Usługa Application Gateway i szyfrowanie
Szyfrowanie danych podczas ich przesyłania jest ważnym krokiem w kierunku zabezpieczenia aplikacji. Certyfikaty można kupić od urzędu certyfikacji i używać ich do szyfrowania komunikatów przekazywanych i wychodzących z serwerów. To szyfrowanie uniemożliwia nieautoryzowanym użytkownikom przechwytywanie i badanie informacji w tych komunikatach podczas ich przesyłania.
W portalu wysyłkowym szyfrowanie jest ważne, ponieważ zajmujemy się wysyłką zamówień klientów. Jeśli ktoś może uzyskać dostęp do przesyłanych danych, może wyświetlać poufne informacje, takie jak szczegóły klienta lub dane konta finansowego.
Aby zabezpieczyć te dane, możesz użyć usługi Azure Application Gateway. Szyfruje dane przechodzące przez sieć od użytkowników do serwerów aplikacji.
Usługa Application Gateway i jej zalety
Usługa Azure Application Gateway jest kontrolerem dostarczania aplikacji. Udostępnia funkcje, takie jak równoważenie obciążenia ruchu HTTP, zapora aplikacji internetowej i obsługa szyfrowania SSL danych. Usługa Application Gateway obsługuje szyfrowanie ruchu między użytkownikami a bramą aplikacji oraz między serwerami aplikacji a bramą aplikacji.
Po zakończeniu połączenia SSL w bramie aplikacji, odciąża to procesory serwerów, z których zdejmuje się intensywne obciążenie związane z obsługą SSL. Ponadto nie trzeba instalować certyfikatów i konfigurować protokołu SSL na serwerach.
Jeśli potrzebujesz kompleksowego szyfrowania, usługa Application Gateway może odszyfrować ruch w bramie przy użyciu klucza prywatnego. Następnie ponownie szyfruje ruch przy użyciu klucza publicznego usługi uruchomionej w grupie serwerów zaplecza.
Uwidacznianie witryny internetowej lub aplikacji internetowej za pośrednictwem bramy aplikacji oznacza również, że nie łączysz serwerów bezpośrednio z siecią Web. Udostępniasz tylko port 80 lub port 443 na bramie aplikacji. Twoje serwery sieciowe nie są bezpośrednio dostępne z Internetu, co zmniejsza powierzchnię ataku twojej infrastruktury.
Składniki usługi Application Gateway
Usługa Application Gateway ma kilka składników. Główne elementy szyfrowania to port frontend, nasłuchiwacz i pula backend.
Na poniższej ilustracji przedstawiono sposób odszyfrowywania ruchu przychodzącego z klienta do usługi Application Gateway za pośrednictwem protokołu SSL, a następnie ponownego szyfrowania po wysłaniu go do serwera w puli zaplecza.
Port i nasłuchiwacz frontendowy
Ruch wchodzi do bramy za pośrednictwem portu frontend. Możesz otworzyć wiele portów, a usługa Application Gateway może odbierać komunikaty na dowolnym z tych portów. Słuchacz jest pierwszą rzeczą, którą napotyka ruch, gdy wprowadza się do bramy przez port. Skonfigurowano nasłuchiwanie określonej nazwy hosta i określonego portu na określonym adresie IP. Odbiornik może użyć certyfikatu SSL, aby odszyfrować ruch, który przechodzi do bramy. Następnie odbiornik używa zdefiniowanej przez Ciebie reguły do przekierowywania przychodzących żądań do odpowiedniej puli zaplecza.
Pula serwerów zaplecza
Pula zaplecza zawiera serwery aplikacji. Te serwery mogą być maszynami wirtualnymi, zestawem skalowania maszyn wirtualnych lub aplikacjami działającymi w usłudze Azure App Service. Przychodzące żądania mogą być równomiernie rozdzielane pomiędzy serwery w tej puli. Zaplecze serwerowe ma ustawienie HTTP, które odwołuje się do certyfikatu używanego do uwierzytelniania serwerów zaplecza. Brama sieciowa ponownie szyfruje ruch za pomocą tego certyfikatu przed wysłaniem go do jednego z serwerów w puli serwerów zaplecza.
Jeśli używasz usługi Azure App Service do hostowania aplikacji zaplecza, nie musisz instalować żadnych certyfikatów w usłudze Application Gateway, aby nawiązać połączenie z pulą zaplecza. Cała komunikacja jest automatycznie szyfrowana. Usługa Application Gateway ufa serwerom, ponieważ platforma Azure zarządza nimi.