Pular para o conteúdo principal

Laboratório Técnico: Map requirements to features and capabilities of WAF

Questões

Questão 1 — Múltipla Escolha

Uma equipe de segurança precisa proteger uma aplicação web hospedada no Azure contra ataques de injeção de SQL e cross-site scripting (XSS). A solução deve inspecionar o tráfego HTTP/HTTPS e bloquear requisições maliciosas antes que cheguem ao backend. Qual recurso do Azure atende diretamente a esse requisito?

A) Azure Firewall Premium com regras de IDPS habilitadas

B) Web Application Firewall (WAF) no Azure Application Gateway

C) Network Security Group (NSG) com regras de negação na camada 4

D) Azure DDoS Protection Standard aplicado à VNet

Questão 2 — Cenário Técnico

Um arquiteto está revisando a configuração do WAF em um Azure Application Gateway. A equipe de desenvolvimento reporta que algumas requisições legítimas estão sendo bloqueadas, causando falhas na aplicação. Ao investigar, o arquiteto encontra o seguinte estado atual:

WAF Mode: Prevention
OWASP Rule Set: 3.2
Custom Rules: none
Exclusions: none

O arquiteto precisa diagnosticar quais regras estão causando os falsos positivos sem impactar a proteção do ambiente de produção. Qual é a abordagem correta?

A) Desabilitar temporariamente o WAF no Application Gateway para confirmar que o problema é causado por ele

B) Alterar o modo do WAF de Prevention para Detection para registrar as requisições bloqueadas sem interrompê-las

C) Remover o ruleset OWASP 3.2 e substituí-lo pelo CRS 2.x, que é menos restritivo

D) Criar uma Custom Rule com prioridade 1 para permitir todo o tráfego originado do IP da aplicação

Questão 3 — Verdadeiro ou Falso

O WAF no Azure Front Door e o WAF no Azure Application Gateway compartilham as mesmas políticas de WAF e podem ser gerenciados por um único objeto de política no portal do Azure, desde que ambos estejam na mesma assinatura.

Questão 4 — Cenário Técnico

Uma organização utiliza o Azure Front Door com WAF habilitado para distribuir tráfego globalmente. Durante um incidente, a equipe identifica que um endereço IP específico está realizando scraping agressivo na aplicação. O WAF está em modo Prevention, e as regras gerenciadas do OWASP estão ativas. O comportamento de scraping não é detectado pelas regras do ruleset padrão.

Qual é a ação mais adequada para bloquear imediatamente esse IP sem alterar as regras gerenciadas?

A) Alterar o modo do WAF para Detection e aguardar que o ruleset aprenda o padrão de ataque

B) Criar uma Custom Rule com condição de correspondência por IP e ação de Block

C) Adicionar o IP à lista de exclusão do WAF para forçar uma reavaliação das regras

D) Remover o perfil do Front Door e recriar com um ruleset diferente

Questão 5 — Múltipla Escolha

Uma empresa precisa proteger APIs REST expostas via Azure API Management (APIM) contra ataques na camada 7. A equipe avalia duas opções: colocar um Azure Application Gateway com WAF na frente do APIM, ou usar o Azure Front Door com WAF. Qual afirmação representa corretamente uma diferença relevante entre essas duas opções no contexto de proteção de APIs com WAF?

A) O Application Gateway com WAF opera regionalmente, enquanto o Front Door com WAF oferece proteção distribuída nos pontos de presença globais da Microsoft

B) O Front Door com WAF não suporta rulesets gerenciados pelo OWASP, exigindo que todas as regras sejam criadas manualmente

C) O Application Gateway com WAF pode ser implantado apenas em modo Detection, sendo inadequado para ambientes de produção

D) O Front Door com WAF não permite Custom Rules, ao contrário do Application Gateway que oferece suporte completo a elas

Gabarito e Explicações

Gabarito — Questão 1

Resposta: B

O WAF no Azure Application Gateway é projetado especificamente para inspecionar tráfego HTTP/HTTPS na camada 7 e bloquear ataques como SQL Injection e XSS com base em rulesets gerenciados (OWASP CRS). É o recurso nativo do Azure criado exatamente para esse cenário.

O principal erro conceitual dos distratores está na confusão entre camadas de proteção. O Azure Firewall Premium com IDPS protege tráfego de rede de forma mais ampla, mas não é otimizado para inspeção de payloads de aplicações web. NSGs operam na camada 4 (TCP/UDP) e não inspecionam o conteúdo HTTP. O Azure DDoS Protection Standard mitiga ataques volumétricos, não ataques de aplicação. Escolher qualquer um desses em lugar do WAF resultaria em ausência de proteção efetiva contra SQL Injection e XSS.

Gabarito — Questão 2

Resposta: B

O modo Detection do WAF registra todas as requisições que seriam bloqueadas nas logs de diagnóstico, sem efetivamente bloqueá-las. Isso permite que a equipe analise os logs do Azure Monitor ou Log Analytics para identificar quais regras do OWASP estão gerando falsos positivos, possibilitando a criação de exclusões cirúrgicas antes de retornar ao modo Prevention.

Desabilitar o WAF completamente (opção A) expõe o ambiente a ataques reais durante o diagnóstico. Substituir o ruleset OWASP 3.2 por uma versão anterior (opção C) reduz a cobertura de segurança e não resolve a causa raiz. Criar uma Custom Rule para permitir todo tráfego de um IP (opção D) é uma medida excessivamente ampla que pode mascarar ataques legítimos originados daquele IP.

Gabarito — Questão 3

Resposta: Falso

Políticas de WAF para Azure Front Door e para Azure Application Gateway são objetos distintos e incompatíveis entre si. Uma política criada para o Application Gateway não pode ser associada ao Front Door, e vice-versa. Cada recurso exige sua própria política de WAF com o tipo correto definido no momento da criação (Microsoft.Network/applicationGatewayWebApplicationFirewallPolicies vs. Microsoft.Network/FrontDoorWebApplicationFirewallPolicies). A confusão entre os dois objetos é um equívoco comum ao projetar arquiteturas híbridas de segurança de aplicações no Azure.

Gabarito — Questão 4

Resposta: B

Custom Rules no WAF permitem definir condições específicas, como correspondência por endereço IP de origem, com ação de Block. Essa é a mecanismo correto para bloquear um IP individual sem modificar os rulesets gerenciados, preservando a integridade das regras OWASP.

Alternar para o modo Detection (opção A) removeria a capacidade de bloqueio ativo, expondo a aplicação durante o período de análise. Adicionar o IP à lista de exclusão (opção C) teria o efeito oposto ao desejado: excluir significa isentar de avaliação, não bloquear. Recriar o perfil do Front Door (opção D) causaria indisponibilidade sem nenhum benefício técnico para o cenário descrito.

Gabarito — Questão 5

Resposta: A

O Azure Application Gateway com WAF é um recurso regional, implantado em uma única região do Azure. O Azure Front Door com WAF opera nos pontos de presença (PoPs) distribuídos globalmente da Microsoft, aplicando as políticas de WAF mais próximo do usuário final, o que reduz latência e distribui a carga de inspeção.

Os demais distratores representam equívocos factuais diretos. O Front Door com WAF suporta plenamente os rulesets gerenciados pelo OWASP (opção B é falsa). O Application Gateway com WAF suporta o modo Prevention em produção (opção C é falsa). O Front Door com WAF suporta Custom Rules da mesma forma que o Application Gateway (opção D é falsa). A diferença regional versus global é o critério de decisão mais relevante ao escolher entre os dois para proteger APIs com distribuição geográfica.