Síť s nulovou důvěryhodností pro webové aplikace s Azure Firewall a Application Gateway

Application Gateway
Brána firewall
Virtual Network
Virtuální síť WAN
Firewall webových aplikací

Tato příručka popisuje strategii pro implementaci zabezpečení webových aplikací s nulovou důvěryhodností. Tento typ modelu zabezpečení ověřuje důvěryhodnost síťových paketů, které proudí do aplikací. Nejlépe funguje vícevrstvý přístup, kdy zabezpečení sítě tvoří jednu vrstvu. V této vrstvě síťová zařízení kontroluje pakety, aby se zajistilo, že aplikace dosáhne pouze legitimní provoz.

Různé typy síťových zařízení obvykle prověří různé aspekty síťových paketů:

  • Firewally webových aplikací hledejí vzory, které indikují útok na vrstvu webové aplikace.
  • Brány firewall nové generace mohou také hledat obecné hrozby.

V některých situacích můžete kombinovat různé typy zařízení pro zabezpečení sítě a zvýšit tak ochranu. Samostatný průvodce Brána firewall a Application Gateway provirtuální sítě popisuje vzory návrhu, které můžete použít k uspořádání různých zařízení. Tento dokument se zaměřuje na běžný vzor maximalizace zabezpečení, při kterém Azure Application Gateway před Azure Firewall Premium. Tento model znázorňuje následující diagram:

Diagram architektury znázorňující tok paketů v síti webové aplikace, která používá Application Gateway před Azure Firewall Premium

Tato architektura používá protokol SSL (Secure Sockets Layer) k šifrování provozu v každém kroku.

  • Klient odesílá pakety do Application Gateway, nástroje pro vyrovnávání zatížení. Spustí se s volitelným přičítáním Azure Web Application Firewall.

  • Application Gateway dešifruje pakety a vyhledá hrozby pro webové aplikace. Pokud nenajde žádné hrozby, použije k šifrování paketů principy nulové důvěryhodnosti. Pak je uvolní.

  • Azure Firewall Premium spustí kontroly zabezpečení:

  • Pokud pakety projdou testy, Azure Firewall Premium tyto kroky:

    • Šifruje pakety.
    • K určení virtuálního počítače aplikace používá službu DNS (Domain Name System).
    • Přeposílá pakety do virtuálního počítače aplikace.

Různé moduly kontroly v této architektuře zajišťují integritu provozu:

  • Web Application Firewall používá pravidla, která brání útokům na webovou vrstvu. Mezi příklady útoků SQL injektáž kódu a skriptování mezi weby. Další informace o pravidlech a základní sadě pravidel OWASP (Open Web Application Security Project) najdete v Web Application Firewall pravidel CRS.
  • Azure Firewall Premium používá obecná pravidla detekce a prevence neoprávněných vniknutí. Tato pravidla pomáhají identifikovat škodlivé soubory a další hrozby, které cílí na webové aplikace.

Tato architektura podporuje různé typy návrhu sítě, které tento článek popisuje:

  • Tradiční centrální a paprskové sítě
  • Sítě, které Azure Virtual WAN jako platformu
  • Sítě, které používají Azure Route Server ke zjednodušení dynamického směrování

Azure Firewall Premium a překlad adres IP

Při kontrole škodlivého provozu nástroj Azure Firewall Premium, že hlavička Http Host odpovídá IP adrese paketu a portu TCP. Předpokládejme například, Application Gateway webové pakety na IP adresu 172.16.1.4 a port TCP 443. Hodnota hlavičky Http Host by se měla přeložit na tuto IP adresu.

Hlavičky hostitele HTTP obvykle neobsahují IP adresy. Místo toho hlavičky obsahují názvy, které odpovídají digitálnímu certifikátu serveru. V tomto případě Azure Firewall Premium DNS k překladu názvu hlavičky hostitele na IP adresu. Návrh sítě určuje, které řešení DNS funguje nejlépe, jak popisují pozdější části.

Poznámka

Application Gateway nepodporuje čísla portů v hlavičkách hostitele HTTP. Výsledek:

  • Azure Firewall Premium předpokládá výchozí port HTTPS TCP 443.
  • Připojení mezi Application Gateway a webovým serverem podporuje pouze port TCP 443, nestandardní porty.

Digitální certifikáty

Následující diagram znázorňuje běžné názvy (CN) a certifikační autority (CA), které používají relace a certifikáty SSL architektury:

Diagram architektury znázorňující běžné názvy a certifikační autority, které síť webových aplikací používá, když je nástroj pro vyrovnávání zatížení před bránou firewall.

Připojení SSL

Tato architektura obsahuje tři odlišná připojení SSL. Digitální certifikáty ověřují každý z nich:

Od klientů k Application Gateway

V Application Gateway nasadíte digitální certifikát, který vidí klienti. Takový certifikát obvykle vydává dobře známá certifikační autorita, jako je DigiCert nebo Let's Encrypt.

Z Application Gateway na Azure Firewall Premium

Pokud chcete dešifrovat a kontrolovat provoz TLS, Azure Firewall Premium certifikáty dynamicky generuje. Azure Firewall Premium se také prezentuje Application Gateway jako webový server. Privátní certifikační autorita podepíše certifikáty, Azure Firewall Premium generuje. Další informace najdete v tématu Azure Firewall Premium certifikáty. Application Gateway musí tyto certifikáty ověřit. V nastavení HTTP aplikace nakonfigurujete kořenovou certifikační autoritu, kterou Azure Firewall Premium používá.

Z Azure Firewall Premium na webový server

Azure Firewall Premium vytvoří relaci SSL s cílovým webovým serverem. Azure Firewall Premium ověřuje, že dobře známá certifikační autorita podepisuje pakety SSL webového serveru.

Role komponent

Application Gateway a Azure Firewall Premium certifikáty navzájem odlišně, protože se jejich role liší:

  • Application Gateway je reverzní webový proxy server. Chrání webové servery před škodlivými klienty tím, že zachycuje požadavky HTTP a HTTPS. Každý chráněný server, který je v back-end fondu služby , deklarujete Application Gateway jeho IP adresou nebo plně kvalifikovaným názvem domény. Ke každé aplikaci by měli mít přístup legitimní klienti. Proto nakonfigurujete Application Gateway digitálním certifikátem, který podepsala veřejná certifikační autorita. Použijte certifikační autoritu, kterou bude přijímat libovolný klient SSL.
  • Azure Firewall Premium je dopředné webové proxy server nebo jednoduše webový proxy server. Chrání klienty před škodlivými webovými servery tím, že zachycuje volání SSL z chráněných klientů. Když chráněný klient vytvoří požadavek HTTP, předá proxy server zosobní cílový webový server vygenerováním digitálních certifikátů a jejich předáním klientovi. Azure Firewall Premium používá privátní certifikační autoritu, která podepisuje dynamicky generované certifikáty. Chráněné klienty nakonfigurujete tak, aby důvěřování této privátní certifikační autoritě důvěřovat. V této architektuře Azure Firewall Premium požadavky z Application Gateway na webový server. Application Gateway důvěřuje privátní certifikační autoritě, Azure Firewall Premium používá.

Příklad centra a paprsku

Návrh centra a paprsku obvykle nasazovat sdílené síťové komponenty v centrální virtuální síti a komponenty specifické pro aplikace v paprskech. Ve většině systémů Azure Firewall Premium sdílený prostředek. Může Web Application Firewall být sdílené síťové zařízení nebo komponenta specifická pro aplikaci. Z následujících důvodů je obvykle nejlepší zacházet s Application Gateway komponentou aplikace a nasadit ji v paprskové virtuální síti:

  • Může být obtížné vyřešit potíže s Web Application Firewall výstrahami. Obecně potřebujete podrobné znalosti o aplikaci, abyste se rozhodli, jestli jsou zprávy, které tyto alarmy aktivují, legitimní.
  • Pokud s Application Gateway zacházíte jako se sdíleným prostředekem, můžete Azure Application Gateway limity.
  • Pokud v centru nasadíte nové řešení, může Application Gateway řízení přístupu na základě role. Tato situace může nastane, když týmy spravují různé aplikace, ale používají stejnou instanci Application Gateway. Každý tým pak má přístup k celé Application Gateway konfigurace.

Díky tradiční centrální a paprskové architektuře poskytují privátní zóny DNS snadný způsob použití DNS:

  • Nakonfigurujte privátní zónu DNS.
  • Propoojte zónu s virtuální sítí, která obsahuje Azure Firewall Premium.
  • Ujistěte se, že existuje záznam A pro hodnotu, Application Gateway používá pro provoz a pro kontroly stavu.

Následující diagram znázorňuje tok paketů, Application Gateway je v paprskové virtuální síti. V tomto případě se klient připojuje z veřejného internetu.

Diagram architektury znázorňující tok paketů v centrální a paprskové síti s vyrovnáváním zatížení a bránou firewall Klienti se připojují z veřejného internetu.

  1. Klient odešle požadavek na webový server.
  2. Application Gateway zachytí pakety klienta a prozkoumá je. Pokud pakety projdou kontrolou, trasa definovaná uživatelem v podsíti Application Gateway pakety předá do Azure Firewall Premium.
  3. Azure Firewall Premium pakety kontroluje zabezpečení. Pokud projdou testy, Azure Firewall Premium pakety předá do virtuálního počítače aplikace.
  4. Virtuální počítač odpoví a nastaví cílovou IP adresu na Application Gateway. UDR v podsíti Application Gateway přesměruje pakety do Azure Firewall Premium.
  5. Azure Firewall Premium pakety předá do Application Gateway.
  6. Application Gateway klientovi.

Provoz může přijet také z místní sítě místo z veřejného internetu. Provoz prochází buď přes virtuální privátní síť (VPN) site-to-site, nebo přes ExpressRoute. V tomto scénáři se provoz nejprve dostane do brány virtuální sítě v centru. Zbytek toku sítě je stejný jako v předchozím případě.

Diagram architektury znázorňující tok paketů v centrální a paprskové síti s vyrovnáváním zatížení a bránou firewall Klienti se připojují z místní sítě.

  1. Místní klient se připojí k bráně virtuální sítě.
  2. Brána předá klientské pakety do Application Gateway.
  3. Application Gateway zkontroluje pakety. Pokud projdou kontrolou, předá UDR v podsíti Application Gateway pakety do Azure Firewall Premium.
  4. Azure Firewall Premium pakety kontroluje zabezpečení. Pokud projdou testy, Azure Firewall Premium pakety předá do virtuálního počítače aplikace.
  5. Virtuální počítač odpoví a nastaví cílovou IP adresu na Application Gateway. UDR v podsíti Application Gateway přesměruje pakety do Azure Firewall Premium.
  6. Azure Firewall Premium pakety předá do Application Gateway.
  7. Application Gateway odešle pakety bráně virtuální sítě.
  8. Brána odpoví klientovi.

Virtual WAN příklad

V této architektuře můžete použít také Virtual WAN služby. Tato komponenta nabízí mnoho výhod. Eliminuje například potřebu uživatelem udržovaných uživatelem udržovaných uživatelem v paprskových virtuálních sítích. Místo toho můžete definovat statické trasy ve směrovacích tabulkách virtuálního rozbočovače. Tyto trasy pak obsahuje programování každé virtuální sítě, kterou připojíte k rozbočovači.

Když použijete Virtual WAN jako síťovou platformu, výsledkem jsou dva hlavní rozdíly:

  • Privátní zóny DNS nemůžete propojit s virtuálním centrem, protože virtuální centra spravuje Microsoft. Jako vlastník předplatného nemáte oprávnění k propojení privátních zón DNS. V důsledku toho nemůžete přidružit privátní zónu DNS k zabezpečenému centru, které obsahuje Azure Firewall Premium. Pokud chcete implementovat překlad DNS pro Azure Firewall Premium, použijte místo toho servery DNS:

    • Nakonfigurujte Azure Firewall DNS Nastavení pro použití vlastních serverů DNS.
    • Nasaďte servery ve virtuální síti sdílených služeb, kterou připojíte k virtuální síti WAN.
    • Propoojte privátní zónu DNS s virtuální sítí sdílených služeb. Servery DNS pak mohou přeložit názvy, které Application Gateway v hlavičkách hostitele HTTP. Další informace najdete v tématu Azure Firewall DNS Nastavení.

  • Trasy v paprsku Virtual WAN programovat pouze v případě, že je předpona kratší než předpona virtuální sítě. Toto omezení je patrné Application Gateway a cílový webový server jsou ve stejné virtuální síti. V takovém případě Virtual WAN vložit trasu, která přepíše systémovou trasu pro virtuální síť. V důsledku toho provoz mezi Application Gateway a webovým serverem obchází Azure Firewall Premium.

Následující diagram znázorňuje tok paketů v případě, že se používá Virtual WAN. V této situaci je přístup Application Gateway z místní sítě. Síť site-to-site VPN nebo ExpressRoute připojí k této síti Virtual WAN. Přístup z internetu je podobný.

Diagram architektury znázorňující tok paketů v centrální a paprskové síti, který zahrnuje nástroj pro vyrovnávání zatížení, bránu firewall a Virtual WAN.

  1. Místní klient se připojí k síti VPN.
  2. Síť VPN předává klientské pakety do Application Gateway.
  3. Application Gateway zkontroluje pakety. Pokud projdou kontrolou, Application Gateway podsítě předá pakety do Azure Firewall Premium.
  4. Azure Firewall Premium o překlad DNS ze serveru DNS ve virtuální síti sdílených služeb.
  5. Server DNS odpoví na žádost o překlad.
  6. Azure Firewall Premium pakety kontroluje zabezpečení. Pokud projdou testy, Azure Firewall Premium pakety předá do virtuálního počítače aplikace.
  7. Virtuální počítač odpoví a nastaví cílovou IP adresu na Application Gateway. Podsíť Application Gateway přesměruje pakety do Azure Firewall Premium.
  8. Azure Firewall Premium pakety předá do Application Gateway.
  9. Application Gateway odešle pakety do sítě VPN.
  10. Síť VPN odpoví klientovi.

S tímto návrhem možná budete muset upravit směrování, které centrum inzeruje do paprskových virtuálních sítí. Konkrétně Application Gateway v2 podporuje pouze trasu 0.0.0.0/0, která odkazuje na internet. Trasy s touto adresou, které neukažou na internet, přeruší připojení, které Microsoft vyžaduje pro správu Application Gateway. Pokud vaše virtuální centrum inzeruje trasu 0.0.0.0/0, jedním z těchto kroků zabraňte šíření této trasy do podsítě Application Gateway:

  • Vytvořte směrovací tabulku s trasou pro 0.0.0.0/0 a typem dalšího segmentu směrování Internet . Přidružte ji k podsíti, do které Application Gateway nasazení.
  • Pokud nasadíte Application Gateway ve vyhrazeném paprsku, zakažte šíření výchozí trasy v nastavení pro připojení k virtuální síti.

Příklad směrovacího serveru

Route Server nabízí další způsob, jak automaticky vložit trasy do paprsků. Díky této funkci se vyhnete administrativní režii při údržbě směrovací tabulky. Směrovací server kombinuje Virtual WAN a varianty centra a paprsku:

  • Pomocí směrovacího serveru spravují zákazníci virtuální sítě centra. V důsledku toho můžete virtuální síť centra propojit s privátní zónou DNS.
  • U směrovacího serveru platí stejné omezení, Virtual WAN se týkají předpon IP adres. Trasy můžete vložit do paprsku pouze v případě, že je předpona kratší než předpona virtuální sítě. Kvůli tomuto omezení musí Application Gateway a cílový webový server v různých virtuálních sítích.

Následující diagram znázorňuje tok paketů, když route server zjednodušuje dynamické směrování. Všimněte si těchto bodů:

  • Směrovací server v současné době vyžaduje zařízení, které vloží trasy k jejich odeslání přes protokol Border Gateway Protocol (BGP). Protože Azure Firewall Premium protokol BGP nepodporuje, použijte místo toho síťové virtuální zařízení jiného výrobce.
  • Funkčnost síťového virtuálního zařízení v centru určuje, jestli vaše implementace potřebuje DNS.

Diagram architektury znázorňující tok paketů v centrální a paprskové síti, který zahrnuje nástroj pro vyrovnávání zatížení, bránu firewall a směrovací server

  1. Místní klient se připojí k bráně virtuální sítě.
  2. Brána předá klientské pakety do Application Gateway.
  3. Application Gateway zkontroluje pakety. Pokud projdou kontrolou, Application Gateway podsítě předá pakety síťového virtuálního zařízení.
  4. Síťové virtuální zařízení vyžaduje překlad DNS ze serveru DNS ve virtuální síti sdílených služeb.
  5. Server DNS odpoví na žádost o překlad.
  6. Síťové virtuální zařízení na paketech spouští bezpečnostní kontroly. Pokud projdou testy, síťové virtuální zařízení předá pakety do virtuálního počítače aplikace.
  7. Virtuální počítač odpoví a nastaví cílovou IP adresu na Application Gateway. Podsíť Application Gateway přesměruje pakety do síťového virtuálního zařízení.
  8. Síťové virtuální zařízení předává pakety do Application Gateway.
  9. Application Gateway odešle pakety bráně virtuální sítě.
  10. Brána odpoví klientovi.

Stejně jako Virtual WAN může být nutné upravit směrování při použití směrovacího serveru. Pokud inzerujete trasu 0.0.0.0/0, může se rozšířit do Application Gateway podsítě. Application Gateway ale tuto trasu nepodporuje. V takovém případě nakonfigurujte směrovací tabulku pro Application Gateway podsíť. Přidejte trasu pro 0.0.0.0/0 a typ dalšího segmentu směrování Internet v této tabulce.

Další kroky