Application Gateway a šifrování

  • 10 min

Šifrování dat během přenosu je důležitým krokem k zabezpečení vašich aplikací. Certifikáty můžete zakoupit od certifikační autority a použít je k zašifrování zpráv předávaných a odchozích ze serverů. Toto šifrování brání neoprávněným uživatelům v zachycení a zkoumání informací v těchto zprávách při jejich přenosu.

Na expedičním portálu je šifrování důležité, protože se zabýváme objednávkami zákazníků. Pokud má někdo přístup k přenášeným datům, může zobrazit citlivé informace, jako jsou podrobnosti o zákazníci nebo data finančního účtu.

K zabezpečení těchto dat můžete použít Azure Application Gateway. Šifruje data, která procházejí sítí od uživatelů na aplikační servery.

Application Gateway a její výhody

Azure Application Gateway je kontroler doručování aplikací. Poskytuje funkce, jako je vyrovnávání zatížení provozu HTTP, firewall webových aplikací a podpora šifrování dat SSL. Application Gateway podporuje šifrování provozu mezi uživateli a aplikační bránou a mezi aplikačními servery a aplikační bránou.

znázornění diagramu služby Application Gateway

Když ukončíte připojení SSL ve službě Application Gateway, přesměruje úlohy ukončení protokolu SSL náročné na procesor z vašich serverů. Nemusíte také instalovat certifikáty a konfigurovat SSL na servery.

Pokud potřebujete komplexní šifrování, služba Application Gateway může dešifrovat provoz v bráně pomocí vašeho privátního klíče. Poté znovu zašifruje provoz pomocí veřejného klíče služby, která běží v back-endovém fondu.

Zveřejnění webu nebo webové aplikace prostřednictvím služby Application Gateway také znamená, že servery přímo nepřipojujete k webu. V aplikační bráně vystavujete jenom port 80 nebo port 443. Vaše webové servery nejsou přímo přístupné z internetu, což snižuje prostor pro útoky vaší infrastruktury.

Komponenty služby Application Gateway

Application Gateway má několik komponent. Hlavní části šifrování jsou port na frontendu, naslouchací proces a pool na backendu.

Následující obrázek ukazuje, jak se příchozí provoz z klienta do služby Application Gateway přes PROTOKOL SSL dešifruje a pak se znovu zašifruje, když se odešle na server v back-endovém fondu.

diagram toho, jak se zprávy dešifrují a znovu zašifrují v kompletní konfiguraci SSL pomocí služby Application Gateway.

Front-endový port a posluchač

Provoz vstupuje do brány přes front-endový port. Můžete otevřít mnoho portů a Application Gateway může přijímat zprávy na jakémkoli z těchto portů. Naslouchací program je první věc, se kterou se provoz setká při vstupu do brány přes port. Je nastavená tak, aby naslouchala konkrétnímu názvu hostitele a konkrétnímu portu na konkrétní IP adrese. Posluchač může k dešifrování provozu, který vstupuje do brány, použít certifikát SSL. Nasluchač pak použije pravidlo, které definujete, k nasměrování příchozích požadavků do back-endové skupiny.

Serverová skupina

Back-endový fond obsahuje vaše aplikační servery. Tyto servery můžou být virtuální počítače, škálovací sada virtuálních počítačů nebo aplikace spuštěné ve službě Azure App Service. Příchozí požadavky mohou být rozkládány zátěže mezi servery v této skupině. Backendový fond má nastavení HTTP, které odkazuje na certifikát použitý k autentizaci backendového serveru. Brána znovu zašifruje provoz pomocí tohoto certifikátu před odesláním na jeden z vašich serverů v back-endovém fondu.

Pokud k hostování back-endové aplikace používáte Azure App Service, nemusíte instalovat žádné certifikáty ve službě Application Gateway, abyste se mohli připojit k back-endovému fondu. Veškerá komunikace se automaticky šifruje. Application Gateway důvěřuje serverům, protože je Spravuje Azure.