Azure Application Gateway (WAF V2) に割り当てる Web Application Firewall ポリシー (WAF) の割り当てレベルと優先順位について

以前のブログエントリで Azure Application Gateway (WAF V2) の新規作成/WAF V2 への SKU 切り替え時に Web Application Firewall ポリシー (WAF) の適用の適用が必須になった旨を記載しましたが、今回は Web Application Firewall ポリシー (WAF) を Azure Application Gateway (WAF V2) に割り当てる (関連付ける) 際の割り当てレベルと優先順位について纏めてみました。

Web Application Firewall ポリシー (WAF) の割り当てレベルと優先順位について
関連サイト

Web Application Firewall ポリシー (WAF) の割り当てレベルと優先順位について

Web Application Firewall ポリシー (WAF) の割り当てレベル

Web Application Firewall ポリシー (WAF) を Azure Application Gateway (WAF V2) に割り当てる際の割り当てレベルは以下の 3 つとなります。

Application Gateway (グローバル WAF ポリシー)
HTTP リスナー (サイトごとの WAF ポリシー)
ルートパス (URI ごとのポリシー)

Web Application Firewall ポリシー (WAF) は、複数の Application Gateway/HTTP リスナー/ルートパスに割り当てることができますが、Application Gateway/HTTP リスナー/ルートパスに対して複数の Web Application Firewall ポリシー (WAF) を割り当てることはできません。

Application Gateway/HTTP リスナー/ルートパスに対して最後に割り当てた Web Application Firewall ポリシー (WAF) の内容が適用されます。

Application Gateway (グローバル WAF ポリシー)

Azure Application Gateway (WAF V2) に割り当てることで、ゲートウェイ全体に対して割り当てた Web Application Firewall ポリシー (WAF) でカスタマイズ (設定) した内容が適用されます。

セキュリティ上、Azure Application Gateway (WAF V2) に割り当てた Web Application Firewall ポリシー (WAF) を解除することはできません。

他の Web Application Firewall ポリシー (WAF) を割り当てる (置き換える) ことで、解除することができます。

HTTP リスナー (サイトごとの WAF ポリシー)

Azure Application Gateway (WAF V2) の「HTTP リスナー」に割り当てることで、割り当てた Web Application Firewall ポリシー (WAF) でカスタマイズ (設定) した内容が適用されます。

HTTP リスナーに割り当てた Web Application Firewall ポリシー (WAF) を解除することは可能です。

ルートパス (URI ごとのポリシー)

Azure Application Gateway (WAF V2) の「ルール (パスベース)」に割り当てることで、割り当てたルール (パスベース) に対して Web Application Firewall ポリシー (WAF) でカスタマイズ (設定) した内容が適用されます。

ルール (パスベース) に割り当てた Web Application Firewall ポリシー (WAF) を解除することは可能です。

Web Application Firewall ポリシー (WAF) の優先順位

Web Application Firewall ポリシー (WAF) の優先順位については、以下となります。

ルートパス (URI ごとのポリシー) 割り当てレベル
HTTP リスナー (サイトごとの WAF ポリシー) 割り当てレベル
Application Gateway (グローバル WAF ポリシー) 割り当てレベル

図に表すと、こんな感じになります。

なお、優先順位が高い割り当てレベルの Web Application Firewall ポリシー (WAF) で全内容が上書きされるため、注意が必要です。

例として、上図の Rule C2 (Path-base) には「WAF rule C」が適用されますが、AGW に割り当てられている「WAF rule A」は適用されません。

そのため、Application Gateway 割り当てレベルで全体のポリシーを決めて、HTTP リスナー割り当てレベルやルートパス割り当てレベルで一部の通信をブロック/許可するといった使い方はできません。
※Application Gateway 割り当てレベルで Web Application Firewall ポリシー (WAF) をカスタマイズしている場合、HTTP リスナー割り当てレベルやルートパス割り当てレベルでも同様のカスタマイズする必要があります。

おまけ : Application Gateway/HTTP リスナー/ルートパスに対してどの Web Application Firewall ポリシー (WAF) が割り当てられているかを確認する方法

現状、Azure ポータルや Azure PowerShell、Azure CLI では、Application Gateway/HTTP リスナー/ルートパスすべてを纏めた形で一覧出力する方法はないようです。

Azure ポータルの場合、[対象の Web Application Firewall ポリシー (WAF)] 管理ブレード – [関連付けられたアプリケーションゲートウェイ] から確認することは可能です。

[アプリケーションゲートウェイ] 管理ブレード – [Web アプリケーションルール] からも確認することはできますが、「Application Gateway (グローバル WAF ポリシー) 割り当てレベル」で割り当てられた Web Application Firewall ポリシー (WAF) しが表示されないのは運用管理面でツライところがある (
// Azure PowerShell、Azure CLIでごにょごにょできたらいいなぁ…