Az Azure Front Door-források felé történő forgalom biztonságossá tétele

A Front Door funkciói akkor működnek a legjobban, ha a forgalom csak a Front Dooron halad át. A forrást úgy kell konfigurálnia, hogy blokkolja a nem a Front Dooron keresztül küldött forgalmat. Ellenkező esetben a forgalom megkerülheti a Front Door webalkalmazási tűzfalát, a DDoS-védelmet és más biztonsági funkciókat.

Megjegyzés:

A cikkben szereplő forrás - és forráscsoport az Azure Front Door (klasszikus) konfiguráció háttér- és háttérkészletére vonatkozik.

A Front Door számos módszert kínál, amelyekkel korlátozhatja a forrásforgalmat.

Private Link-források

Amikor a Front Door prémium termékváltozatát használja, a Private Link használatával küldhet forgalmat a forrásának. További információ a Private Link eredetéről.

A forrást úgy kell konfigurálnia, hogy tiltsa le a privát kapcsolaton keresztül nem érkező forgalmat. A forgalom korlátozásának módja a használt privát kapcsolat típusától függ:

• Azure-alkalmazás Szolgáltatás és az Azure Functions automatikusan letiltja a nyilvános internetes végpontokon keresztüli hozzáférést a Private Link használatakor. További információ: Privát végpontok használata az Azure Web Apphoz.
• Az Azure Storage tűzfalat biztosít, amellyel megtagadhatja az internetről érkező forgalmat. További információ: Azure Storage-tűzfalak és virtuális hálózatok konfigurálása.
• Az Azure Private Link szolgáltatással rendelkező belső terheléselosztók nyilvánosan nem irányíthatók. A hálózati biztonsági csoportokat úgy is konfigurálhatja, hogy az internetről tiltsa le a virtuális hálózathoz való hozzáférést.

Nyilvános IP-címalapú források

Ha nyilvános IP-címalapú forrást használ, két módszert kell együttesen használnia annak biztosítására, hogy a forgalom áthaladjon a Front Door-példányon:

• Az IP-címszűrés konfigurálásával győződjön meg arról, hogy a forrásra irányuló kérések csak a Front Door IP-címtartományaiból fogadhatók el.
• Konfigurálja az alkalmazást a fejléc értékének ellenőrzésére, amelyet a X-Azure-FDID Front Door csatol az összes kéréshez a forráshoz, és győződjön meg arról, hogy az értéke megegyezik a Front Door azonosítójával.

IP-címszűrés

Konfigurálja az IP-címszűrést az eredethez úgy, hogy csak az Azure Front Door háttérbeli IP-címteréből és az Azure infrastruktúra-szolgáltatásaiból fogadja a forgalmat.

Az AzureFrontDoor.Backend szolgáltatáscímke felsorolja azokat az IP-címeket, amelyeket a Front Door használ a forráshoz való csatlakozáshoz. Ezt a szolgáltatáscímkét a hálózati biztonsági csoport szabályaiban használhatja. Az Azure IP-tartományok és szolgáltatáscímkék adatkészletét is letöltheti, amely rendszeresen frissül a legújabb IP-címekkel.

Emellett engedélyeznie kell az Azure alapszintű infrastruktúra-szolgáltatásaiból érkező forgalmat a virtualizált gazdagép IP-címén 168.63.129.16 és 169.254.169.254.

Figyelmeztetés:

A Front Door IP-címtartománya rendszeresen változik. Győződjön meg arról, hogy az AzureFrontDoor.Backend szolgáltatáscímkét használja a kemény kódolású IP-címek helyett.

Front Door-azonosító

Az IP-címek szűrése önmagában nem elegendő a forrás felé történő forgalom biztonságossá tételéhez, mert más Azure-ügyfelek ugyanazt az IP-címet használják. A forrást úgy is konfigurálnia kell, hogy a forgalom a Front Door-profilból származhasson.

Az Azure minden Front Door-profilhoz létrehoz egy egyedi azonosítót. Az azonosítót az Azure Portalon találhatja meg, ha megkeresi a Front Door azonosító értékét a profil Áttekintés lapján.

Amikor a Front Door kérést küld a forráshoz, hozzáadja a X-Azure-FDID kérés fejlécét. A forrásnak meg kell vizsgálnia a fejlécet a bejövő kérelmeken, és el kell utasítania azokat a kéréseket, ahol az érték nem egyezik a Front Door-profil azonosítójával.

Konfigurációs példa

Az alábbi példák bemutatják, hogyan védheti meg a különböző típusú forrásokat.

App Service és Functions

Az App Service hozzáférési korlátozásai segítségével IP-címszűrést és fejlécszűrést végezhet. A funkciót a platform biztosítja, és nem kell módosítania az alkalmazást vagy a gazdagépet.

Application Gateway

Az Application Gateway üzembe van helyezve a virtuális hálózatban. Konfiguráljon egy hálózati biztonságicsoport-szabályt, amely engedélyezi a bejövő hozzáférést a 80-as és a 443-as porton az AzureFrontDoor.Backend szolgáltatáscímkéről, és tiltsa le a bejövő forgalmat a 80-s és a 443-as porton az internetszolgáltatás-címke alapján.

A fejléc értékének ellenőrzéséhez használjon egyéni WAF-szabályt X-Azure-FDID . További információ: Webalkalmazási tűzfal v2 egyéni szabályok létrehozása és használata az Application Gatewayen.

IIS

Amikor Egy Azure-ban üzemeltetett virtuális gépen futtatja a Microsoft Internet Information Servicest (IIS), létre kell hoznia egy hálózati biztonsági csoportot a virtuális gépet üzemeltető virtuális hálózaton. Konfiguráljon egy hálózati biztonságicsoport-szabályt, amely engedélyezi a bejövő hozzáférést a 80-as és a 443-as porton az AzureFrontDoor.Backend szolgáltatáscímkéről, és tiltsa le a bejövő forgalmat a 80-s és a 443-as porton az internetszolgáltatás-címke alapján.

Az alábbi példához hasonlóan használjon IIS-konfigurációs fájlt a bejövő kérések fejlécének X-Azure-FDID vizsgálatához:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS NGINX-vezérlő

Ha NGINX bejövőforgalom-vezérlővel futtatja az AKS-t, létre kell hoznia egy hálózati biztonsági csoportot a virtuális hálózatban, amely az AKS-fürtöt üzemelteti. Konfiguráljon egy hálózati biztonságicsoport-szabályt, amely engedélyezi a bejövő hozzáférést a 80-as és a 443-as porton az AzureFrontDoor.Backend szolgáltatáscímkéről, és tiltsa le a bejövő forgalmat a 80-s és a 443-as porton az internetszolgáltatás-címke alapján.

A bejövő kérések fejlécének X-Azure-FDID vizsgálatához használjon egy Kubernetes bejövő konfigurációs fájlt, például az alábbi példában:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Következő lépések

• Megtudhatja, hogyan konfigurálhat WAF-profilt a Front Dooron.
• A Front Door létrehozására vonatkozó információk.
• A Front Door működésének ismertetése.