Proteggere il traffico verso le origini di Frontdoor di Azure
Le funzionalità di Frontdoor funzionano meglio quando il traffico passa solo attraverso Frontdoor. È consigliabile configurare l'origine per bloccare il traffico che non è stato inviato tramite Frontdoor. In caso contrario, il traffico potrebbe ignorare il web application firewall di Frontdoor, la protezione DDoS e altre funzionalità di sicurezza.
Nota
origine e gruppo di origine in questo articolo si riferiscono al back-end e al pool back-end della configurazione di Frontdoor di Azure (versione classica).
Frontdoor offre diversi approcci che è possibile usare per limitare il traffico di origine.
Origini collegamento privato
Quando si usa lo SKU Premium di Frontdoor, è possibile usare il collegamento privato per inviare il traffico all'origine. Altre informazioni sulle origini del collegamento privato.
È consigliabile configurare l'origine per impedire il traffico che non passa attraverso il collegamento privato. Il modo in cui si limita il traffico dipende dal tipo di origine del collegamento privato usato:
- Servizio app di Azure e Funzioni di Azure disabilitano automaticamente l'accesso tramite endpoint Internet pubblici quando si usa il collegamento privato. Per altre informazioni, vedere Uso di endpoint privati per l'app Web di Azure.
- Archiviazione di Azure offre un firewall, che è possibile usare per negare il traffico da Internet. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
- I servizi di bilanciamento del carico interni con il servizio Collegamento privato di Azure non sono indirizzabili pubblicamente. È anche possibile configurare gruppi di sicurezza di rete per assicurarsi di non consentire l'accesso alla rete virtuale da Internet.
Origini basate su indirizzi IP pubblici
Quando si usano origini basate su indirizzi IP pubblici, è consigliabile usare due approcci per garantire che il traffico passi attraverso l'istanza di Frontdoor:
- Configurare il filtro degli indirizzi IP per assicurarsi che le richieste all'origine vengano accettate solo dagli intervalli di indirizzi IP di Frontdoor.
- Configurare l'applicazione per verificare il valore dell'intestazione
X-Azure-FDID
, che Frontdoor collega a tutte le richieste all'origine e verificare che il relativo valore corrisponda all'identificatore di Frontdoor.
Filtro indirizzi IP
Configurare il filtro degli indirizzi IP per le origini per accettare il traffico dallo spazio indirizzi IP back-end di Frontdoor di Azure e solo dai servizi di infrastruttura di Azure.
Il tag del servizio AzureFrontDoor.Backend fornisce un elenco degli indirizzi IP usati da Frontdoor per connettersi alle origini. È possibile usare questo tag di servizio all'interno delle regole del gruppo di sicurezza di rete. È anche possibile scaricare il set di dati Intervalli IP e tag di servizio di Azure, che viene aggiornato regolarmente con gli indirizzi IP più recenti.
È anche consigliabile consentire il traffico dai servizi di infrastruttura di base di Azure tramite gli indirizzi IP host virtualizzati 168.63.129.16
e 169.254.169.254
.
Avviso
Lo spazio indirizzi IP di Frontdoor cambia regolarmente. Assicurarsi di usare il tag di servizio AzureFrontDoor.Backend anziché gli indirizzi IP hardcoded.
Identificatore Frontdoor
Il filtro degli indirizzi IP da solo non è sufficiente per proteggere il traffico verso l'origine, perché altri clienti di Azure usano gli stessi indirizzi IP. È anche necessario configurare l'origine per assicurarsi che il traffico abbia avuto origine da profilo di Frontdoor.
Azure genera un identificatore univoco per ogni profilo di Frontdoor. È possibile trovare l'identificatore nel portale di Azure cercando il valore ID Frontdoor nella pagina Panoramica del profilo.
Quando Frontdoor effettua una richiesta all'origine, aggiunge l'intestazione della richiesta X-Azure-FDID
. L'origine deve esaminare l'intestazione sulle richieste in ingresso e rifiutare le richieste in cui il valore non corrisponde all'identificatore del profilo Frontdoor.
Configurazione di esempio
Negli esempi seguenti viene illustrato come proteggere diversi tipi di origini.
- Servizio app e funzioni
- Gateway applicazione
- Gateway applicativo per contenitori
- IIS
- Controller NGINX del servizio Azure Kubernetes
È possibile usare restrizioni di accesso al servizio app per filtrare gli indirizzi IP e filtrare le intestazioni. La funzionalità è fornita dalla piattaforma e non è necessario modificare l'applicazione o l'host.
Passaggi successivi
- Informazioni su come configurare un profilo WAF in Frontdoor.
- Informazioni su come creare una Frontdoor.
- Informazioni sul funzionamento di Frontdoor.