AZ700-APP#21
Application Gateway WAF Policy を作成して既存 Application Gateway に適用する手順を正しい順序に並べてください。
- WAF Policy を作成 (OWASP CRS バージョン選択)
- Managed Rules + Custom Rules を構成
- Application Gateway / Listener / Path-based ルールに WAF Policy を関連付け
- 検知モード (Detection) で動作確認 → 安定後 Prevention モードへ切替
解説
【正しい順序】
- ステップ 1: WAF Policy 作成
- ステップ 2: Managed / Custom Rules 構成
- ステップ 3: Application Gateway に関連付け
- ステップ 4: 検知 → 防御の段階適用
【各ステップの理由】
- ステップ 1 WAF Policy 作成: OWASP CRS バージョン (3.2 / 3.1 等) を選び WAF Policy リソースを作成します。
- ステップ 2 Managed / Custom Rules 構成: Microsoft マネージド ルール (CRS) を有効化し、必要に応じて IP / Geo / 文字列パターンの Custom Rules を追加します。
- ステップ 3 Application Gateway に関連付け: 作成した WAF Policy を Application Gateway 全体、または特定 Listener / Path-based ルールに関連付けます。
- ステップ 4 検知 → 防御の段階適用: まず Detection (検知のみ) モードで動作確認し、誤検知パターンを除外した後に Prevention (遮断) モードへ切り替えます。
【誤った順序の問題点】
- Prevention モードでいきなり本番適用: 誤検知で正常リクエストが遮断される可能性があり、本番影響が大きくなります。
- Custom Rules なしで本番運用: OWASP CRS だけでは IP 制限や Geo Match などのカスタム要件を満たせない場合があります。
コメント