Ajustando o Azure Web Application Firewall (WAF) para Integração com o Entra External ID

Com a crescente demanda por segurança em aplicações públicas que utilizam autenticação federada, torna-se essencial ajustar e adaptar a proteção oferecida pelo Azure Web Application Firewall (WAF) para garantir compatibilidade e desempenho em cenários com o Entra External ID (antigo Azure AD B2B e B2C).

Ao proteger aplicações públicas com o Azure WAF, especialmente aquelas integradas com o Entra External ID, é comum encontrar falsos positivos relacionados às assinaturas padrão da OWASP Core Rule Set (CRS), como SQL Injection, Cross-site Scripting (XSS), ou até regras específicas da Microsoft, como a 942100 ou 942430. Isso ocorre porque o tráfego legítimo de tokens de autenticação ou parâmetros codificados pode ser interpretado erroneamente como um ataque.

Melhores práticas de tunning do WAF para cenários com External ID:

1. Monitoramento inicial com WAF em modo de detecção (Detection Mode):
   Antes de aplicar o bloqueio automático, recomenda-se deixar o WAF em modo de detecção. Isso permite observar quais regras estão sendo acionadas em fluxos legítimos, como login com Entra External ID, sem impactar usuários finais.

2. Análise dos logs de WAF:
   Utilizando o Azure Monitor ou Log Analytics, é possível analisar as regras que estão sendo acionadas. Filtros baseados em Action_s e RuleId_s ajudam a identificar quais regras específicas precisam ser ajustadas.

3. Criação de exclusões baseadas em regras (Rule Exclusions):
   Após identificar os falsos positivos, é possível configurar exclusões específicas no WAF para desconsiderar determinados parâmetros, cabeçalhos ou caminhos. Por exemplo, ao lidar com tokens JWT ou URLs codificadas, é possível excluir campos como requestBodyNames ou queryStringArgs.

4. Uso de WAF Custom Rules:
   Em vez de desabilitar regras críticas do OWASP CRS, é preferível criar regras personalizadas com condições mais específicas (ex: verificar IP de origem, localização, user-agent, etc.), aplicando ações seletivas.

5. Atualização para a versão mais recente do WAF e OWASP CRS:
   Manter o WAF sempre atualizado garante acesso às correções de falsos positivos já identificados pela comunidade, além de melhorias de desempenho e compatibilidade.

6. Implementação gradual de bloqueios:
   Após configurar as exclusões necessárias e validar por logs que os falsos positivos foram eliminados, o WAF pode ser colocado em modo preventivo (Prevention Mode) para aplicar bloqueios reais.

Cenários práticos abordados com External ID:

• Aplicações .NET ou Java que utilizam MSAL.js ou MSAL.NET para autenticação.

• Aplicações SPA (Single Page Application) com redirecionamentos via URL com parâmetros codificados.

• Integrações com Power Apps, Portals ou APIs públicas protegidas com Entra External ID.

A integração segura de aplicações com o Entra External ID requer uma abordagem cuidadosa ao configurar o Azure WAF. Um balanceamento adequado entre segurança e funcionalidade pode ser alcançado com tunning baseado em dados reais de produção, uso de regras customizadas e exclusões precisas. Dessa forma, é possível garantir a proteção da aplicação sem comprometer a experiência do usuário.