Delen via

Levering van toepassingen plannen

  • Artikel

In deze sectie worden belangrijke aanbevelingen besproken voor het leveren van interne en extern gerichte toepassingen op een veilige, zeer schaalbare en maximaal beschikbare manier.

Ontwerpoverwegingen:

  • Azure Load Balancer (intern en openbaar) biedt hoge beschikbaarheid voor de levering van toepassingen op regionaal niveau.

  • Azure Application Gateway maakt de veilige levering van HTTP/S-toepassingen op regionaal niveau mogelijk.

  • Azure Front Door maakt de veilige levering van maximaal beschikbare HTTP/S-toepassingen in Azure-regio's mogelijk.

  • Met Azure Traffic Manager kunnen wereldwijde toepassingen worden geleverd.

Ontwerpaanbeveling:

  • Levering van toepassingen binnen landingszones uitvoeren voor zowel interne als externe toepassingen.

    • Behandel de Application Gateway als een toepassingsonderdeel en implementeer het in een virtueel spoke-netwerk en niet als een gedeelde resource in de hub.
    • Als u Web Application Firewall waarschuwingen wilt interpreteren, hebt u over het algemeen diepgaande kennis van de toepassing nodig om te bepalen of de berichten die deze waarschuwingen activeren, legitiem zijn.
    • U kunt problemen ondervinden met op rollen gebaseerd toegangsbeheer als u Application Gateway in de hub implementeert wanneer teams verschillende toepassingen beheren, maar hetzelfde exemplaar van Application Gateway gebruiken. Elk team heeft vervolgens toegang tot de volledige Application Gateway configuratie.
    • Als u Application Gateway als een gedeelde resource behandelt, overschrijdt u mogelijk Azure Application Gateway limieten.
    • Meer informatie hierover vindt u in Zero-trust-netwerk voor webtoepassingen.

  • Voor een veilige levering van HTTP/S-toepassingen gebruikt u Application Gateway v2 en zorgt u ervoor dat WAF-beveiliging en -beleid zijn ingeschakeld.

  • Gebruik een partner-NVA als u Application Gateway v2 niet kunt gebruiken voor de beveiliging van HTTP/S-toepassingen.

  • Implementeer Azure Application Gateway v2 of partner-NVA's die worden gebruikt voor inkomende HTTP/S-verbindingen binnen het virtuele netwerk van de landingszone en met de toepassingen die ze beveiligen.

  • Gebruik een DDoS-standaardbeveiligingsplan voor alle openbare IP-adressen in een landingszone.

  • Gebruik Azure Front Door met WAF-beleid om wereldwijde HTTP/S-toepassingen te leveren en te beveiligen die Azure-regio's omvatten.

  • Wanneer u Front Door en Application Gateway gebruikt om HTTP/S-toepassingen te beveiligen, gebruikt u WAF-beleid in Front Door. Vergrendel Application Gateway om alleen verkeer van Front Door te ontvangen.

  • Gebruik Traffic Manager om globale toepassingen te leveren die andere protocollen dan HTTP/S omvatten.