Approfondiamo come le esclusioni in Azure WAF ottimizzano la sicurezza delle applicazioni web, bilanciando protezione ed efficienza.
Le esclusioni nel Firewall per Applicazioni Web di Azure (Azure WAF) rappresentano uno strumento cruciale per gli amministratori che desiderano adeguare le regole di sicurezza alle specifiche necessità delle loro applicazioni. Questa funzionalità consente di omettere determinate parti del traffico dalle valutazioni di WAF, riducendo le cosiddette “false positive” e assicurando un flusso ininterrotto di traffico legittimo.
Il firewall di Azure offre la possibilità di applicare esclusioni a livello di singole regole, gruppi di regole o interi set di regole, garantendo così un elevato grado di personalizzazione. Introdotto con la versione 3.2 del Core Rule Set (CRS) per il regional WAF con Application Gateway, il sistema consente di definire esclusioni per nome o valore di intestazioni, cookie e argomenti.
Le esclusioni possono riguardare:
- Intestazioni delle richieste
- Cookie delle richieste
- Stringhe di query
- Argomenti POST
- Entità JSON (esclusivo per AFD WAF)
Utilizzando operatori come “Equals”, “Starts with”, “Ends with”, “Contains” e “Equals any”, gli amministratori possono stabilire con precisione quali elementi includere o escludere. Curiosamente, la condizione “Equals Any” trasforma automaticamente qualsiasi valore inserito nel campo selettore in un asterisco (*) da parte del backend durante la creazione di un’esclusione, gestendo in tal modo i valori incerti o aleatori.
Uno degli ambienti dove Azure WAF si dimostra particolarmente utile è il Front Door WAF, che offre exclusions dettagliate, garantendo che solo le parti necessarie di una richiesta vengano omesse dalla valutazione delle regole. Ad esempio, se all’interno del corpo di una richiesta JSON si trova un pattern che potrebbe erroneamente essere interpretato come un tentativo di SQL injection, come “1=1” all’interno di un campo di commento, gli amministratori possono impostare un’esclusione che impedisca di classificarlo come una minaccia.
Similmente, nel WAF di Application Gateway, è possibile escludere non solo il valore di un selettore, ma anche la chiave del selettore stesso. Questo è fondamentale per affinare ancora di più la prevenzione delle false positive.
Mapepare correttamente le match variables osservate nei log con la configurazione WAF risulta essere una sfida che può essere superata con la corretta documentazione e comprensione del sistema. Per esempio, “REQUEST_HEADERS” nei log corrisponde a “Request Header Values/Names” per le esclusioni.
Per implementare efficacemente le esclusioni, è consigliabile seguire le migliori pratiche, come la documentazione delle impostazioni correnti, il test delle esclusioni in ambienti non di produzione e l’applicazione attenta delle stesse nell’ambiente di produzione, monitorando attentamente il comportamento del sistema.
Le esclusioni in Azure WAF, sia per Azure Front Door che per Application Gateway, offrono un approccio sfaccettato alla sicurezza delle applicazioni web. Utilizzando queste caratteristiche, gli amministratori possono garantire che le misure di sicurezza siano efficaci senza interrompere l’attività legittima degli utenti. Di fronte ad una continua evoluzione di Azure WAF, la capacità di affinare la sicurezza attraverso le esclusioni rimarrà un pilastro fondamentale della sua efficacia.