Microsoft Azure, Azure Front Door ilə inteqrasiya olunmuş qlobal Veb Tətbiq Təhlükəsizlik Duvarının (WAF) təhlükəsizliyini artırmaq məqsədi daşıyan ictimai baxışda yeni funksiya təqdim etdi. Jurnal təmizləmə kimi tanınan bu yeni xüsusiyyət, WAF jurnallarında maskalanaraq həssas məlumatların qorunmasına imkan verir. Bu, xüsusilə vacibdir, çünki WAF qeydləri adətən sorğular haqqında ətraflı məlumat alır, o cümlədən İP ünvanları, parollar və digər şəxsiyyəti müəyyən edən məlumatlar (PII).
Log Scrubing üçün Ehtiyacın Anlanması
Sorğu WAF-da müəyyən edilmiş qaydaya uyğun gələndə və hərəkəti işə saldıqda, bu hadisənin təfərrüatları WAF jurnallarında qeyd olunur. Sazlamağı asanlaşdırmaq üçün bu qeydlər düz mətndə saxlanılır. Bununla belə, bu təcrübə həssas məlumatları ifşa edə biləcəyi üçün risk yaradır. Bu riski azaltmaq üçün qeydlərin təmizlənməsi funksiyası idarəçilərə həssas məlumatları “********” ilə əvəz edən qaydalar yaratmağa imkan verir, bununla da müştəri məxfiliyini və məlumat bütövlüyünü qoruyur.
Log Scrubing Qaydalarının Konfiqurasiyası
Jurnal təmizləmə xüsusiyyəti həssas məlumatları maskalamaq üçün hədəf alına bilən müxtəlif dəyişənləri dəstəkləyir. Bunlara daxildir:
- Başlıq Adlarını Sorğu
- Kuki adlarını tələb edin
- Bədən Post Arg Adlarını Sorğu
- Bədənin JSON Arg Adlarını Sorğu
- Sorğu String Arg Adları
- IP ünvanını tələb edin
- URI tələb edin
Defolt Giriş Davranışı
Varsayılan olaraq, WAF jurnalları düz mətndə sorğuların tam təfərrüatlarını ehtiva edir. WAF qaydasını işə salan sorğuda həssas məlumatlar varsa, bu məlumat qeyd olunur və qeydlərdə görünür. Jurnalların təmizlənməsi ilə administratorlar bu cür məlumatların jurnallarda ifşa edilməməsini təmin etmək üçün onları maskalamaq üçün qaydaları müəyyən edə bilərlər.
Log Scrubing Qaydalarının yaradılması
Günlük təmizləmə qaydaları yaratmaq üçün bu addımları yerinə yetirin:
- Log Scrubing’i aktivləşdirin:
- Mövcud Ön Qapı WAF siyasətini açın.
- Tənzimləmə altında Həssas Məlumatları seçin.
- Həssas Məlumatlar səhifəsində Log Scrubbing Aktivləşdir seçin.
- Log Scrubing Qaydalarını konfiqurasiya edin:
- Log Scrubbing Rules altından Uyğun Dəyişən seçin.
- Operator seçin (əgər varsa).
- Seçici məqalən (əgər varsa).
- Saxla seçin.
- Lazım olduqda daha çox qayda əlavə etmək üçün təkrarlayın.
Nümunə Qaydalar
Günlük təmizləmə qaydalarına dair bəzi nümunələr bunlardır:
| Uyğun Dəyişən | Operator | Seçici | Nə yuyulur |
|---|---|---|---|
| Başlıq Adlarını Sorğu | Bərabərdir | klaviatura bloku | {“matchVariableName”:”HeaderValue:keytoblock”,”matchVariableValue”:”****”} |
| Kuki adlarını tələb edin | Bərabərdir | kuki bloku | {“matchVariableName”:”CookieValue:cookietoblock”,”matchVariableValue”:”****”} |
| Post Arg Adlarını tələb edin | Bərabərdir | idi | {“matchVariableName”:”PostParamValue:var”,”matchVariableValue”:”****”} |
| Bədənin JSON Arg Adlarını Sorğu | Bərabərdir | JsonValue | {“matchVariableName”:”JsonValue:key”,”matchVariableValue”:”****”} |
| Sorğu String Arg Adları | Bərabərdir | foo | {“matchVariableName”:”QueryParamValue:foo”,”matchVariableValue”:”****”} |
| IP ünvanını tələb edin | İstənilən Bərabərdir | SIFIR | {“matchVariableName”:”ClientIP”,”matchVariableValue”:”****”} |
| URI tələb edin | İstənilən Bərabərdir | SIFIR | {“matchVariableName”:”URI”,”matchVariableValue”:”****”} |
Doğrulama
Həssas məlumatların qorunması qaydalarınızın effektivliyini yoxlamaq üçün Ön Qapı firewall jurnalını yoxlayın və həssas məlumatların “********” ilə əvəz olunduğundan əmin olun.
Vacib Qeydlər
- Jurnal təmizləmə funksiyası hazırda PREVIEW-dədir və hüquqi nəticələri anlamaq üçün Microsoft Azure Previews üçün Əlavə İstifadə Şərtlərini nəzərdən keçirmək vacibdir.
- Jurnal təmizləmə funksiyası WAF qeydlərindəki həssas məlumatları maskalasa da, Microsoft mühüm təhlükəsizlik funksiyaları üçün daxili qeydlərdə IP ünvanlarını saxlayır.
Jurnal təmizləmə qaydalarının qurulması və həssas məlumatların qorunması ilə bağlı daha ətraflı təlimat üçün Həssas Məlumatların Qorunması üzrə Azure sənədlərinə baxın .
Bu yeni funksiyadan istifadə etməklə təşkilatlar həssas məlumatları daha yaxşı qoruya, məlumatların qorunması qaydalarına uyğunluğu təmin edə və ümumi təhlükəsizlik vəziyyətini yaxşılaşdıra bilər.