Zabezpieczanie ruchu do źródeł usługi Azure Front Door

Funkcje usługi Front Door działają najlepiej, gdy ruch przepływa tylko przez usługę Front Door. Należy skonfigurować źródło, aby blokować ruch, który nie został wysłany za pośrednictwem usługi Front Door. W przeciwnym razie ruch może pominąć zaporę aplikacji internetowej usługi Front Door, ochronę przed atakami DDoS i inne funkcje zabezpieczeń.

Uwaga

Grupa pochodzenia i źródła w tym artykule dotyczy puli zaplecza i zaplecza konfiguracji usługi Azure Front Door (klasycznej).

Usługa Front Door udostępnia kilka metod, których można użyć do ograniczenia ruchu początkowego.

Źródła usługi Private Link

Korzystając z jednostki SKU Premium usługi Front Door, możesz użyć usługi Private Link do wysyłania ruchu do źródła. Dowiedz się więcej o źródłach usługi Private Link.

Należy skonfigurować źródło, aby uniemożliwić ruch, który nie przechodzi przez usługę Private Link. Sposób ograniczania ruchu zależy od typu używanego źródła usługi Private Link:

• aplikacja systemu Azure Service i Azure Functions automatycznie wyłączają dostęp za pośrednictwem publicznych punktów końcowych Internetu podczas korzystania z usługi Private Link. Aby uzyskać więcej informacji, zobacz Using Private Endpoints for Azure Web App (Używanie prywatnych punktów końcowych dla aplikacji internetowej platformy Azure).
• Usługa Azure Storage udostępnia zaporę, której można użyć do odmowy ruchu z Internetu. Aby uzyskać więcej informacji, zobacz Konfigurowanie zapór i sieci wirtualnych usługi Azure Storage.
• Wewnętrzne moduły równoważenia obciążenia z usługą Azure Private Link nie są publicznie routingiem. Można również skonfigurować sieciowe grupy zabezpieczeń, aby upewnić się, że nie zezwalasz na dostęp do sieci wirtualnej z Internetu.

Źródła oparte na publicznym adresie IP

W przypadku używania źródeł opartych na publicznych adresach IP istnieją dwa podejścia, których należy użyć razem, aby zapewnić przepływ ruchu przez wystąpienie usługi Front Door:

• Skonfiguruj filtrowanie adresów IP, aby upewnić się, że żądania do źródła są akceptowane tylko z zakresów adresów IP usługi Front Door.
• Skonfiguruj aplikację, aby zweryfikować wartość nagłówka X-Azure-FDID , którą usługa Front Door dołącza do wszystkich żądań do źródła, i upewnij się, że jej wartość jest zgodna z identyfikatorem usługi Front Door.

Filtrowanie adresów IP

Skonfiguruj filtrowanie adresów IP dla źródeł w celu akceptowania ruchu z przestrzeni adresów IP zaplecza usługi Azure Front Door i tylko usług infrastruktury platformy Azure.

Tag usługi AzureFrontDoor.Backend zawiera listę adresów IP używanych przez usługę Front Door do łączenia się ze źródłami. Tego tagu usługi można użyć w regułach sieciowej grupy zabezpieczeń. Możesz również pobrać zestaw danych Zakresy adresów IP platformy Azure i tagi usługi, który jest regularnie aktualizowany przy użyciu najnowszych adresów IP.

Należy również zezwolić na ruch z podstawowych usług infrastruktury platformy Azure za pośrednictwem zwirtualizowanych adresów IP hostów 168.63.129.16 i 169.254.169.254.

Ostrzeżenie

Przestrzeń adresowa IP usługi Front Door regularnie zmienia się. Upewnij się, że używasz tagu usługi AzureFrontDoor.Backend zamiast trwale kodujących adresów IP.

Identyfikator usługi Front Door

Filtrowanie adresów IP nie wystarczy, aby zabezpieczyć ruch do źródła, ponieważ inni klienci platformy Azure używają tych samych adresów IP. Należy również skonfigurować źródło, aby upewnić się, że ruch pochodzi z profilu usługi Front Door.

Platforma Azure generuje unikatowy identyfikator dla każdego profilu usługi Front Door. Identyfikator można znaleźć w witrynie Azure Portal, wyszukując wartość Identyfikator usługi Front Door na stronie Przegląd profilu.

Gdy usługa Front Door wysyła żądanie do źródła, dodaje X-Azure-FDID nagłówek żądania. Źródło powinno sprawdzać nagłówek dla żądań przychodzących i odrzucać żądania, w których wartość nie jest zgodna z identyfikatorem profilu usługi Front Door.

Przykładowa konfiguracja

W poniższych przykładach pokazano, jak zabezpieczyć różne typy źródeł.

Usługa App Service i funkcje

Ograniczenia dostępu usługi App Service umożliwiają filtrowanie adresów IP oraz filtrowanie nagłówków. Ta funkcja jest udostępniana przez platformę i nie trzeba zmieniać aplikacji ani hosta.

Application Gateway

Usługa Application Gateway jest wdrażana w sieci wirtualnej. Skonfiguruj regułę sieciowej grupy zabezpieczeń, aby zezwolić na dostęp przychodzący na portach 80 i 443 z tagu usługi AzureFrontDoor.Backend i uniemożliwić ruch przychodzący na portach 80 i 443 z tagu usługi internetowej .

Użyj niestandardowej reguły zapory aplikacji internetowej, aby sprawdzić wartość nagłówka X-Azure-FDID . Aby uzyskać więcej informacji, zobacz Tworzenie i używanie reguł niestandardowych zapory aplikacji internetowej w wersji 2 w usłudze Application Gateway.

IIS

Po uruchomieniu usług Microsoft Internet Information Services (IIS) na maszynie wirtualnej hostowanej na platformie Azure należy utworzyć sieciową grupę zabezpieczeń w sieci wirtualnej, która hostuje maszynę wirtualną. Skonfiguruj regułę sieciowej grupy zabezpieczeń, aby zezwolić na dostęp przychodzący na portach 80 i 443 z tagu usługi AzureFrontDoor.Backend i uniemożliwić ruch przychodzący na portach 80 i 443 z tagu usługi internetowej .

Użyj pliku konfiguracji usług IIS, takiego jak w poniższym przykładzie, aby sprawdzić X-Azure-FDID nagłówek w żądaniach przychodzących:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Kontroler NGINX usługi AKS

Po uruchomieniu usługi AKS z kontrolerem ruchu przychodzącego NGINX należy utworzyć sieciową grupę zabezpieczeń w sieci wirtualnej, która hostuje klaster usługi AKS. Skonfiguruj regułę sieciowej grupy zabezpieczeń, aby zezwolić na dostęp przychodzący na portach 80 i 443 z tagu usługi AzureFrontDoor.Backend i uniemożliwić ruch przychodzący na portach 80 i 443 z tagu usługi internetowej .

Użyj pliku konfiguracji ruchu przychodzącego kubernetes, jak w poniższym przykładzie, aby sprawdzić X-Azure-FDID nagłówek na żądaniach przychodzących:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Następne kroki

• Dowiedz się, jak skonfigurować profil zapory aplikacji internetowej w usłudze Front Door.
• Dowiedz się, jak utworzyć usługę Front Door.
• Dowiedz się, jak działa usługa Front Door.