたりが、やり直しした感満載ですねw

PS C:\WINDOWS\system32> $managedRules = New-AzFrontDoorManagedRuleObject -Type DefaultRuleSet -Version "preview-0.1"

PS C:\WINDOWS\system32> $myWAFPolicy2=New-AzFrontDoorFireWallPolicy -Name mngpoldetect -ResourceGroupName memobogfd -ManagedRule $managedRules -EnabledState Enabled -Mode Detection

PS C:\WINDOWS\system32> $FrontDoorObjectExample = Get-AzFrontDoor -ResourceGroupName  memobogfd  -Name memobog

PS C:\WINDOWS\system32> $FrontDoorObjectExample[0].FrontendEndpoints[1].WebApplicationFirewallPolicyLink = $myWAFPolicy2.Id

PS C:\WINDOWS\system32> Set-AzFrontDoor -InputObject $FrontDoorObjectExample[0]

FrontendEndpoints[1] としているのは、Frontend hosts を複数設定している環境の2番目のに、今回作成した WAF のポリシーを適用したためです。
※ ドキュメントでは、[0]になってるはず~。

 

変数に 2 をついてるのは、最初は、Detection Mode ではなくて、Prevention Mode で設定したんですよねー。そしたら、このブログの編集を行うのも全部ブロックされちゃったのでDetection に変更しようと、Set-AzFrontDoorFireWallPolicy で変更しようとしたら、コマンドエラーになっちゃったんですよねー。

Az.FrontDoor を 0.73 にする前は動いていたと思うのですが、別に作って付け替えちゃえばいいのでってことで、こんな感じになりましたー。

 

WAF の設定の確認

WAF がちゃんと動いているかは、Azure Monitor の メトリックスの「WebApplicationFirewallRequestCount」で確認しました。

設定後ちゃんと数値が増えてるので、動作してるっぽい。


 

ちゃんと、ブロックされた時のログもでてますなー。(っていうか、ブロックされた時のスクショとっておけばよかった。。。)

 

監視およびログについては、以下のドキュメントに記載されてます。

 

WAF のポリシーの設定の構成

自分の頭の整理のために、WAF のポリシーの設定時の構成についてまとめておきます。

ちょっとネストが深い気もするけど、一度ぶら下げたら、Front Door Service 側の変更をしなくてもいいから、これでいいような気も。。

まとめ

Azure Front Door サービスの GA は思ったよりも早かったなーって思いますが、もともと、MS のサービスで使われている分、こなれたサービスなんだろうなーって思います。

で、WAF も入ってきてサービスとして MVP の範囲がそろってきたのかなーって思います。

でも、Application Gateway V2 よりも、GA が早いとは思わなかったなぁー。

GA:アーカイブ - 1




GA:アーカイブ - 1










-Azure
-, ,

Copyright© メモログ , 2019 All Rights Reserved Powered by STINGER.