Sicherer Datenverkehr zu Azure Front Door-Ursprüngen
Die Features von Front Door funktionieren am besten, wenn der Datenverkehr nur durch Front Door fließt. Sie sollten Ihren Ursprung so konfigurieren, dass Datenverkehr blockiert wird, der nicht über front Door gesendet wurde. Andernfalls kann der Datenverkehr Front Door-Webanwendungsfirewall, DDoS-Schutz und andere Sicherheitsfeatures umgehen.
Hinweis
In diesem Artikel beziehen sich Ursprung und Ursprungsgruppe auf das Back-End und den Back-End-Pool der Konfiguration von Azure Front Door (klassisch).
Front Door bietet verschiedene Ansätze, mit denen Sie den Ursprungsdatenverkehr einschränken können.
Private Link-Ursprünge
Wenn Sie die Premium-SKU von Front Door verwenden, können Sie Private Link verwenden, um Datenverkehr an Ihren Ursprung zu senden. Erfahren Sie mehr über Private Link-Ursprünge.
Sie sollten Ihren Ursprung so konfigurieren, dass kein Datenverkehr über Private Link erfolgt. Die Art und Weise, wie Sie den Datenverkehr einschränken, hängt vom Typ der Private Link-Ursprungs ab, den Sie verwenden:
- Azure App Service und Azure Functions deaktivieren den Zugriff über öffentliche Internetendpunkte automatisch, wenn Sie Private Link verwenden. Weitere Informationen finden Sie unter Verwenden privater Endpunkte für eine Azure-Web-App (Vorschau).
- Azure Storage bietet eine Firewall, mit der Sie den Datenverkehr aus dem Internet verweigern können. Weitere Informationen finden Sie unter Konfigurieren von Firewalls und virtuellen Netzwerken in Azure Storage.
- Interne Lastenausgleiche mit Azure Private Link-Dienst können nicht öffentlich geroutet werden. Sie können auch Netzwerksicherheitsgruppen konfigurieren, um sicherzustellen, dass der Zugriff auf Ihr virtuelles Netzwerk vom Internet aus nicht zulässig ist.
Auf öffentlichen IP-Adressen basierende Ursprünge
Wenn Sie auf öffentlichen IP-Adressen basierende Ursprünge verwenden, sollten Sie zwei Ansätze zusammen verwenden, um sicherzustellen, dass der Datenverkehr über Ihre Front Door-Instanz fließt:
- Konfigurieren Sie die IP-Adressfilterung, um sicherzustellen, dass Anforderungen an Ihren Ursprung nur aus den Front Door-IP-Adressräumen akzeptiert werden.
- Konfigurieren Sie Ihre Anwendung, um den
X-Azure-FDID
-Headerwert zu überprüfen, den Front Door allen Anforderungen an den Ursprung anfügt, und stellen Sie sicher, dass der Wert Ihrem Front Door-Bezeichner entspricht.
Filterung von IP-Adressen
Konfigurieren Sie die Filterung von IP-Adressen für Ihre Ursprünge so, dass sie nur Datenverkehr aus dem Back-End-IP-Adressraum von Azure Front Door und den Infrastrukturdiensten von Azure akzeptieren.
Das AzureFrontDoor.BackEnd-Diensttag stellt eine Liste der IP-Adressen bereit, die Front Door zum Herstellen einer Verbindung mit Ihren Ursprüngen verwendet. Sie können dieses Diensttag in Ihren Netzwerksicherheitsgruppenregeln verwenden. Sie können auch die Azure-IP-Bereiche und Diensttagdatensätze herunterladen, die regelmäßig mit den neuesten IP-Adressen aktualisiert werden.
Sie sollten auch den Datenverkehr von den grundlegenden Infrastrukturdiensten von Azure über die virtualisierten Host-IP-Adressen 168.63.129.16
und 169.254.169.254
zulassen.
Warnung
Der IP-Adressraum von Front Door ändert sich regelmäßig. Stellen Sie sicher, dass Sie das AzureFrontDoor.Backend-Diensttag anstelle hartcodierter IP-Adressen verwenden.
Front Door-Bezeichner
Die IP-Adressfilterung allein reicht nicht aus, um den Datenverkehr an Ihren Ursprung zu sichern, da andere Azure-Kunden dieselben IP-Adressen verwenden. Sie sollten auch Ihren Ursprung konfigurieren, um sicherzustellen, dass der Datenverkehr aus Ihrem Front Door-Profil stammt.
Azure generiert einen eindeutigen Bezeichner für jedes Front Door-Profil. Sie finden den Bezeichner im Azure-Portal, indem Sie auf der Seite „Übersicht“ Ihres Profils nach dem Front Door ID-Wert suchen.
Wenn Front Door eine Anforderung an Ihren Ursprung stellt, wird der X-Azure-FDID
-Anforderungsheader hinzugefügt. Ihr Ursprung sollte den Header auf eingehende Anforderungen überprüfen und Anforderungen ablehnen, bei denen der Wert nicht mit dem Bezeichner des Front Door-Profils übereinstimmt.
Beispielkonfiguration
In den folgenden Beispielen wird gezeigt, wie Sie verschiedene Arten von Ursprüngen sichern können.
- Azure App Service und Functions
- Application Gateway
- Application Gateway für Container
- IIS
- AKS NGINX-Controller
Sie können App Service-Zugriffsbeschränkungen verwenden, um die IP-Adressfilterung sowie die Headerfilterung auszuführen. Die Funktion wird von der Plattform bereitgestellt, und Sie müssen Ihre Anwendung oder Ihren Host nicht ändern.
Nächste Schritte
- Erfahren Sie, wie Sie ein WAF-Profil auf Front Door konfigurieren.
- Erfahren Sie mehr über das Erstellen einer Front Door-Instanz.
- Informieren Sie sich über die Funktionsweise von Azure Front Door Service.