Usługa Application Gateway i szyfrowanie
Szyfrowanie danych w trakcie ich przesyłania to ważny element zabezpieczeń aplikacji. Możesz kupić certyfikaty w urzędzie certyfikacji i używać ich do szyfrowania komunikatów wysyłanych do i z serwerów. To szyfrowanie uniemożliwia nieautoryzowanym użytkownikom przechwytywanie i badanie informacji w tych komunikatach podczas ich przesyłania.
W portalu wysyłkowym szyfrowanie jest ważne, ponieważ zajmujemy się wysyłaniem zamówień klientów. Jeśli ktoś może uzyskać dostęp do przesyłanych danych, może wyświetlać poufne informacje, takie jak szczegóły klienta lub dane konta finansowego.
Usługa Azure Application Gateway może pomóc zabezpieczyć te dane. Szyfruje ona dane, które przechodzą przez sieć od użytkowników do serwerów aplikacji.
Usługa Application Gateway i jej zalety
Usługa Azure Application Gateway jest kontrolerem dostarczania aplikacji. Udostępnia funkcje, takie jak równoważenie obciążenia ruchu HTTP, zapora aplikacji internetowej i obsługa szyfrowania SSL danych. Usługa Application Gateway obsługuje szyfrowanie ruchu między użytkownikami a bramą aplikacji oraz między serwerami aplikacji a bramą aplikacji.
Przerwanie połączenia SSL na poziomie bramy aplikacji zmniejsza obciążenie procesorów CPU serwerów związane z kończeniem żądań protokołu SSL. Nie musisz również instalować certyfikatów i konfigurować protokołu SSL na serwerach.
Jeśli potrzebujesz kompleksowego szyfrowania, usługa Application Gateway może odszyfrować ruch w bramie przy użyciu klucza prywatnego. Następnie ponownie szyfruje ruch przy użyciu klucza publicznego usługi uruchomionej w puli zaplecza.
Uwidacznianie witryny internetowej lub aplikacji internetowej za pośrednictwem bramy aplikacji oznacza również, że nie łączysz serwerów bezpośrednio z siecią Web. W usłudze Application Gateway udostępniany jest wyłącznie port 80 lub port 443. Serwery internetowe nie są bezpośrednio dostępne z Internetu, co zmniejsza obszar ataków infrastruktury.
Składniki usługi Application Gateway
Usługa Application Gateway zawiera kilka składników. Najważniejsze elementy z punktu widzenia szyfrowania to port frontonu, odbiornik i pula zaplecza.
Na poniższym obrazie pokazano, jak ruch przychodzący od klienta do usługi Application Gateway za pośrednictwem protokołu SSL jest odszyfrowywany, a następnie szyfrowany ponownie podczas przesyłania do serwera w puli zaplecza.
Port frontonu i odbiornik
Ruch przechodzi przez bramę za pośrednictwem portu frontonu. Można otworzyć kilka portów, a usługa Application Gateway może odbierać komunikaty na dowolnym z nich. Odbiornik jest pierwszą rzeczą, którą spełnia ruch podczas wprowadzania bramy za pośrednictwem portu. Skonfigurowano nasłuchiwanie określonej nazwy hosta i określonego portu na określonym adresie IP. Odbiornik może użyć certyfikatu SSL do odszyfrowania ruchu przychodzącego do bramy. Następnie używa zdefiniowanej reguły, aby przekierować żądania przychodzące do puli zaplecza.
Pula zaplecza
Pula zaplecza zawiera serwery aplikacji. Tymi serwerami mogą być na przykład maszyny wirtualne, zestaw skalowania maszyn wirtualnych lub aplikacje uruchomione w usłudze Azure App Service. Obciążenie związane z żądaniami przychodzącymi może być równoważone na wszystkich serwerach w tej puli. Pula zaplecza ma ustawienie protokołu HTTP, które odwołuje się do certyfikatu użytego do uwierzytelnienia serwerów zaplecza. Brama ponownie szyfruje ruch przy użyciu tego certyfikatu, a następnie wysyła go do jednego z serwerów w puli zaplecza.
Jeśli używasz usługi aplikacja systemu Azure do hostowania aplikacji zaplecza, nie musisz instalować żadnych certyfikatów w usłudze Application Gateway, aby nawiązać połączenie z pulą zaplecza. Cała komunikacja jest szyfrowana automatycznie. Usługa Application Gateway ufa serwerom, ponieważ zarządza nimi platforma Azure.