Azure Front Door の配信元へのトラフィックをセキュリティで保護する
Front Door の機能は、トラフィックが Front Door のみを経由する場合に最適です。 Front Door 経由で送信されていないトラフィックをブロックするように配信元を構成する必要があります。 そうしないと、トラフィックで Front Door の Web アプリケーション ファイアウォール、DDoS 保護、およびその他のセキュリティ機能のバイパスが発生する可能性があります。
Note
この記事の 配信元 と 配信元グループ は、Azure Front Door (クラシック) 構成のバックエンドとバックエンド プールを指します。
Front Door には、配信元のトラフィックを制限するために使用できるいくつかの方法が用意されています。
Private Link の配信元
Front Door の Premium SKU を使用する場合は、Private Link を使用して配信元にトラフィックを送信できます。 Private Link の配信元について確認してください。
Private Link を経由しないトラフィックを禁止するように配信元を構成する必要があります。 トラフィックを制限する方法は、使用する Private Link の配信元の種類によって異なります。
- Azure App Service と Azure Functions では、Private Link を使用すると、パブリック インターネット エンドポイント経由のアクセスが自動的に無効になります。 詳細については、Azure Web アプリでのプライベート エンドポイントの使用に関するページを参照してください。
- Azure Storage には、インターネットからのトラフィックを拒否するために使用できるファイアウォールが用意されています。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。
- Azure Private Link サービスを使用する内部ロード バランサーは、パブリックにルーティングできません。 また、ネットワーク セキュリティ グループを構成して、インターネットからの仮想ネットワークへのアクセスを許可しないようにすることもできます。
パブリック IP ベースの配信元
パブリック IP ベースの配信元を使用する場合は、トラフィックが Front Door インスタンスを通過するように、次の 2 つの方法を一緒に使用する必要があります。
- IP アドレスのフィルター処理を構成して、配信元への要求が Front Door の IP アドレス範囲からのみ受け入れられるようにします。
- アプリケーションを構成して、Front Door で配信元へのすべての要求にアタッチされるヘッダー値
X-Azure-FDID
を確認し、その値が Front Door の識別子と一致することを確認します。
IP アドレスのフィルター処理
使用する配信元で、Azure Front Door のバックエンド IP アドレス空間と Azure のインフラストラクチャ サービスからのトラフィックのみが受け入れられるように IP アドレスのフィルター処理を構成します。
AzureFrontDoor.Backend サービス タグには、Front Door で配信元への接続に使用される IP アドレスの一覧が提供されます。 このサービス タグは、ネットワーク セキュリティ グループ規則内で使用できます。 最新の IP アドレスで定期的に更新される Azure IP 範囲とサービス タグ データ セットをダウンロードすることもできます。
また、仮想化されたホスト IP アドレス 168.63.129.16
と 169.254.169.254
を介した Azure の基本的なインフラストラクチャ サービスからのトラフィックも許可する必要があります。
警告
Front Door の IP アドレス空間は定期的に変更されます。 IP アドレスをハードコーディングする代わりに、AzureFrontDoor.Backend サービス タグを使用してください。
Front Door 識別子
他の Azure のお客様が同じ IP アドレスを使用しているため、IP アドレスのフィルター処理だけでは配信元へのトラフィックをセキュリティで保護するには不十分です。 トラフィックが "自分の" Front Door プロファイルから送信されたことを保証するように配信元を構成する必要もあります。
Azure では、Front Door プロファイルごとに一意識別子が生成されます。 この識別子は、Azure portal でプロファイルの [概要] ページにある Front Door ID の値を探すことで確認できます。
Front Door によって配信元に要求が作成されると、要求ヘッダー X-Azure-FDID
が追加されます。 配信元では、受信要求のヘッダーを検査し、値が Front Door プロファイルの識別子と一致しない要求は拒否する必要があります。
構成例
次の例は、さまざまな種類の配信元をセキュリティで保護する方法を示しています。
- App Service および Functions
- Application Gateway
- Application Gateway for Containers
- IIS
- AKS NGINX コントローラー
App Service のアクセス制限を使用して、IP アドレスのフィルター処理とヘッダー フィルター処理を実行できます。 この機能はプラットフォームによって提供されるため、アプリケーションやホストを変更する必要はありません。
次のステップ
- Front Door で WAF プロファイルを構成する方法について学習します。
- フロント ドアの作成方法について学習します。
- Front Door のしくみについて学習します。