Application Gateway y el cifrado
Cifrar los datos mientras están en tránsito es un paso importante para proteger las aplicaciones. Puede adquirir certificados de una entidad de certificación y utilizarlos para cifrar los mensajes que entran y salen de los servidores. Este cifrado impide que usuarios no autorizados intercepten y examinen la información de estos mensajes mientras se transmiten.
En el portal de envío, el cifrado es importante porque tratamos con el envío de pedidos de clientes. Si alguien consigue acceder a los datos transmitidos, puede ver información confidencial, como, por ejemplo, los detalles del cliente o los datos de la cuenta bancaria.
Para ayudar a proteger estos datos, puede usar Azure Application Gateway. Cifra los datos que se transportar por la red desde los usuarios hasta los servidores de aplicaciones.
Application Gateway y sus ventajas
Azure Application Gateway es un controlador de entrega de aplicaciones. Proporciona características como el tráfico HTTP de equilibrio de carga, el firewall de aplicaciones web y el soporte técnico para el cifrado SSL de los datos. Application Gateway admite el cifrado del tráfico entre el usuario y una puerta de enlace de aplicaciones, y entre los servidores de aplicaciones y una puerta de enlace de aplicaciones.
Cuando finaliza la conexión SSL en la puerta de enlace de aplicaciones, descarga la carga de trabajo de la terminación SSL intensiva de CPU de los servidores. Además, no es necesario instalar certificados y configurar SSL en los servidores.
Si necesita cifrado de un extremo a otro, Application Gateway puede descifrar el tráfico en la puerta de enlace mediante la clave privada. Después, vuelve a cifrar el tráfico con la clave pública del servicio que se ejecuta en el grupo de back-end.
Exponer una aplicación web o un sitio web a través de la puerta de enlace de aplicaciones también significa que los servidores no se conectan directamente a la web. Expone únicamente el puerto 80 o el 443 en la puerta de enlace de aplicaciones. Los servidores web no son accesibles directamente desde Internet, lo que reduce la superficie expuesta a ataques de la infraestructura.
Componentes de Application Gateway
Application Gateway consta de varios componentes. Las partes principales para el cifrado son el puerto de front-end, el cliente de escucha y el grupo de back-end.
En la siguiente imagen se muestra cómo se descifra el tráfico entrante desde un cliente a Application Gateway a través de SSL y, después, se vuelve a cifrar cuando se envía a un servidor en el grupo de back-end.
Puerto de front-end y agente de escucha
El tráfico entra en la puerta de enlace a través de un puerto de front-end. Puede abrir muchos puertos, y Application Gateway puede recibir mensajes en cualquiera de ellos. Un cliente de escucha es lo primero que se encuentra el tráfico al entrar en la puerta de enlace a través de un puerto. Está configurado para escuchar un nombre de host específico y un puerto específico en una dirección IP específica. El cliente de escucha puede usar un certificado SSL para descifrar el tráfico que entra en la puerta de enlace. El cliente de escucha usa después una regla que habrá definido para dirigir las solicitudes entrantes a un grupo de back-end.
Grupo de back-end
El grupo de back-end contiene los servidores de aplicaciones. Estos servidores podrían ser máquinas virtuales, un conjunto de escalado de máquinas virtuales o aplicaciones que se ejecutan en Azure App Service. Se puede equilibrar la carga de las solicitudes entrantes entre los servidores de este grupo. El grupo de back-end tiene una configuración de HTTP que hace referencia a un certificado utilizado para autenticar los servidores back-end. La puerta de enlace vuelve a cifrar el tráfico con este certificado antes de enviarlo a uno de los servidores en el grupo de back-end.
Si utiliza Azure App Service para hospedar la aplicación de back-end, no es necesario que instale ningún certificado en Application Gateway para conectarse al grupo de back-end. Todas las comunicaciones se cifran automáticamente. Application Gateway confía en los servidores porque los administra Azure.