Pular para o conteúdo principal

Laboratório Técnico: Associate a WAF policy

Questões

Questão 1 — Múltipla Escolha

Uma equipe precisa associar uma política de WAF existente a um Azure Application Gateway. Ao tentar realizar a associação pelo portal do Azure, a política não aparece como opção disponível. O Application Gateway está na região East US e foi provisionado no tier WAF_v2. Qual é a causa mais provável para a política não estar disponível para seleção?

A) A política de WAF foi criada para o Azure Front Door e não é compatível com o Application Gateway, independentemente da região

B) O Application Gateway está no tier WAF_v2, que exige que a política seja criada com o tipo Regional e na mesma região do gateway

C) A política de WAF só pode ser associada durante a criação do Application Gateway, não sendo possível associá-la a um recurso já existente

D) A política de WAF precisa estar no estado Prevention antes de ser associada a qualquer recurso do Azure

Questão 2 — Cenário Técnico

Um arquiteto associou uma política de WAF a um Azure Application Gateway com dois listeners configurados: um para tráfego público e outro para tráfego interno. Após a associação, o arquiteto percebe que precisa aplicar regras distintas para cada listener, pois o tráfego interno possui padrões diferentes que geram falsos positivos nas regras do ruleset gerenciado. A configuração atual é:

Application Gateway Tier: WAF_v2
WAF Policy: policy-global (associada ao gateway)
Listeners: listener-public, listener-internal
Per-site policy: not configured

Qual abordagem resolve o requisito sem substituir a política global?

A) Criar uma segunda política de WAF e associá-la diretamente ao listener-internal, substituindo a política global apenas para esse listener

B) Adicionar exclusões de regra na política global para que elas se apliquem somente ao listener interno com base no IP de origem

C) Criar regras HTTP customizadas no Application Gateway que redirecionem o tráfego interno para um backend sem WAF

D) Alterar o tier do Application Gateway para Standard_v2 no listener interno para desabilitar a inspeção de WAF nesse caminho

Questão 3 — Verdadeiro ou Falso

No Azure Front Door, uma política de WAF pode ser associada simultaneamente a múltiplos perfis do Front Door pertencentes a assinaturas diferentes, desde que as assinaturas estejam no mesmo tenant do Microsoft Entra ID.

Questão 4 — Cenário Técnico

Uma organização tem um Azure Front Door (perfil Standard) com três rotas configuradas. A equipe de segurança cria uma nova política de WAF e tenta associá-la a uma das rotas pelo portal do Azure, mas a opção de associação a rotas individuais não está disponível. Qual é a causa mais provável?

A) Políticas de WAF para o Front Door só podem ser associadas via Azure CLI ou Azure PowerShell, não pelo portal do Azure

B) O perfil do Front Door é do tier Standard, que não suporta a associação de políticas de WAF; é necessário fazer upgrade para o tier Premium

C) A política de WAF foi criada no modo Detection, e associações a rotas individuais exigem que a política esteja em modo Prevention

D) A política de WAF está em uma região diferente do perfil do Front Door, impedindo a associação

Questão 5 — Múltipla Escolha

Uma empresa possui um Azure Application Gateway WAF_v2 com uma política de WAF associada no nível do gateway. A equipe decide associar também uma política de WAF específica a uma regra de roteamento de requisições individual. Qual é o comportamento resultante para o tráfego processado por essa regra de roteamento?

A) As duas políticas são avaliadas em paralelo e a ação mais restritiva entre elas é aplicada à requisição

B) A política associada à regra de roteamento individual tem precedência sobre a política do gateway para o tráfego coberto por essa regra

C) A política do gateway sempre tem precedência, e a política da regra de roteamento individual é ignorada quando há conflito

D) A associação de uma política a uma regra de roteamento individual é inválida quando já existe uma política no nível do gateway; o portal retorna erro

Gabarito e Explicações

Gabarito — Questão 1

Resposta: A

Políticas de WAF são objetos tipados no momento da criação. Uma política criada com o tipo Front Door (FrontDoorWebApplicationFirewallPolicy) é incompatível com o Application Gateway, e vice-versa. Essa distinção é fundamental: os dois recursos utilizam tipos de política completamente diferentes no plano de controle do Azure, e nenhuma configuração posterior pode alterar o tipo de uma política existente.

Os demais distratores exploram equívocos plausíveis: a restrição regional (opção B) é real para o Application Gateway, mas não é a causa descrita no cenário; a associação pós-criação (opção C) é perfeitamente suportada; o modo da política (opção D) não afeta a elegibilidade de associação. A consequência de não compreender essa distinção é tentar reutilizar políticas entre recursos incompatíveis, o que sempre resultará em falha.

Gabarito — Questão 2

Resposta: A

O Application Gateway WAF_v2 suporta políticas por site (per-site policy), que permitem associar políticas de WAF distintas a listeners individuais. Quando uma política é associada diretamente a um listener, ela substitui a política global apenas para o tráfego daquele listener, mantendo a política global ativa para os demais. Esse modelo hierárquico é o mecanismo correto para o cenário descrito.

As exclusões na política global (opção B) se aplicam a todas as requisições avaliadas por ela, sem capacidade de filtrar por listener. Redirecionar para um backend sem WAF (opção C) remove a proteção completamente para o tráfego interno, o que viola boas práticas de segurança. Alterar o tier do listener (opção D) não é possível; o tier é uma propriedade do Application Gateway inteiro, não de listeners individuais.

Gabarito — Questão 3

Resposta: Falso

Uma política de WAF no Azure Front Door só pode ser associada a perfis dentro da mesma assinatura em que a política foi criada. O escopo de uma política de WAF é limitado à assinatura, independentemente do tenant do Microsoft Entra ID. Tenants compartilhados entre assinaturas não ampliam o escopo de associação de políticas de WAF. Esse limite é relevante em arquiteturas multi-assinatura, onde cada assinatura que utiliza o Front Door precisa ter sua própria política de WAF definida localmente.

Gabarito — Questão 4

Resposta: B

A associação de políticas de WAF a rotas individuais no Azure Front Door é um recurso disponível apenas no tier Premium. O tier Standard suporta o WAF, mas apenas com associação no nível do endpoint, sem granularidade por rota. Para obter controle por rota, é necessário fazer upgrade do perfil para o tier Premium.

A restrição ao portal (opção A) é falsa; a associação pode ser feita tanto pelo portal quanto por CLI. O modo da política (opção C) não afeta a disponibilidade da funcionalidade de associação. A região (opção D) não é um critério relevante para o Front Door, que é um serviço global sem vinculação regional de políticas.

Gabarito — Questão 5

Resposta: B

No Application Gateway WAF_v2, a hierarquia de políticas segue o princípio de que a política mais específica tem precedência. Uma política associada a uma regra de roteamento individual (per-rule policy) tem precedência sobre a política associada ao gateway para o tráfego coberto por aquela regra. Isso permite ajuste fino de proteção sem alterar a política global, mantendo a postura de segurança das demais rotas intacta.

A avaliação paralela com aplicação da ação mais restritiva (opção A) não reflete o comportamento real; apenas uma política é aplicada por requisição. A precedência sempre da política global (opção C) inverte a hierarquia correta. A opção D está incorreta porque a associação em múltiplos níveis é explicitamente suportada e documentada pela Microsoft como um recurso do WAF_v2.