Azure の Application Gateway / Front Door で使用できる Web Application Firewall (WAF) で使用できる Core Rule Set (CRS / マネージドルール) について確認する必要があり、調査する際に参考にした情報をまとめておきたいと思います。
基本的な内容については Azure テクニカルサポートチームから発信されている Application Gateway で利用できる WAF について を確認するとよいかと思います。
Azure で使用されている WAF について
Azure で使用されている WAF の CRS については「OWASP (Open Worldwide Application Security Project) から提供されている ModSecurity の Core Rule Set」が採用されており、WAF の CRS によって保護される内容については、OWASP の Core Rule Set の内容を確認することで、把握することができます。
これについては Azure Web Application Firewall の OWASP ModSecurity Core Rule Set 3.2 のパブリック プレビュー でも記載されています。
Application Gateway 上で動作する Azure Web Application Firewall (WAF) デプロイ向けの、Open Web Application Security Project (OWASP) ModSecurity Core Rule Set 3.2 (CRS 3.2) のパブリック プレビューが開始されることを発表します。 今回のリリースでは、Web の脆弱性に対するセキュリティの向上、誤検知の低減、パフォーマンスの改善が行われています。 また、ファイルのアップロード制限を 4 GB に、リクエスト本文のサイズ制限を 2 MB に引き上げたことをお知らせします。
詳細については、マネージド ルールのドキュメントをご覧ください。
現在、Azure の WAF で使用できる CRS のバージョンは 3.2 となっており、Azure の WAF で利用可能なルールについては OWASP CRS 3.2 で公開されています。
以下は、上記の情報から規則グループの一部を抜粋した画像ですが、規則グループには「REQUEST-911-METHOD-ENFORCEMENT」というような名称が設定されています。
この名称が OWASP CRS 3.2 のルールセット名と対となっているようです。
OWASP CRS によって公開されているルールセットは、次の場所で情報が公開されています。
- WHAT’S IN THE RULES
- OWASP ModSecurity Core Rule Set (CRS)
- ModSecurity で実際に使用されている Rule Set
REQUEST-911-METHOD-ENFORCEMENT であれば、REQUEST-911-METHOD-ENFORCEMENT.conf として、実際のルールセットが公開されており、どのような確認が行われているのかについては、このルールセットの内容を確認することで把握することができます。
GENERAL と KNOWN-CVES については、ついとなるルールセット名のファイルはありませんが、3.2 ルール セット でどのような保護が行われるかの概要が記載されています。ルール ID も記載されていますが、具体的な CRS の実装については見つけることができませんでした。
公開されているルールセットは、OWASP Top Ten で公開されているリスクを改善するためのルールとなるのかと思います。
Web のセキュリティとして考慮する必要のある内容については OWASP Web Security Testing Guide も公開されていますので、この内容も参考となります。
ModSecurity のルールセットのフォーマットについては DEVELOPMENT から確認することができますので、Web のリクエストに対して、具体的にどのようなチェックが行われているのかも確認することができます。
WAF でどのような保護がされるのかについては、この辺の情報を確認するとよさそうかなと思いました。