Zabezpečení provozu do počátečních zdrojů služby Azure Front Door

Funkce služby Front Door fungují nejlépe, když provoz prochází jenom přes Službu Front Door. Měli byste nakonfigurovat zdroj tak, aby blokoval provoz, který nebyl odeslán prostřednictvím služby Front Door. Jinak provoz může obejít firewall webových aplikací služby Front Door, ochranu před útoky DDoS a další funkce zabezpečení.

Poznámka:

Skupina původu a původu v tomto článku odkazuje na back-endový a back-endový fond konfigurace služby Azure Front Door (Classic).

Front Door nabízí několik přístupů, které můžete použít k omezení počátečního provozu.

Původy služby Private Link

Pokud používáte skladovou položku Premium služby Front Door, můžete k odesílání provozu do vašeho původu použít Službu Private Link. Přečtěte si další informace o původech služby Private Link.

Měli byste nakonfigurovat zdroj tak, aby nepovolil provoz, který neprochází přes Private Link. Způsob omezení provozu závisí na typu zdroje služby Private Link, který používáte:

• Aplikace Azure Service a Azure Functions automaticky zakazují přístup prostřednictvím veřejných internetových koncových bodů při použití služby Private Link. Další informace najdete v tématu Použití privátních koncových bodů pro webovou aplikaci Azure.
• Azure Storage poskytuje bránu firewall, kterou můžete použít k odepření provozu z internetu. Další informace najdete v tématu Konfigurace virtuálních sítí a bran firewall Azure Storage.
• Interní nástroje pro vyrovnávání zatížení se službou Azure Private Link nejsou veřejně směrovatelné. Můžete také nakonfigurovat skupiny zabezpečení sítě, abyste zajistili, že zakážete přístup k virtuální síti z internetu.

Zdroje založené na veřejných IP adresách

Pokud používáte zdroje založené na veřejných IP adresách, měli byste společně použít dva přístupy, abyste zajistili, že provoz prochází přes instanci služby Front Door:

• Nakonfigurujte filtrování IP adres, abyste zajistili, že požadavky na váš původ budou přijímány pouze z rozsahů IP adres služby Front Door.
• Nakonfigurujte aplikaci tak, aby ověřila X-Azure-FDID hodnotu hlavičky, kterou služba Front Door připojí ke všem žádostem o původ, a ujistěte se, že její hodnota odpovídá identifikátoru služby Front Door.

Filtrování IP adres

Nakonfigurujte filtrování IP adres pro vaše původy tak, aby přijímalo provoz jenom z back-endového adresního prostoru IP adres služby Azure Front Door a služeb infrastruktury Azure.

Značka služby AzureFrontDoor.Backend poskytuje seznam IP adres, které služba Front Door používá pro připojení k vašim původům. Tuto značku služby můžete použít v rámci pravidel skupiny zabezpečení sítě. Můžete si také stáhnout rozsahy IP adres Azure a datovou sadu značek služeb, která se pravidelně aktualizuje o nejnovější IP adresy.

Měli byste také povolit provoz ze základních služeb infrastruktury Azure prostřednictvím virtualizovaných IP adres 168.63.129.16 hostitele a 169.254.169.254.

Upozorňující

Adresní prostor IP adres služby Front Door se pravidelně mění. Ujistěte se, že místo pevně kódovaných IP adres používáte značku služby AzureFrontDoor.Backend .

Identifikátor služby Front Door

Filtrování IP adres nestačí k zabezpečení provozu do vašeho původu, protože ostatní zákazníci Azure používají stejné IP adresy. Měli byste také nakonfigurovat zdroj, abyste měli jistotu, že provoz pochází z vašeho profilu služby Front Door.

Azure vygeneruje jedinečný identifikátor pro každý profil služby Front Door. Identifikátor najdete na webu Azure Portal vyhledáním hodnoty ID služby Front Door na stránce Přehled vašeho profilu.

Když služba Front Door odešle požadavek na váš původ, přidá hlavičku X-Azure-FDID požadavku. Váš původ by měl zkontrolovat hlavičku příchozích požadavků a odmítnout požadavky, u kterých hodnota neodpovídá identifikátoru vašeho profilu služby Front Door.

Příklad konfigurace

Následující příklady ukazují, jak zabezpečit různé typy původu.

App Service a funkce

Omezení přístupu ke službě App Service můžete použít k filtrování IP adres a filtrování hlaviček. Funkce je poskytována platformou a nemusíte měnit aplikaci ani hostitele.

Application Gateway

Služba Application Gateway se nasadí do vaší virtuální sítě. Nakonfigurujte pravidlo skupiny zabezpečení sítě, které povolí příchozí přístup na portech 80 a 443 ze značky služby AzureFrontDoor.Backend a zakáže příchozí provoz na portech 80 a 443 ze značky internetové služby.

Pomocí vlastního pravidla WAF zkontrolujte X-Azure-FDID hodnotu záhlaví. Další informace najdete v tématu Vytvoření a použití vlastních pravidel firewallu webových aplikací v2 ve službě Application Gateway.

Application Gateway pro kontejnery

Pokud chcete nakonfigurovat směrování provozu ve službě Azure Kubernetes Service (AKS) se službou Application Gateway pro kontejnery, nastavte pravidlo HTTPRoute tak, aby odpovídalo příchozímu provozu ze služby Azure Front Door pomocí hlavičky X-Azure-FDID.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

IIS

Když na virtuálním počítači hostovaném v Azure spustíte Microsoft Internetová informační služba (IIS), měli byste ve virtuální síti, která je hostitelem virtuálního počítače, vytvořit skupinu zabezpečení sítě. Nakonfigurujte pravidlo skupiny zabezpečení sítě, které povolí příchozí přístup na portech 80 a 443 ze značky služby AzureFrontDoor.Backend a zakáže příchozí provoz na portech 80 a 443 ze značky internetové služby.

Ke kontrole hlavičky X-Azure-FDID příchozích požadavků použijte konfigurační soubor služby IIS, například v následujícím příkladu:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Kontroler AKS NGINX

Když spustíte AKS s kontrolerem příchozího přenosu dat NGINX, měli byste ve virtuální síti, která je hostitelem clusteru AKS, vytvořit skupinu zabezpečení sítě. Nakonfigurujte pravidlo skupiny zabezpečení sítě, které povolí příchozí přístup na portech 80 a 443 ze značky služby AzureFrontDoor.Backend a zakáže příchozí provoz na portech 80 a 443 ze značky internetové služby.

Pomocí konfiguračního souboru příchozího přenosu dat Kubernetes, jako je v následujícím příkladu, zkontrolujte hlavičku X-Azure-FDID příchozích požadavků:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Další kroky

• Zjistěte, jak nakonfigurovat profil WAF ve službě Front Door.
• Přečtěte si, jak vytvořit Front Door.
• Přečtěte si, jak služba Front Door funguje.