החלפת תעודת SSL ב-Azure WAF

מרץ 14, 2018 Avihai Hajaj Azure PowerShell, Microsoft Azure, Security, Virtual Network 0

שלום לכולם,

אני רוצה לשתף אתכם בסקריפט נחמד שכתבתי המאפשר להחליף תעודת SSL ב-Azure WAF בקלות.
נכון לכתיבת המאמר אין אפשרות להחליף את התעודה דרך הפורטל מבלי ליצור את ה-Listener מחדש.

לפני שנגיע לסקריפט אני רוצה להסביר לכם ממש בקצרה מה זה פתרון Azure WAF.

מה זה פתרון Azure WAF

Web Application Firewall (WAF) זה תכונה/תצורה שיש לשירות Azure Application Gateway  המספק הגנה לשירותי Web מפני ניצול לרעה של פגיעויות ידועות.
שירות Azure WAF מבוסס על כללי הליבה של OWASP לפי חוקי 3.0 או 2.2.9.

מה נותן שירות Azure WAF

  • SQL injection.
  • Cross site scripting.
  • Common attacks such as command injection, HTTP request smuggling, HTTP response splitting and remote file inclusion attack.
  • HTTP protocol violations.
  • HTTP protocol anomalies.
  • Bots, crawlers, and scanners.
  • Common application misconfigurations (e.g. Apache, IIS, etc.).
  • HTTP Denial of Service.

תרשים כללי של הפתרון

waf1

סקריפט לעדכון התעודה ב-Azure WAF

#Parameters
$WAFName = "<WAFResourceName>"
$ResourceGroup = "<ResourceGroupName>"
$OldCert = "<OldCertficateName"
$NewCertName = "<NewCertficateName>"
$NewCertPath = "<FullCertficatePath (PFX only)>"
$CertPass = Read-Host -AsSecureString -Prompt:"Insert PFX Password"
#Main
#Get WAF Resource (ApplicationGateway)
$WAF = Get-AzureRmApplicationGateway -Name:$WAFName -ResourceGroupName:$ResourceGroup
#Get Existing Certificates
$Cert = Get-AzureRmApplicationGatewaySslCertificate -Name:$OldCert -ApplicationGateway:$WAF;
#Remove Certificate
Remove-AzureRmApplicationGatewaySslCertificate -Name:$Cert.Name -ApplicationGateway:$WAF | Out-Null;
#Add New Certificate
Add-AzureRmApplicationGatewaySslCertificate -Name:$NewCertName -CertificateFile:$NewCertPath -Password:$CertPass -ApplicationGateway:$WAF | Out-Null;
#Set WAF Configuration
Set-AzureRmApplicationGateway -ApplicationGateway:$WAF;

בואו נריץ את הסקריפט על ה-DemoWAF

WAF02
לינק להורדת הסקריפט: Renew Azure WAF SSL Certificate

לסיכום,

ניתן לראות איך בקלות אפשר להחליף תעודה שפג תוקפה או להחליף תעודה עקב שינוי שם מבלי למחוק את ה-Listener וליצור מחדש.
פתרון Azure WAF הוא פתרון יחסית חדש ולכן חלק מהדברים לא ניתנים לביצוע דרך הפורטל.
השימוש בפתרון Azure WAF יאפשר לכל ארגון להגן על שירותי ה-Web שלו כשירות עם יכולות של שרידות, התראות, לוגיים ועוד.

בהצלחה Smile

Be the first to comment

Leave a Reply

כתובת האימייל שלך לא תפורסם


*