Planear a entrega de aplicações
Esta secção explora as principais recomendações para fornecer aplicações internas e externas de forma segura, altamente dimensionável e de elevada disponibilidade.
Considerações de design:
Balanceador de Carga do Azure (interna e pública) fornece elevada disponibilidade para a entrega de aplicações a nível regional.
Gateway de Aplicação do Azure permite a entrega segura de aplicações HTTP/S a nível regional.
O Azure Front Door permite a entrega segura de aplicações HTTP/S de elevada disponibilidade em todas as regiões do Azure.
O Gestor de Tráfego do Azure permite a entrega de aplicações globais.
Recomendações de conceção:
Efetue a entrega de aplicações em zonas de destino para aplicações internas e externas.
- Trate o Gateway de Aplicação como um componente da aplicação e implemente-o numa rede virtual spoke e não como um recurso partilhado no hub.
- Para interpretar Firewall de Aplicações Web alertas, geralmente precisa de conhecimentos aprofundados sobre a aplicação para decidir se as mensagens que acionam esses alertas são legítimas.
- Poderá ter problemas de controlo de acesso baseado em funções se implementar Gateway de Aplicação no hub quando as equipas gerem aplicações diferentes, mas utilizar a mesma instância de Gateway de Aplicação. Em seguida, cada equipa tem acesso a toda a configuração Gateway de Aplicação.
- Se tratar Gateway de Aplicação como um recurso partilhado, poderá exceder os limites de Gateway de Aplicação do Azure.
- Leia mais sobre isto na rede de confiança zero para aplicações Web.
Para a entrega segura de aplicações HTTP/S, utilize Gateway de Aplicação v2 e certifique-se de que a proteção e as políticas da WAF estão ativadas.
Utilize uma NVA de parceiro se não conseguir utilizar Gateway de Aplicação v2 para a segurança das aplicações HTTP/S.
Implemente Gateway de Aplicação do Azure v2 ou NVAs de parceiro utilizadas para ligações HTTP/S de entrada na rede virtual de zona de destino e com as aplicações que estão a proteger.
Utilize um plano de proteção padrão DDoS para todos os endereços IP públicos numa zona de destino.
Utilize o Azure Front Door com políticas WAF para fornecer e ajudar a proteger aplicações HTTP/S globais que abrangem regiões do Azure.
Quando estiver a utilizar o Front Door e Gateway de Aplicação para ajudar a proteger aplicações HTTP/S, utilize políticas WAF no Front Door. Bloqueie Gateway de Aplicação para receber tráfego apenas do Front Door.
Utilize o Gestor de Tráfego para fornecer aplicações globais que abrangem protocolos diferentes de HTTP/S.