Laboratório Técnico: Design a WAF Deployment
Questões
Questão 1 — Múltipla Escolha
Uma equipe de segurança precisa proteger uma aplicação web hospedada no Azure contra ataques da OWASP Top 10, mas exige que o WAF opere inicialmente sem bloquear tráfego legítimo, permitindo ajustes antes da aplicação em produção. Qual combinação de recurso e modo atende a esse requisito?
A) Azure Front Door com WAF em modo Prevention
B) Application Gateway com WAF em modo Detection
C) Application Gateway com WAF em modo Prevention
D) Azure CDN com WAF em modo Detection
Questão 2 — Cenário Técnico
Um engenheiro implantou um WAF no Azure Application Gateway v2 com o ruleset OWASP 3.2 em modo Prevention. Após a implantação, usuários legítimos relatam que requisições contendo determinados parâmetros de busca estão sendo bloqueadas com o código HTTP 403. O engenheiro precisa resolver o problema sem desativar o ruleset inteiro nem mudar para o modo Detection.
Qual é a abordagem correta?
A) Criar uma regra de exclusão global no WAF para o campo do parâmetro que está sendo bloqueado indevidamente
B) Substituir o ruleset OWASP 3.2 pelo ruleset Bot Manager, que é menos restritivo para parâmetros de query string
C) Adicionar uma regra personalizada com prioridade maior que bloqueia todo o tráfego exceto o originado do IP dos usuários afetados
D) Atualizar o SKU do Application Gateway de WAF_v2 para Standard_v2 para remover a inspeção de parâmetros
Questão 3 — Verdadeiro ou Falso
Um WAF configurado no Azure Front Door com uma política em modo Prevention é capaz de aplicar regras diferenciadas por rotas de URL distintas dentro do mesmo perfil do Front Door, associando políticas WAF diferentes a cada rota individualmente.
Verdadeiro ou Falso?
Questão 4 — Cenário Técnico
Uma empresa opera uma API pública exposta pelo Azure Application Gateway com WAF habilitado. A equipe de segurança observa o seguinte log de diagnóstico:
{
"ruleName": "REQUEST-942-APPLICATION-ATTACK-SQLI",
"action": "Detected",
"matchedData": "1=1",
"policyMode": "Prevention"
}
Apesar da ação registrada como Detected e o modo da política estar como Prevention, o tráfego malicioso não está sendo bloqueado. Qual é a causa mais provável?
A) A regra REQUEST-942 está desabilitada individualmente no ruleset, sobrescrevendo o modo Prevention da política
B) O campo action: Detected indica que o WAF ainda está em fase de aprendizado automático e ainda não convergiu
C) O log está usando o formato de diagnóstico legado, que não reflete o estado atual da política
D) O Application Gateway está configurado com um listener em modo Multi-site que ignora políticas WAF por rota
Questão 5 — Múltipla Escolha
Ao projetar um WAF para uma arquitetura com múltiplos aplicativos web com requisitos de segurança distintos, qual característica do Azure Front Door diferencia sua abordagem de políticas WAF em relação ao Application Gateway?
A) O Front Door permite associar uma única política WAF global a todos os domínios, enquanto o Application Gateway permite políticas por listener
B) O Front Door opera na camada 4, inspecionando pacotes TCP, enquanto o Application Gateway opera na camada 7
C) O Front Door não suporta rulesets gerenciados pela Microsoft, exigindo que todas as regras sejam customizadas pelo cliente
D) O Front Door não permite modo Detection, apenas Prevention, ao contrário do Application Gateway
Gabarito e Explicações
Gabarito — Questão 1
Resposta: B
O modo Detection no Application Gateway com WAF registra as ameaças nos logs sem bloquear o tráfego, permitindo que a equipe analise falsos positivos antes de ativar o bloqueio real. O modo Prevention bloqueia e registra imediatamente, o que não é adequado para uma fase de ajuste inicial em produção. O Azure CDN com WAF é um serviço diferente e não é equivalente ao Application Gateway para hospedar aplicações com inspeção L7 completa. O Front Door com Prevention contradiz o requisito de não bloquear tráfego durante os ajustes.
O equívoco mais comum aqui é confundir "observar sem interferir" com o comportamento do Prevention, imaginando que ele apenas gera alertas.
Gabarito — Questão 2
Resposta: A
As regras de exclusão (exclusion lists) no WAF do Application Gateway permitem que campos específicos de requisições (como headers, cookies ou parâmetros de query string) sejam ignorados pela inspeção de determinadas regras ou do ruleset inteiro, sem desativar a proteção global. Essa é a abordagem cirúrgica correta para falsos positivos.
O Bot Manager ruleset tem finalidade distinta, focado em mitigação de bots, não em reduzir a sensibilidade do OWASP. Criar uma regra de bloqueio por IP é o oposto do problema. Rebaixar o SKU para Standard_v2 remove completamente o WAF, o que é uma decisão de arquitetura, não de ajuste de política.
Gabarito — Questão 3
Verdadeiro
No Azure Front Door, as políticas WAF são associadas a rotas (routes) dentro de um endpoint, não apenas ao perfil como um todo. Isso significa que é possível vincular políticas distintas a rotas distintas dentro do mesmo perfil, permitindo segmentação granular de regras por caminho de URL ou domínio. Essa é uma diferença de design importante em relação ao Application Gateway, onde a política WAF é associada ao listener ou ao próprio gateway.
A confusão comum é assumir que a política WAF é sempre aplicada de forma uniforme em todo o perfil do Front Door, o que levaria a subdimensionar ou superproteger determinadas rotas.
Gabarito — Questão 4
Resposta: A
Quando uma regra individual de um ruleset gerenciado é desabilitada, ela passa a registrar a ação como Detected independentemente do modo global da política. Isso ocorre porque a desativação da regra remove sua capacidade de bloquear, mesmo que a política esteja em Prevention. O log registra a correspondência (match), mas a ação efetiva é Detected porque a regra foi explicitamente suprimida.
O Application Gateway WAF não possui mecanismo de "aprendizado automático" ou convergência progressiva como alguns WAFs de terceiros. O formato de log legado não interfere no comportamento em tempo real. O modo Multi-site afeta o roteamento de requisições, não a aplicação de políticas WAF.
Gabarito — Questão 5
Resposta: A
O Azure Front Door permite que uma política WAF seja associada a um domínio ou conjunto de domínios gerenciados globalmente, mas sua granularidade por rota permite diferenciação dentro do perfil. O Application Gateway associa políticas WAF ao nível do listener ou do próprio gateway, o que significa que diferentes listeners podem ter políticas distintas para aplicações distintas no mesmo gateway.
A alternativa B está errada porque o Front Door opera na camada 7, assim como o Application Gateway. A alternativa C está errada porque o Front Door suporta rulesets gerenciados, incluindo o conjunto OWASP e o Bot Manager. A alternativa D está errada porque ambos os serviços suportam os modos Detection e Prevention.