שלום לכולם,
אני רוצה לשתף אתכם בסקריפט נחמד שכתבתי המאפשר להחליף תעודת SSL ב-Azure WAF בקלות.
נכון לכתיבת המאמר אין אפשרות להחליף את התעודה דרך הפורטל מבלי ליצור את ה-Listener מחדש.
לפני שנגיע לסקריפט אני רוצה להסביר לכם ממש בקצרה מה זה פתרון Azure WAF.
מה זה פתרון Azure WAF
Web Application Firewall (WAF) זה תכונה/תצורה שיש לשירות Azure Application Gateway המספק הגנה לשירותי Web מפני ניצול לרעה של פגיעויות ידועות.
שירות Azure WAF מבוסס על כללי הליבה של OWASP לפי חוקי 3.0 או 2.2.9.
מה נותן שירות Azure WAF
- SQL injection.
- Cross site scripting.
- Common attacks such as command injection, HTTP request smuggling, HTTP response splitting and remote file inclusion attack.
- HTTP protocol violations.
- HTTP protocol anomalies.
- Bots, crawlers, and scanners.
- Common application misconfigurations (e.g. Apache, IIS, etc.).
- HTTP Denial of Service.
תרשים כללי של הפתרון
סקריפט לעדכון התעודה ב-Azure WAF
#Parameters $WAFName = "<WAFResourceName>" $ResourceGroup = "<ResourceGroupName>" $OldCert = "<OldCertficateName" $NewCertName = "<NewCertficateName>" $NewCertPath = "<FullCertficatePath (PFX only)>" $CertPass = Read-Host -AsSecureString -Prompt:"Insert PFX Password" #Main #Get WAF Resource (ApplicationGateway) $WAF = Get-AzureRmApplicationGateway -Name:$WAFName -ResourceGroupName:$ResourceGroup #Get Existing Certificates $Cert = Get-AzureRmApplicationGatewaySslCertificate -Name:$OldCert -ApplicationGateway:$WAF; #Remove Certificate Remove-AzureRmApplicationGatewaySslCertificate -Name:$Cert.Name -ApplicationGateway:$WAF | Out-Null; #Add New Certificate Add-AzureRmApplicationGatewaySslCertificate -Name:$NewCertName -CertificateFile:$NewCertPath -Password:$CertPass -ApplicationGateway:$WAF | Out-Null; #Set WAF Configuration Set-AzureRmApplicationGateway -ApplicationGateway:$WAF;
בואו נריץ את הסקריפט על ה-DemoWAF
לינק להורדת הסקריפט: Renew Azure WAF SSL Certificate
לסיכום,
ניתן לראות איך בקלות אפשר להחליף תעודה שפג תוקפה או להחליף תעודה עקב שינוי שם מבלי למחוק את ה-Listener וליצור מחדש.
פתרון Azure WAF הוא פתרון יחסית חדש ולכן חלק מהדברים לא ניתנים לביצוע דרך הפורטל.
השימוש בפתרון Azure WAF יאפשר לכל ארגון להגן על שירותי ה-Web שלו כשירות עם יכולות של שרידות, התראות, לוגיים ועוד.
בהצלחה
Leave a Reply