Tráfego seguro para as origens do Azure Front Door
Os recursos do Front Door funcionam melhor quando o tráfego flui somente pelo Front Door. É necessário configurar a origem para bloquear tráfegos que não sejam enviados pelo Front Door. Caso contrário, eles poderão ignorar o firewall do aplicativo Web do Front Door, a Proteção contra DDoS e outros recursos de segurança.
Observação
Neste artigo, uma Origem e um grupo de origem se referem ao back-end e ao pool de back-end da configuração do Azure Front Door (clássico).
O Front Door fornece diversas abordagens de restrição do tráfego de origem.
Origens de Link Privado
Ao usar o SKU Premium do Front Door, é possível usar o Link Privado para enviar tráfegos para a origem. Saiba mais sobre as origens do Link Privado.
É necessário configurar a origem para não permitir tráfegos que não venham do Link Privado. A maneira de restringir o tráfego depende do tipo de origem do Link Privado usado:
- O Serviço de Aplicativo do Azure e o Azure Functions desabilitam automaticamente o acesso por meio de pontos de extremidade de Internet públicos ao usar o Link Privado. Para obter mais informações, confira Uso de Pontos de Extremidade Privados para o Aplicativo Web do Azure.
- O Armazenamento do Azure fornece um firewall que pode ser usado para negar o tráfego da Internet. Para saber mais, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure.
- Os balanceadores de carga internos com o serviço de Link Privado do Azure não são roteáveis publicamente. Também é possível configurar grupos de segurança de rede para garantir que o acesso à rede virtual pela Internet não seja permitido.
Origens baseadas em endereço IP público
Ao usar as origens baseadas em endereço IP público, há duas abordagens que devem ser usadas juntas para garantir que o tráfego flua pela instância do Front Door:
- Configure a filtragem de endereços IP para garantir que as solicitações para a origem sejam aceitas somente dos intervalos de endereços IP do Front Door.
- Configure o aplicativo para verificar o valor do cabeçalho
X-Azure-FDID
, que o Front Door anexa a todas as solicitações que são feitas à origem, e certifique-se de que o valor corresponda ao identificador do Front Door.
Filtragem de endereço IP
Configure a filtragem de endereço IP das origens para aceitar tráfegos somente do espaço de endereços IP de back-end do Azure Front Door e dos serviços de infraestrutura do Azure.
A marca de serviço AzureFrontDoor.Backend fornece uma lista dos endereços IP usados pelo Front Door para se conectar às origens. É possível usar essa marca de serviço nas regras do grupo de segurança de rede. Também é possível baixar o conjunto de dados de Intervalos de IP e marcas de serviço do Azure, que é atualizado regularmente com os endereços IP mais recentes.
Também é recomendado permitir o tráfego dos serviços de infraestrutura básica do Azure por meio dos endereços IP de host virtualizado 168.63.129.16
e 169.254.169.254
.
Aviso
O espaço de endereços IP do Front Door muda regularmente. Certifique-se de usar a marca de serviço AzureFrontDoor.Backend em vez de endereços IP de hard-coding.
Identificador do Front Door
A filtragem de endereços IP por si só não é suficiente para proteger o tráfego para a origem, pois outros clientes do Azure usam os mesmos endereços IP. Também é necessário configurar a origem para garantir que o tráfego tenha origem no seu perfil do Front Door.
O Azure gera um identificador exclusivo para cada perfil do Front Door. É possível encontrar o identificador no portal do Azure procurando o valor da ID do Front Door na página “Visão geral” do perfil.
Quando o Front Door faz uma solicitação à origem, ele adiciona o cabeçalho de solicitação X-Azure-FDID
. A origem deve inspecionar o cabeçalho das solicitações recebidas e rejeitar aquelas em que o valor não corresponde ao identificador do perfil do Front Door.
Configuração de exemplo
Os exemplos a seguir mostram como proteger diferentes tipos de origens.
- Serviço de Aplicativo e funções
- Gateway de Aplicativo
- Gateway de Aplicativos para Contêineres
- IIS
- Controlador NGINX do AKS
É possível usar as restrições de acesso do Serviço de Aplicativo para realizar a filtragem de endereços IP, bem como a filtragem de cabeçalhos. O recurso é fornecido pela plataforma e não é necessário alterar o aplicativo ou host.
Próximas etapas
- Saiba como configurar um perfil WAF no Front Door.
- Saiba como criar um Front Door.
- Saiba como o Front Door funciona.