Безопасный трафик в источники Azure Front Door

Функции Front Door лучше всего работают, когда трафик проходит только через Front Door. Необходимо настроить источник для блокировки трафика, который не был отправлен через Front Door. В противном случае трафик может обойти брандмауэр веб-приложения Front Door, защиту от атак DDoS и другие функции безопасности.

Примечание.

Термины источник и группа источников в этой статье обозначают серверную часть и серверный пул конфигурации Azure Front Door (классическая модель).

Front Door предоставляет несколько подходов, которые можно использовать для ограничения трафика источника.

Источники Приватного канала

При использовании номера SKU premium Front Door можно использовать Приватный канал для отправки трафика в источник. Дополнительные сведения о Приватный канал источниках.

Необходимо настроить источник для запрета трафика, который не проходит через Приватный канал. Способ ограничения трафика зависит от типа используемого источника Приватный канал:

• служба приложение Azure и Функции Azure автоматически отключают доступ через общедоступные конечные точки Интернета при использовании Приватный канал. Дополнительные сведения см. в статье Использование частных конечных точек для веб-приложений Azure.
• служба хранилища Azure предоставляет брандмауэр, который можно использовать для запрета трафика из Интернета. Дополнительные сведения см. в статье Настройка брандмауэров службы хранилища Azure и виртуальных сетей.
• Внутренние подсистемы балансировки нагрузки со службой Приватный канал Azure не являются общедоступными для routable. Вы также можете настроить группы безопасности сети, чтобы обеспечить запрет доступа к виртуальной сети из Интернета.

Источники на основе общедоступных IP-адресов

При использовании источников на основе общедоступных IP-адресов необходимо использовать два подхода, чтобы обеспечить поток трафика через экземпляр Front Door:

• Настройте фильтрацию IP-адресов, чтобы убедиться, что запросы к источнику принимаются только из диапазонов IP-адресов Front Door.
• Настройте приложение, чтобы проверить X-Azure-FDID значение заголовка, которое Front Door подключает ко всем запросам к источнику и убедитесь, что его значение соответствует идентификатору Front Door.

Фильтрация IP-адресов

Настройте фильтрацию IP-адресов для источников, чтобы принимать трафик из внутреннего IP-пространства Azure Front Door и только служб инфраструктуры Azure.

Тег службы AzureFrontDoor.Backend предоставляет список IP-адресов, которые Front Door использует для подключения к источникам. Этот тег службы можно использовать в правилах группы безопасности сети. Вы также можете скачать набор данных ip-адресов Azure и тегов служб, который регулярно обновляется с помощью последних IP-адресов.

Кроме того, следует разрешить трафик из базовых 168.63.129.16 служб инфраструктуры Azure через виртуализированные IP-адреса узла и169.254.169.254.

Предупреждение

Пространство IP-адресов Front Door регулярно изменяется. Убедитесь, что вы используете тег службы AzureFrontDoor.Backend вместо жесткого написания IP-адресов.

Идентификатор Front Door

Только фильтрация IP-адресов недостаточно для защиты трафика к источнику, так как другие клиенты Azure используют те же IP-адреса. Необходимо также настроить источник, чтобы убедиться, что трафик был получен из профиля Front Door.

Azure создает уникальный идентификатор для каждого профиля Front Door. Идентификатор можно найти в портал Azure, найдя значение идентификатора Front Door на странице обзора профиля.

Когда Front Door отправляет запрос в источник, он добавляет X-Azure-FDID заголовок запроса. Источник должен проверить заголовок на входящих запросах и отклонить запросы, в которых значение не соответствует идентификатору профиля Front Door.

Пример конфигурации

В следующих примерах показано, как защитить различные типы источников.

Служба приложений и функции

Вы можете использовать Служба приложений ограничения доступа для фильтрации IP-адресов, а также фильтрации заголовков. Возможность предоставляется платформой, и вам не нужно изменять приложение или узел.

Шлюз приложений

Шлюз приложений развертывается в виртуальной сети. Настройте правило группы безопасности сети, чтобы разрешить входящий доступ к портам 80 и 443 из тега службы AzureFrontDoor.Backend , а также запретить входящий трафик через порты 80 и 443 из тега службы Интернета .

Используйте настраиваемое правило WAF, чтобы проверка значение заголовкаX-Azure-FDID. Для получения дополнительных сведений см. статью Создание и использование настраиваемых правил брандмауэра веб-приложений версии 2 в шлюзе приложений.

IIS

При запуске Microsoft IIS (IIS) на размещенной в Azure виртуальной машине необходимо создать группу безопасности сети в виртуальной сети, на котором размещена виртуальная машина. Настройте правило группы безопасности сети, чтобы разрешить входящий доступ к портам 80 и 443 из тега службы AzureFrontDoor.Backend , а также запретить входящий трафик через порты 80 и 443 из тега службы Интернета .

Используйте файл конфигурации IIS, как в следующем примере, чтобы проверить X-Azure-FDID заголовок в входящих запросах:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Контроллер AKS NGINX

При запуске AKS с контроллером входящего трафика NGINX необходимо создать группу безопасности сети в виртуальной сети, в которую размещается кластер AKS. Настройте правило группы безопасности сети, чтобы разрешить входящий доступ к портам 80 и 443 из тега службы AzureFrontDoor.Backend , а также запретить входящий трафик через порты 80 и 443 из тега службы Интернета .

Используйте файл конфигурации входящего трафика Kubernetes, как в следующем примере, чтобы проверить X-Azure-FDID заголовок в входящих запросах:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Следующие шаги

• Узнайте, как настроить профиль WAF в Front Door.
• Дополнительные сведения о создании Front Door.
• Дополнительные сведения о том, как работает Front Door.