Mengamankan lalu lintas ke asal Azure Front Door

Artikel
10/02/2023

Fitur Front Door berfungsi paling baik ketika lalu lintas hanya mengalir melalui Front Door. Anda harus mengonfigurasi asal Anda untuk memblokir lalu lintas yang belum dikirim melalui Front Door. Jika tidak, lalu lintas mungkin melewati firewall aplikasi web Front Door, perlindungan DDoS, dan fitur keamanan lainnya.

Catatan

Asal dan grup asal dalam artikel ini mengacu pada bagian belakang dan kumpulannya di konfigurasi Azure Front Door (klasik).

Front Door menyediakan beberapa pendekatan yang dapat Anda gunakan untuk membatasi lalu lintas asal Anda.

Asal Private Link

Saat Anda menggunakan SKU premium Front Door, Anda dapat menggunakan Private Link untuk mengirim lalu lintas ke asal Anda. Pelajari selengkapnya tentang asal Private Link.

Anda harus mengonfigurasi asal Anda untuk melarang lalu lintas yang tidak masuk melalui Private Link. Cara Anda membatasi lalu lintas tergantung pada jenis asal Private Link yang Anda gunakan:

Azure App Service dan Azure Functions secara otomatis menonaktifkan akses melalui titik akhir internet publik saat Anda menggunakan Private Link. Untuk informasi selengkapnya, lihat Menggunakan Titik Akhir Privat untuk Aplikasi Web Azure.
Azure Storage menyediakan firewall, yang dapat Anda gunakan untuk menolak lalu lintas dari internet. Untuk informasi selengkapnya, lihat Mengonfigurasi firewall Azure Storage dan jaringan virtual.
Load balancer internal dengan layanan Azure Private Link tidak dapat dirutekan secara publik. Anda juga dapat mengonfigurasi grup keamanan jaringan untuk memastikan bahwa Anda melarang akses ke jaringan virtual Anda dari internet.

Asal berbasis alamat IP publik

Saat Anda menggunakan asal berbasis alamat IP publik, ada dua pendekatan yang harus Anda gunakan bersama-sama untuk memastikan bahwa lalu lintas mengalir melalui instans Front Door Anda:

Konfigurasikan pemfilteran alamat IP untuk memastikan bahwa permintaan ke asal Anda hanya diterima dari rentang alamat IP Front Door.
Konfigurasikan aplikasi Anda untuk memverifikasi X-Azure-FDID nilai header, yang dilampirkan Front Door ke semua permintaan ke asal, dan pastikan bahwa nilainya cocok dengan pengidentifikasi Front Door Anda.

Pemfilteran alamat IP

Konfigurasikan pemfilteran alamat IP untuk asal Anda untuk menerima lalu lintas dari ruang alamat IP backend Azure Front Door dan layanan infrastruktur Azure saja.

Tag layanan AzureFrontDoor.Backend menyediakan daftar alamat IP yang digunakan Front Door untuk menyambungkan ke asal Anda. Anda dapat menggunakan tag layanan ini dalam aturan grup keamanan jaringan Anda. Anda juga dapat mengunduh kumpulan data Rentang IP Azure dan Tag Layanan, yang diperbarui secara berkala dengan alamat IP terbaru.

Anda juga harus mengizinkan lalu lintas dari layanan infrastruktur dasar Azure melalui alamat 168.63.129.16 IP host virtual dan 169.254.169.254.

Peringatan

Ruang alamat IP Front Door berubah secara teratur. Pastikan Anda menggunakan tag layanan AzureFrontDoor.Backend alih-alih alamat IP hard-coding.

Pengidentifikasi Front Door

Pemfilteran alamat IP saja tidak cukup untuk mengamankan lalu lintas ke asal Anda, karena pelanggan Azure lainnya menggunakan alamat IP yang sama. Anda juga harus mengonfigurasi asal Anda untuk memastikan bahwa lalu lintas berasal dari profil Front Door Anda .

Azure menghasilkan pengidentifikasi unik untuk setiap profil Front Door. Anda dapat menemukan pengidentifikasi di portal Azure, dengan mencari nilai ID Front Door di halaman Gambaran Umum profil Anda.

Ketika Front Door membuat permintaan ke asal Anda, Front Door menambahkan X-Azure-FDID header permintaan. Asal Anda harus memeriksa header pada permintaan masuk, dan menolak permintaan di mana nilainya tidak cocok dengan pengidentifikasi profil Front Door Anda.

Konfigurasi contoh

Contoh berikut menunjukkan bagaimana Anda dapat mengamankan berbagai jenis asal.

Anda dapat menggunakan pembatasan akses App Service untuk melakukan pemfilteran alamat IP serta pemfilteran header. Kemampuan disediakan oleh platform, dan Anda tidak perlu mengubah aplikasi atau host Anda.

Application Gateway disebarkan ke jaringan virtual Anda. Konfigurasikan aturan grup keamanan jaringan untuk mengizinkan akses masuk pada port 80 dan 443 dari tag layanan AzureFrontDoor.Backend , dan larang lalu lintas masuk pada port 80 dan 443 dari tag layanan Internet .

Gunakan aturan WAF kustom untuk memeriksa X-Azure-FDID nilai header. Untuk mengetahui informasi selengkapnya, lihat Membuat dan menggunakan aturan kustom Web Application Firewall v2 di Application Gateway.

Saat Anda menjalankan Microsoft Layanan Informasi Internet (IIS) pada komputer virtual yang dihosting Azure, Anda harus membuat grup keamanan jaringan di jaringan virtual yang menghosting komputer virtual. Konfigurasikan aturan grup keamanan jaringan untuk mengizinkan akses masuk pada port 80 dan 443 dari tag layanan AzureFrontDoor.Backend , dan larang lalu lintas masuk pada port 80 dan 443 dari tag layanan Internet .

Gunakan file konfigurasi IIS seperti dalam contoh berikut untuk memeriksa X-Azure-FDID header pada permintaan masuk Anda:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Saat Anda menjalankan AKS dengan pengontrol ingress NGINX, Anda harus membuat grup keamanan jaringan di jaringan virtual yang menghosting kluster AKS. Konfigurasikan aturan grup keamanan jaringan untuk mengizinkan akses masuk pada port 80 dan 443 dari tag layanan AzureFrontDoor.Backend , dan larang lalu lintas masuk pada port 80 dan 443 dari tag layanan Internet .

Gunakan file konfigurasi ingress Kubernetes seperti dalam contoh berikut untuk memeriksa X-Azure-FDID header pada permintaan masuk Anda:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Langkah berikutnya

Pelajari cara mengonfigurasi profil WAF di Front Door.
Pelajari cara membuat Azure Front Door Service.
Pelajari cara kerja Azure Front Door Service.