Gateway applicazione e crittografia
La crittografia dei dati in transito è un passaggio importante per la protezione delle applicazioni. È possibile acquistare i certificati da un'autorità di certificazione e usarli per crittografare i messaggi in ingresso e in uscita dai server. Questa crittografia impedisce agli utenti non autorizzati di intercettare ed esaminare le informazioni contenute nei messaggi in fase di trasmissione.
Nel portale di spedizione la crittografia è importante, poiché riguarda la spedizione degli ordini dei clienti. Chiunque possa accedere ai dati trasmessi può visualizzare informazioni sensibili, ad esempio i dettagli o i dati finanziari dei clienti.
Per contribuire alla protezione dei dati, è possibile usare il gateway applicazione di Azure. Questo consente di crittografare i dati che attraversano la rete dagli utenti ai server applicazioni.
Gateway applicazione e vantaggi
Il gateway applicazione di Azure è un controller di recapito delle applicazioni Offre funzionalità come il bilanciamento del carico del traffico HTTP, il web application firewall e il supporto della crittografia SSL dei dati. Il gateway applicazione supporta la crittografia del traffico tra gli utenti e un gateway applicazione e tra i server applicazioni e un gateway applicazione.
Quando si termina la connessione SSL nel gateway applicazione, il gateway esegue l'offload dai server del carico di lavoro di terminazione SSL, che usa in modo intensivo la CPU. Inoltre, non è necessario installare i certificati e configurare SSL nei server.
Se si necessita di una crittografia end-to-end, gateway applicazione può decrittografare il traffico sul gateway utilizzando la chiave privata dell'utente. Crittografa quindi nuovamente il traffico con la chiave pubblica del servizio in esecuzione nel pool back-end.
Esporre il sito Web o l'applicazione Web tramite il gateway applicazione significa anche non connettere i server direttamente al Web. Viene esposta solo la porta 80 o 443 nel gateway applicazione. Poiché i server Web non sono direttamente accessibili da Internet, si riduce la superficie di attacco dell'infrastruttura.
Componenti del gateway applicazione
Il gateway applicazione ha diversi componenti. I componenti principali per la crittografia sono la porta front-end, il listener e il pool back-end.
L'immagine seguente illustra come viene decrittografato il traffico in ingresso da un client al gateway applicazione su SSL e quindi come viene crittografato nuovamente quando viene inviato al server nel pool back-end.
Porta front-end e listener
Il traffico entra nel gateway attraverso una porta front-end. È possibile aprire molte porte e il gateway applicazione può ricevere messaggi su qualsiasi porta. Il listener è il primo componente incontrato dal traffico in ingresso nel gateway attraverso una porta. È configurato in modo da essere in ascolto di un nome host specifico e di una porta specifica per un determinato indirizzo IP. Può usare un certificato SSL per decrittografare il traffico in ingresso nel gateway. Usa quindi una regola definita per indirizzare le richieste in ingresso a un pool back-end.
Pool back-end
Il pool back-end contiene i server applicazioni. Questi server possono essere macchine virtuali, un set di scalabilità di macchine virtuali o applicazioni in esecuzione nel servizio app di Azure. Il carico delle richieste in ingresso può essere bilanciato tra i server del pool. Il pool back-end ha un'impostazione HTTP che fa riferimento a un certificato usato per autenticare i server back-end. Il gateway crittografa nuovamente il traffico usando questo certificato prima di inviarlo a uno dei server nel pool back-end.
Se si usa Servizio app di Azure per ospitare l'applicazione back-end, non è necessario installare i certificati nel gateway applicazione per la connessione al pool back-end. Tutte le comunicazioni vengono crittografate automaticamente. Il gateway applicazione considera attendibili i server perché sono gestiti da Azure.