公式にアナウンスはされていませんが、Azure ポータルから Azure Application Gateway (WAF V2) を新規作成、もしくは SKU を WAF V2 に切り替える場合、Web Application Firewall ポリシー (WAF) の適用が必須となっていました。
これまでは Azure Application Gateway に組み込まれている以下の簡易的なポリシー (Azure Application Gateway (WAF V2) 構成) も使用することができましたが、今後は Web Application Firewall ポリシー (WAF) に置き換わる形になるようです。
現時点で Azure Application Gateway (WAF V2) 構成を利用している環境には影響はないようです。
とはいえ、今後は細かな設定や割り当てが可能な Web Application Firewall ポリシー (WAF) が利用される可能性があるため、状況によって移行を検討しておいたほうがよいかと思います。
なお、既存の Web Application Firewall ポリシー (WAF) も割り当てることが可能ですが、Application Gateway (WAF V2) を新規作成/SKU を WAF V2 変更するのと合わせて、Web Application Firewall ポリシー (WAF) を新規作成した際の設定内容について、確認した結果を纏めてみました。
Web Application Firewall ポリシー (WAF) を新規作成した際の設定内容について
概要
ポリシーの状態は有効になっていますが、ポリシー モードは「検出」となっています。
ポリシー設定
これまで Azure Application Gateway に組み込まれていた簡易的なポリシーの内容と同一となっています。
管理されているルール
OWASP 3.2 がマネージド ルールとして設定されています。
なお、Web Application Firewall ポリシー (WAF) 作成時に [ボット保護の追加] のチェックボックスをオンにしておくと、「Microsoft_BotManagerRuleSet_0.1」がマネージド ルールとして設定されます。
カスタム ルール
カスタム ルールは設定されていませんでした。
関連付けられたアプリケーション ゲートウェイ
割当先は対象の Azure Application Gateway となり、割り当てレベルは「Application Gateway」となります。
割り当てレベルは「Application Gateway」以外にも「HTTP リスナー」や「ルート パス」がありますが、「Application Gateway」については、セキュリティ的に割り当て解除することはできません。
なお、他のWeb Application Firewall ポリシー (WAF) でポリシーを置き換えることは可能です。
この辺りは割り当てレベルも含めて時間があるときに纏めたいですね (纏める気がない時のコメント