Gateway de Aplicativo e criptografia
Criptografar seus dados em trânsito é uma etapa importante para proteger seus aplicativos. Você pode comprar certificados de uma autoridade de certificação e usá-los para criptografar as mensagens que entram e saem de seus servidores. Essa criptografia impede que usuários não autorizados interceptem e examinem as informações nessas mensagens enquanto elas estão sendo transmitidas.
No portal de envio, a criptografia é importante, pois estamos lidando com envio de pedidos do cliente. Se alguém conseguir acessar os dados transmitidos, poderá visualizar informações confidenciais, como detalhes do cliente ou dados de contas financeiras.
Para ajudar a proteger esses dados, você pode usar o Gateway de Aplicativo do Azure. Ele criptografa os dados que estão cruzando a rede dos usuários para os servidores de aplicativos.
O Gateway de Aplicativo e seus benefícios
O Gateway de Aplicativo do Azure é um controlador de entrega do aplicativo. Ele fornece recursos como balanceamento de carga de tráfego HTTP, firewall de aplicativo Web e suporte para criptografia SSL de seus dados. O Gateway de Aplicativo dá suporte à criptografia de tráfego entre usuários e um gateway de aplicativo e entre servidores de aplicativo e um gateway de aplicativo.
Quando você encerra a conexão SSL no gateway de aplicativo, ele descarrega de seus servidores a carga de trabalho de terminação SSL que faz uso intenso de CPU. Além disso, você não precisa instalar certificados nem configurar SSL em seus servidores.
Se você precisar de criptografia de ponta a ponta, o Gateway de Aplicativo poderá descriptografar o tráfego no gateway usando sua chave privada. Em seguida, ele criptografa o tráfego novamente com a chave pública do serviço em execução no pool de back-end.
Expor o site ou aplicativo Web por meio do gateway de aplicativo também significa que você não conecta diretamente os servidores à Web. Você está expondo somente a porta 80 ou a porta 443 no gateway de aplicativo. Os servidores Web não estão diretamente acessíveis pela Internet, reduzindo a superfície de ataque da sua infraestrutura.
Componentes do Gateway de Aplicativo
O Gateway de Aplicativo tem em vários componentes. As principais partes para criptografia são a porta de front-end, o ouvinte e o pool de back-end.
A imagem a seguir mostra como o tráfego de entrada de um cliente para o Gateway de Aplicativo por SSL é descriptografado e então criptografado novamente ao ser enviado para um servidor no pool de back-end.
Ouvinte e a porta de front-end
O tráfego entra no gateway por meio de uma porta de front-end. Você pode abrir várias portas e o Gateway de Aplicativo pode receber mensagens em qualquer uma delas. Um ouvinte é o primeiro elemento que o tráfego encontra ao entrar no gateway por uma porta. Ele é configurado para escutar um nome do host específico e uma porta específica em um endereço IP específico. O ouvinte pode usar um certificado SSL para descriptografar o tráfego que entra no gateway. O ouvinte então usa uma regra que você define para direcionar as solicitações de entrada para um pool de back-end.
Pool de back-end
O pool de back-end contém os servidores de aplicativo. Esses servidores podem ser máquinas virtuais, um conjunto de dimensionamento de máquinas virtuais ou aplicativos em execução no Serviço de Aplicativo do Azure. É possível realizar o balanceamento de carga das solicitações recebidas entre os servidores nesse pool. O pool de back-end tem uma configuração de HTTP que faz referência a um certificado usado para autenticar os servidores de back-end. O gateway criptografa novamente o tráfego usando esse certificado antes de enviá-lo para um de seus servidores no pool de back-end.
Se você estiver usando o Serviço de Aplicativo do Azure para hospedar o aplicativo de back-end, não precisará instalar nenhum certificado no Gateway de Aplicativo para se conectar ao pool de back-end. Todas as comunicações são criptografadas automaticamente. O Gateway de Aplicativo confia nos servidores porque o Azure os gerencia.