Application Gateway a šifrování
Šifrování dat během přenosu je důležitým krokem k zabezpečení aplikací. Můžete si pořídit certifikáty od certifikační autority a používat je k šifrování zpráv, které se předávají do a z vašich serverů. Toto šifrování brání neoprávněným uživatelům v zachycení a zkoumání informací v těchto zprávách při jejich přenosu.
Pro expediční portál je šifrování důležité, protože tyto přenosy se týkají expedice objednávek zákazníků. Pokud má někdo přístup k přenášeným datům, může zobrazit citlivé informace, jako jsou podrobnosti o zákazníci nebo data finančního účtu.
K lepšímu zabezpečení těchto dat můžete použít službu Azure Application Gateway. Ta zajistí šifrování dat při průchodu sítí od vašich koncových uživatelů na vaše aplikační servery.
Služba Application Gateway a její výhody
Azure Application Gateway je kontroler doručování aplikací. Poskytuje funkce, jako je vyrovnávání zatížení provozu HTTP, firewall webových aplikací a podpora šifrování dat SSL. Application Gateway podporuje šifrování provozu mezi uživateli a aplikační bránou a mezi aplikačními servery a aplikační bránou.
Když v Application Gateway ukončíte zabezpečené připojení, úloha ukončování protokolu SSL, která je náročná na CPU, se z vašich serverů přesměruje. Není rovněž nutná instalace certifikátů a konfigurace protokolu SSL na vašich serverech.
Pokud potřebujete komplexní šifrování, služba Application Gateway může dešifrovat provoz v bráně pomocí vašeho privátního klíče. Potom znovu zašifruje provoz pomocí veřejného klíče služby spuštěné v back-endovém fondu.
Zveřejnění webu nebo webové aplikace prostřednictvím služby Application Gateway také znamená, že servery přímo nepřipojujete k webu. Zveřejníte jenom port 80 nebo port 443 v aplikační bráně. Vaše webové servery nejsou přímo přístupné z internetu, což snižuje prostor pro útoky vaší infrastruktury.
Komponenty Application Gateway
Application Gateway má několik komponent. Hlavními součástmi z hlediska šifrování jsou front-endový port, naslouchací proces a back-endový fond.
Následující obrázek ukazuje, jak se příchozí provoz z klienta do Application Gateway prostřednictvím SSL dešifruje a pak při odeslání na server v back-endovém fondu znovu zašifruje.
Front-endový port a naslouchací proces
Provoz vstupuje do brány přes front-endový port. Můžete otevřít mnoho portů a Application Gateway může přijímat zprávy na některých z těchto portů. Naslouchací proces je první věc, se kterou se provoz setká při vstupu do brány přes port. Je nastavená tak, aby naslouchala konkrétnímu názvu hostitele a konkrétnímu portu na konkrétní IP adrese. Naslouchací proces může pomocí certifikátu SSL dešifrovat přenosy, které přicházejí do brány. Naslouchací proces pak pomocí vámi definovaného pravidla přesměruje příchozí požadavky do back-endového fondu.
Back-endový fond
Back-endový fond obsahuje vaše aplikační servery. Těmito servery by mohly být virtuální počítače, škálovací sada virtuálních počítačů nebo aplikace běžící v Azure App Service. U příchozích požadavků lze vyrovnávat zatížení napříč servery v tomto fondu. Back-endový fond má nastavení HTTP, které odkazuje na certifikát používaný k ověřování back-endových serverů. Brána pomocí tohoto certifikátu přenosy před jejich odesláním na některý ze serverů v back-endovém fondu znovu zašifruje.
Pokud k hostování back-endové aplikace používáte službu Aplikace Azure, nemusíte instalovat žádné certifikáty ve službě Application Gateway pro připojení k back-endovému fondu. Veškerá komunikace se automaticky šifruje. Application Gateway považuje servery za důvěryhodné, protože je spravuje Azure.