Application Gateway und Verschlüsselung
Das Verschlüsseln Ihrer Daten während der Übertragung ist ein wichtiger Schritt zum Sichern Ihrer Anwendungen. Sie können Zertifikate von einer Zertifizierungsstelle erwerben und zum Verschlüsseln der Nachrichten verwenden, die an und von Ihren Servern gesendet werden. Durch die Verschlüsselung wird verhindert, dass nicht autorisierte Benutzer*innen Informationen in diesen Nachrichten während der Übertragung abfangen und untersuchen.
Im Versandportal ist die Verschlüsselung wichtig, da Bestellungen von Kunden versandt werden. Eine Person, die auf die übertragenen Daten zugreifen kann, kann vertrauliche Informationen wie Kundendetails oder Finanzkontendaten ebenfalls anzeigen.
Zum Schutz dieser Daten können Sie Azure Application Gateway verwenden. Hiermit werden Daten verschlüsselt, die das Netzwerk von den Benutzern zu den Anwendungsservern durchlaufen.
Vorteile von Application Gateway
Azure Application Gateway ist ein Controller zur Anwendungsbereitstellung. Er bietet Features wie den Lastenausgleich für HTTP-Datenverkehr, Web Application Firewall und Unterstützung der SSL-Verschlüsselung Ihrer Daten. Application Gateway unterstützt die Verschlüsselung des Datenverkehrs zwischen Benutzer*innen und einer Application Gateway-Instanz und zwischen Anwendungsservern und einer Application Gateway-Instanz.
Wenn Sie die SSL-Verbindung der Application Gateway-Instanz beenden, werden Ihre Server von der CPU-intensiven SSL-Beendigungsarbeitslast entlastet. Außerdem müssen Sie weder Zertifikate installieren noch SSL für Ihre Server konfigurieren.
Wenn Sie keine umfassende Verschlüsselung benötigen, kann Application Gateway den Datenverkehr auf dem Gateway mithilfe Ihres privaten Schlüssels entschlüsseln. Anschließend wird der Datenverkehr mit dem öffentlichen Schlüssel des Diensts, der im Back-End-Pool ausgeführt wird, erneut verschlüsselt.
Wenn Sie Ihre Website oder Webanwendung über das Anwendungsgateway zur Verfügung stellen, heißt das auch, dass Sie keine direkte Verbindung zwischen Ihren Servern und dem Internet herstellen. Sie stellen nur Port 80 oder Port 443 über Application Gateway zur Verfügung. Auf Ihre Webserver kann nicht direkt über das Internet zugegriffen werden, wodurch die Angriffsfläche Ihrer Infrastruktur reduziert wird.
Application Gateway-Komponenten
Application Gateway umfasst mehrere Komponenten. Die Hauptkomponenten für die Verschlüsselung sind der Front-End-Port, der Listener und der Back-End-Pool.
In der folgenden Abbildung wird veranschaulicht, wie per SSL eingehender Datenverkehr eines Clients an Application Gateway entschlüsselt und dann wieder verschlüsselt wird, wenn Daten an einen Server im Back-End-Pool gesendet werden.
Front-End-Port und Listener
Datenverkehr erreicht das Gateway über einen Front-End-Port. Sie können viele Ports öffnen, und Application Gateway kann Nachrichten auf all diesen Ports empfangen. Der Listener verarbeitet den Datenverkehr, der das Gateway über einen Port erreicht, als Erstes. Er ist so eingerichtet, dass er auf einen bestimmten Hostnamen und einen bestimmten Port auf einer bestimmten IP-Adresse lauscht. Der Listener kann ein SSL-Zertifikat zum Entschlüsseln des Datenverkehrs verwenden, der das Gateway erreicht. Der Listener verwendet dann eine Regel, die Sie definieren, um die eingehenden Anforderungen an einen Back-End-Pool weiterzuleiten.
Back-End-Pool
Der Back-End-Pool enthält Ihre Anwendungsserver. Bei diesen Servern kann es sich um VMs (virtuelle Computer), eine VM-Skalierungsgruppe oder um Anwendungen in Azure App Service handeln. Für eingehende Anforderungen kann ein Lastenausgleich auf die Server in diesem Pool durchgeführt werden. Der Back-End-Pool verfügt über eine HTTP-Einstellung, die auf ein Zertifikat verweist, das zum Authentifizieren der Back-End-Server verwendet wird. Das Gateway verschlüsselt den Datenverkehr mithilfe dieses Zertifikats wieder, bevor er an einen Ihrer Server im Back-End-Pool weitergeleitet wird.
Wenn Sie Azure App Service zum Hosten der Back-End-Anwendung verwenden, müssen Sie keine Zertifikate in Application Gateway installieren, um eine Verbindung mit dem Back-End-Pool herzustellen. Die gesamte Kommunikation wird automatisch verschlüsselt. Application Gateway vertraut den Servern, da sie von Azure verwaltet werden.