Tráfego seguro para origens do Azure Front Door
As funcionalidades do Front Door funcionam melhor quando o tráfego flui apenas através do Front Door. Você deve configurar sua origem para bloquear o tráfego que não foi enviado pela Front Door. Caso contrário, o tráfego pode ignorar o firewall do aplicativo Web do Front Door, a proteção contra DDoS e outros recursos de segurança.
Nota
O grupo de origem e origem neste artigo refere-se ao pool de back-end e back-end da configuração (clássica) do Azure Front Door.
O Front Door fornece várias abordagens que você pode usar para restringir seu tráfego de origem.
Origens do Link Privado
Quando você usa o SKU premium do Front Door, você pode usar o Private Link para enviar tráfego para sua origem. Saiba mais sobre as origens do Private Link.
Você deve configurar sua origem para não permitir tráfego que não vem através do Private Link. A maneira como você restringe o tráfego depende do tipo de origem do Link Privado que você usa:
- O Serviço de Aplicativo do Azure e o Azure Functions desabilitam automaticamente o acesso por meio de pontos de extremidade públicos da Internet quando você usa o Link Privado. Para obter mais informações, consulte Usando pontos de extremidade privados para o Azure Web App.
- O Armazenamento do Azure fornece um firewall, que você pode usar para negar o tráfego da Internet. Para obter mais informações, veja Configurar firewalls e redes virtuais do Armazenamento do Microsoft Azure.
- Os balanceadores de carga internos com o serviço de Link Privado do Azure não são roteáveis publicamente. Também pode configurar grupos de segurança de rede para garantir que não permite o acesso à sua rede virtual a partir da Internet.
Origens baseadas em endereços IP públicos
Quando você usa origens baseadas em endereço IP público, há duas abordagens que você deve usar juntas para garantir que o tráfego flua através de sua instância do Front Door:
- Configure a filtragem de endereços IP para garantir que as solicitações à sua origem só sejam aceitas a partir dos intervalos de endereços IP da Front Door.
- Configure seu aplicativo para verificar o valor do
X-Azure-FDID
cabeçalho, que o Front Door anexa a todas as solicitações à origem, e certifique-se de que seu valor corresponda ao identificador do seu Front Door.
Filtragem de endereços IP
Configure a filtragem de endereços IP para suas origens para aceitar o tráfego do espaço de endereço IP de back-end do Azure Front Door e somente dos serviços de infraestrutura do Azure.
A marca de serviço AzureFrontDoor.Backend fornece uma lista dos endereços IP que o Front Door usa para se conectar às suas origens. Pode utilizar esta etiqueta de serviço nas regras do seu grupo de segurança de rede. Você também pode baixar o conjunto de dados Intervalos de IP e Tags de Serviço do Azure, que é atualizado regularmente com os endereços IP mais recentes.
Você também deve permitir o tráfego dos serviços básicos de infraestrutura do Azure por meio dos endereços 168.63.129.16
IP do host virtualizado e 169.254.169.254
do .
Aviso
O espaço de endereço IP do Front Door muda regularmente. Certifique-se de usar a marca de serviço AzureFrontDoor.Backend em vez de codificar endereços IP.
Identificador da porta dianteira
A filtragem de endereços IP por si só não é suficiente para proteger o tráfego para a sua origem, porque outros clientes do Azure usam os mesmos endereços IP. Você também deve configurar sua origem para garantir que o tráfego tenha se originado do seu perfil da porta da frente.
O Azure gera um identificador exclusivo para cada perfil de Front Door. Você pode encontrar o identificador no portal do Azure, procurando o valor de ID da porta frontal na página Visão geral do seu perfil.
Quando o Front Door faz uma solicitação à sua origem, ele adiciona o cabeçalho da X-Azure-FDID
solicitação. Sua origem deve inspecionar o cabeçalho em solicitações recebidas e rejeitar solicitações em que o valor não corresponda ao identificador do seu perfil Front Door.
Configuração de exemplo
Os exemplos a seguir mostram como você pode proteger diferentes tipos de origens.
- Serviço de aplicativo e funções
- Gateway de Aplicação
- Gateway de aplicativo para contêineres
- IIS
- Controlador AKS NGINX
Você pode usar as restrições de acesso do Serviço de Aplicativo para executar a filtragem de endereços IP, bem como a filtragem de cabeçalho. O recurso é fornecido pela plataforma e você não precisa alterar seu aplicativo ou host.
Próximos passos
- Saiba como configurar um perfil WAF no Front Door.
- Saiba como criar um Front Door.
- Saiba como funciona o Front Door.