Sécuriser le trafic vers les origines Azure Front Door

Article
10/02/2023

Les fonctionnalités de Front Door sont optimales lorsque le trafic transite uniquement par Front Door. Vous devez configurer votre origine pour bloquer le trafic qui n’a pas été envoyé via Front Door. Sinon, le trafic peut contourner le pare-feu d’applications web de Front Door, la protection DDoS et d’autres fonctionnalités de sécurité.

Notes

Origin et groupe d’origin dans cet article font référence au serveur principal et au pool principal de la configuration Azure Front Door (classique).

Front Door propose plusieurs approches que vous pouvez utiliser pour restreindre votre trafic d’origine.

Origines Private Link

Lorsque vous utilisez la référence SKU Premium de Front Door, vous pouvez utiliser Private Link pour envoyer du trafic à votre origine. En savoir plus sur les origines de Private Link.

Vous devez configurer votre origine pour interdire le trafic qui ne passe pas par Private Link. La façon dont vous limitez le trafic dépend du type d’origine Private Link que vous utilisez :

Azure App Service et Azure Functions désactivent automatiquement l’accès via des points de terminaison Internet publics lorsque vous utilisez Private Link. Pour plus d’informations, consultez Utilisation de points de terminaison privés pour application web Azure.
Stockage Azure fournit un pare-feu, que vous pouvez utiliser pour refuser le trafic en provenance d’Internet. Pour plus d’informations, consultez Configurer Pare-feu et réseaux virtuels dans Stockage Azure.
Les équilibreurs de charge internes avec le service Azure Private Link ne sont pas routables publiquement. Vous pouvez également configurer des groupes de sécurité réseau pour vous assurer que vous n’autorisez pas l’accès à votre réseau virtuel à partir d’Internet.

Origines basées sur les adresses IP publiques

Lorsque vous utilisez des origines basées sur des adresses IP publiques, vous devez utiliser deux approches ensemble pour vous assurer que le trafic transite par votre instance Front Door :

Configurez le filtrage d’adresses IP pour vous assurer que les demandes adressées à votre origine sont acceptées uniquement à partir des plages d’adresses IP Front Door.
Configurez votre application pour vérifier la valeur d’en-tête X-Azure-FDID, que Front Door attache à toutes les demandes à l’origine, et vérifiez que sa valeur correspond à l’identificateur de votre Front Door.

Filtrage d'adresse IP

Configurez le filtrage d’adresse IP pour vos origines de manière à accepter le trafic en provenance uniquement de l’espace d’adressage IP back-end d’Azure Front Door et des services d’infrastructure d’Azure.

L’étiquette de service AzureFrontDoor.Backend fournit la liste des adresses IP que Front Door utilise pour se connecter à vos origines. Vous pouvez utiliser cette étiquette de service dans vos règles de groupe de sécurité réseau. Vous pouvez également télécharger le jeu de données Plages d’adresses IP et étiquettes de service Azure, qui est régulièrement mis à jour avec les dernières adresses IP.

Vous devez également autoriser le trafic à partir des services d’infrastructure de base d’Azure via les adresses IP de l’hôte virtualisées 168.63.129.16 et 169.254.169.254.

Avertissement

L’espace d’adressage IP de Front Door change régulièrement. Veillez à utiliser l’étiquette de service AzureFrontDoor.Backend au lieu de coder en dur les adresses IP.

Identificateur Front Door

Le filtrage d’adresse IP ne suffit pas à sécuriser le trafic vers votre origine, car d’autres clients Azure utilisent les mêmes adresses IP. Vous devez également configurer votre origine pour vous assurer que le trafic provient de votre profil Front Door.

Azure génère un identificateur unique pour chaque profil Front Door. Vous trouverez l’identificateur dans le Portail Azure, en recherchant la valeur ID Front Door dans la page Vue d’ensemble de votre profil.

Lorsque Front Door effectue une demande à votre origine, elle ajoute l’en-tête de requête X-Azure-FDID. Votre origine doit inspecter l’en-tête des demandes entrantes et rejeter les demandes pour lesquelles la valeur ne correspond pas à l’identificateur de votre profil Front Door.

Exemple de configuration

Les exemples suivants montrent comment sécuriser différents types d’origines.

Vous pouvez utiliser des restrictions d’accès App Service pour effectuer le filtrage d’adresse IP ainsi que le filtrage d’en-tête. La fonctionnalité est fournie par la plateforme et vous n’avez pas besoin de modifier votre application ou votre hôte.

Application Gateway est déployé dans votre réseau virtuel. Configurez une règle de groupe de sécurité réseau pour autoriser l’accès entrant sur les ports 80 et 443 à partir de l’étiquette de service AzureFrontDoor.Backend et interdire le trafic entrant sur les ports 80 et 443 à partir de l’étiquette de service Internet.

Utilisez une règle WAF personnalisée pour vérifier la valeur d’en-tête X-Azure-FDID. Pour plus d’informations, consultez Créer et utiliser des règles personnalisées de Web Application Firewall v2 sur Application Gateway.

Pour configurer le routage du trafic dans Azure Kubernetes Service (AKS) avec Application Gateway pour conteneurs, configurez une règle HTTPRoute pour qu’elle corresponde au trafic entrant d’Azure Front Door à l’aide de l’en-tête X-Azure-FDID.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

Lorsque vous exécutez Microsoft Internet Information Services (IIS) sur une machine virtuelle hébergée sur Azure, vous devez créer un groupe de sécurité réseau dans le réseau virtuel qui héberge la machine virtuelle. Configurez une règle de groupe de sécurité réseau pour autoriser l’accès entrant sur les ports 80 et 443 à partir de l’étiquette de service AzureFrontDoor.Backend et interdire le trafic entrant sur les ports 80 et 443 à partir de l’étiquette de service Internet.

Utilisez un fichier de configuration IIS comme dans l’exemple suivant pour inspecter l’en-tête X-Azure-FDID de vos demandes entrantes :

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Lorsque vous exécutez AKS avec un contrôleur d’entrée NGINX, vous devez créer un groupe de sécurité réseau dans le réseau virtuel qui héberge le cluster AKS. Configurez une règle de groupe de sécurité réseau pour autoriser l’accès entrant sur les ports 80 et 443 à partir de l’étiquette de service AzureFrontDoor.Backend et interdire le trafic entrant sur les ports 80 et 443 à partir de l’étiquette de service Internet.

Utilisez un fichier config d’entrée Kubernetes comme dans l’exemple suivant pour inspecter l’en-tête X-Azure-FDID de vos requêtes entrantes :

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Étapes suivantes

Découvrez comment configurer un profil WAF sur Front Door.
Découvrez comment créer une porte d’entrée.
Découvrez comment fonctionne Front Door.

Partager via