Application Gateway y el cifrado

10 minutos

Cifrar los datos mientras están en tránsito es un paso importante para proteger las aplicaciones. Puede adquirir certificados de una entidad de certificación y utilizarlos para cifrar los mensajes que entran y salen de los servidores. Este cifrado impide que usuarios no autorizados intercepten y examinen la información de estos mensajes mientras se transmiten.

En el portal de envío, el cifrado es importante porque tratamos con el envío de pedidos de clientes. Si alguien consigue acceder a los datos transmitidos, puede ver información confidencial, como, por ejemplo, los detalles del cliente o los datos de la cuenta bancaria.

Para ayudar a proteger estos datos, puede usar Azure Application Gateway. Cifra los datos que se transportar por la red desde los usuarios hasta los servidores de aplicaciones.

Application Gateway y sus ventajas

Azure Application Gateway es un controlador de entrega de aplicaciones. Proporciona características como el tráfico HTTP de equilibrio de carga, el firewall de aplicaciones web y el soporte técnico para el cifrado SSL de los datos. Application Gateway admite el cifrado del tráfico entre el usuario y una puerta de enlace de aplicaciones, y entre los servidores de aplicaciones y una puerta de enlace de aplicaciones.

A diagram representation of Application Gateway.

Cuando finaliza la conexión SSL en la puerta de enlace de aplicaciones, descarga la carga de trabajo de la terminación SSL intensiva de CPU de los servidores. Además, no es necesario instalar certificados y configurar SSL en los servidores.

Si necesita cifrado de un extremo a otro, Application Gateway puede descifrar el tráfico en la puerta de enlace mediante la clave privada. Después, vuelve a cifrar el tráfico con la clave pública del servicio que se ejecuta en el grupo de back-end.

Exponer una aplicación web o un sitio web a través de la puerta de enlace de aplicaciones también significa que los servidores no se conectan directamente a la web. Expone únicamente el puerto 80 o el 443 en la puerta de enlace de aplicaciones. Los servidores web no son accesibles directamente desde Internet, lo que reduce la superficie expuesta a ataques de la infraestructura.

Componentes de Application Gateway

Application Gateway consta de varios componentes. Las partes principales para el cifrado son el puerto de front-end, el cliente de escucha y el grupo de back-end.

En la siguiente imagen se muestra cómo se descifra el tráfico entrante desde un cliente a Application Gateway a través de SSL y, después, se vuelve a cifrar cuando se envía a un servidor en el grupo de back-end.

Diagram of how messages are decrypted and re-encrypted in an end-to-end SSL configuration with Application Gateway.

Puerto de front-end y agente de escucha

El tráfico entra en la puerta de enlace a través de un puerto de front-end. Puede abrir muchos puertos, y Application Gateway puede recibir mensajes en cualquiera de ellos. Un cliente de escucha es lo primero que se encuentra el tráfico al entrar en la puerta de enlace a través de un puerto. Está configurado para escuchar un nombre de host específico y un puerto específico en una dirección IP específica. El cliente de escucha puede usar un certificado SSL para descifrar el tráfico que entra en la puerta de enlace. El cliente de escucha usa después una regla que habrá definido para dirigir las solicitudes entrantes a un grupo de back-end.

Grupo de back-end

El grupo de back-end contiene los servidores de aplicaciones. Estos servidores podrían ser máquinas virtuales, un conjunto de escalado de máquinas virtuales o aplicaciones que se ejecutan en Azure App Service. Se puede equilibrar la carga de las solicitudes entrantes entre los servidores de este grupo. El grupo de back-end tiene una configuración de HTTP que hace referencia a un certificado utilizado para autenticar los servidores back-end. La puerta de enlace vuelve a cifrar el tráfico con este certificado antes de enviarlo a uno de los servidores en el grupo de back-end.

Si utiliza Azure App Service para hospedar la aplicación de back-end, no es necesario que instale ningún certificado en Application Gateway para conectarse al grupo de back-end. Todas las comunicaciones se cifran automáticamente. Application Gateway confía en los servidores porque los administra Azure.

Comprobación de conocimientos

¿Cuáles son las ventajas de usar Application Gateway para ayudar a proteger el tráfico enviado a las aplicaciones o desde ellas?

Application Gateway puede implementar una conexión SSL con clientes. No es necesario cifrar los datos enviados desde la puerta de enlace a los servidores que se ejecutan en la aplicación.

Application Gateway puede implementar una conexión SSL con clientes. Application Gateway también puede implementar una conexión SSL con los servidores que ejecutan la aplicación.

Application Gateway no requiere una conexión SSL con clientes. Todo el cifrado se lleva a cabo mediante la conexión con los servidores que ejecutan la aplicación.

Application Gateway protege automáticamente las comunicaciones entre clientes y los servidores que ejecutan la aplicación. No es necesario realizar ninguna otra configuración.

¿Cuál de las siguientes opciones no se puede colocar en el grupo de back-end de una puerta de enlace de aplicaciones?

Azure App Service

Máquinas virtuales de Azure

Azure Cosmos DB

Conjuntos de escalado de máquinas virtuales de Azure

Debe responder todas las preguntas antes de comprobar su trabajo.

Continuar