Sdílet prostřednictvím


Zabezpečení provozu do počátečních zdrojů služby Azure Front Door

Funkce služby Front Door fungují nejlépe, když provoz prochází jenom přes Službu Front Door. Měli byste nakonfigurovat zdroj tak, aby blokoval provoz, který nebyl odeslán prostřednictvím služby Front Door. Jinak provoz může obejít firewall webových aplikací služby Front Door, ochranu před útoky DDoS a další funkce zabezpečení.

Poznámka:

Skupina původu a původu v tomto článku odkazuje na back-endový a back-endový fond konfigurace služby Azure Front Door (Classic).

Front Door nabízí několik přístupů, které můžete použít k omezení počátečního provozu.

Pokud používáte skladovou položku Premium služby Front Door, můžete k odesílání provozu do vašeho původu použít Službu Private Link. Přečtěte si další informace o původech služby Private Link.

Měli byste nakonfigurovat zdroj tak, aby nepovolil provoz, který neprochází přes Private Link. Způsob omezení provozu závisí na typu zdroje služby Private Link, který používáte:

  • Aplikace Azure Service a Azure Functions automaticky zakazují přístup prostřednictvím veřejných internetových koncových bodů při použití služby Private Link. Další informace najdete v tématu Použití privátních koncových bodů pro webovou aplikaci Azure.
  • Azure Storage poskytuje bránu firewall, kterou můžete použít k odepření provozu z internetu. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.
  • Interní nástroje pro vyrovnávání zatížení se službou Azure Private Link nejsou veřejně směrovatelné. Můžete také nakonfigurovat skupiny zabezpečení sítě, abyste zajistili, že zakážete přístup k virtuální síti z internetu.

Zdroje založené na veřejných IP adresách

Pokud používáte zdroje založené na veřejných IP adresách, měli byste společně použít dva přístupy, abyste zajistili, že provoz prochází přes instanci služby Front Door:

  • Nakonfigurujte filtrování IP adres, abyste zajistili, že požadavky na váš původ budou přijímány pouze z rozsahů IP adres služby Front Door.
  • Nakonfigurujte aplikaci tak, aby ověřila X-Azure-FDID hodnotu hlavičky, kterou služba Front Door připojí ke všem žádostem o původ, a ujistěte se, že její hodnota odpovídá identifikátoru služby Front Door.

Filtrování IP adres

Nakonfigurujte filtrování IP adres pro vaše původy tak, aby přijímalo provoz jenom z back-endového adresního prostoru IP adres služby Azure Front Door a služeb infrastruktury Azure.

Značka služby AzureFrontDoor.Backend poskytuje seznam IP adres, které služba Front Door používá pro připojení k vašim původům. Tuto značku služby můžete použít v rámci pravidel skupiny zabezpečení sítě. Můžete si také stáhnout rozsahy IP adres Azure a datovou sadu značek služeb, která se pravidelně aktualizuje o nejnovější IP adresy.

Měli byste také povolit provoz ze základních služeb infrastruktury Azure prostřednictvím virtualizovaných IP adres 168.63.129.16 hostitele a 169.254.169.254.

Upozorňující

Adresní prostor IP adres služby Front Door se pravidelně mění. Ujistěte se, že místo pevně kódovaných IP adres používáte značku služby AzureFrontDoor.Backend .

Identifikátor služby Front Door

Filtrování IP adres nestačí k zabezpečení provozu do vašeho původu, protože ostatní zákazníci Azure používají stejné IP adresy. Měli byste také nakonfigurovat zdroj, abyste měli jistotu, že provoz pochází z vašeho profilu služby Front Door.

Azure vygeneruje jedinečný identifikátor pro každý profil služby Front Door. Identifikátor najdete na webu Azure Portal vyhledáním hodnoty ID služby Front Door na stránce Přehled vašeho profilu.

Když služba Front Door odešle požadavek na váš původ, přidá hlavičku X-Azure-FDID požadavku. Váš původ by měl zkontrolovat hlavičku příchozích požadavků a odmítnout požadavky, u kterých hodnota neodpovídá identifikátoru vašeho profilu služby Front Door.

Příklad konfigurace

Následující příklady ukazují, jak zabezpečit různé typy původu.

Omezení přístupu ke službě App Service můžete použít k filtrování IP adres a filtrování hlaviček. Funkce je poskytována platformou a nemusíte měnit aplikaci ani hostitele.

Další kroky