Поделиться через

Планирование доставки приложений

  • Статья

В этой статье приведены ключевые рекомендации по безопасной доставке внутренних и внешних приложений с высоким уровнем доступности и масштабируемости.

Рекомендации по проектированию:

  • Azure Load Balancer (внутренний и общедоступный экземпляры) обеспечивает высокий уровень доступности для доставки приложений на региональном уровне.

  • Шлюз приложений Azure обеспечивает безопасную доставку приложений HTTP/S на региональном уровне.

  • Azure Front Door обеспечивает безопасную доставку высокодоступных приложений HTTP/S в регионах Azure.

  • Диспетчер трафика Azure позволяет доставлять глобальные приложения.

Рекомендации по проектированию:

  • Выполните доставку внутренних и внешних приложений в целевых зонах.

    • Рассматривайте Шлюз приложений как компонент приложения и развертывайте его в периферийной виртуальной сети, а не как общий ресурс в концентраторе.
    • Для интерпретации Брандмауэр веб-приложений оповещений обычно требуются глубокие знания о приложении, чтобы решить, являются ли сообщения, вызывающие эти оповещения, допустимыми.
    • Вы можете столкнуться с проблемами управления доступом на основе ролей при развертывании Шлюз приложений в центре, когда команды управляют разными приложениями, но используют один и тот же экземпляр Шлюз приложений. У каждой команды есть доступ ко всей конфигурации Шлюза приложений.
    • Если вы рассматриваете Шлюз приложений как общий ресурс, вы можете превысить пределы Шлюза приложений Azure.
    • Дополнительные сведения см. в статье Сеть с нулевым доверием для веб-приложений.

  • Для безопасной доставки приложений HTTP/S используйте шлюз приложений версии 2 и убедитесь, что включена защита и политики WAF.

  • Если не получается использовать шлюз приложений версии 2 для обеспечения безопасности приложений HTTP/S, используйте партнера NVA.

  • Разверните шлюз приложений Azure версии 2 или партнера NVA, используемого для входящих подключений HTTP/S в виртуальной сети целевой зоны, а также с приложениями, которые они защищают.

  • Используйте стандартный план защиты от DDoS-атак для всех общедоступных IP-адресов в целевой зоне.

  • Используйте Azure Front Door с политиками WAF для доставки и защиты глобальных приложений HTTP/S, охватывающих регионы Azure.

  • Если вы используете Azure Front Door и шлюз приложений Azure для защиты приложений HTTP/S, используйте политики WAF в Azure Front Door. Заблокируйте шлюз приложений, чтобы принимать трафик только из Azure Front Door.

  • Используйте Диспетчер трафика Azure для доставки глобальных приложений, использующих протоколы, отличные от HTTP/S.