Sicherer Datenverkehr zu Azure Front Door-Ursprüngen

Die Features von Front Door funktionieren am besten, wenn der Datenverkehr nur durch Front Door fließt. Sie sollten Ihren Ursprung so konfigurieren, dass Datenverkehr blockiert wird, der nicht über front Door gesendet wurde. Andernfalls kann der Datenverkehr Front Door-Webanwendungsfirewall, DDoS-Schutz und andere Sicherheitsfeatures umgehen.

Hinweis

In diesem Artikel beziehen sich Ursprung und Ursprungsgruppe auf das Back-End und den Back-End-Pool der Konfiguration von Azure Front Door (klassisch).

Front Door bietet verschiedene Ansätze, mit denen Sie den Ursprungsdatenverkehr einschränken können.

Private Link-Ursprünge

Wenn Sie die Premium-SKU von Front Door verwenden, können Sie Private Link verwenden, um Datenverkehr an Ihren Ursprung zu senden. Erfahren Sie mehr über Private Link-Ursprünge.

Sie sollten Ihren Ursprung so konfigurieren, dass kein Datenverkehr über Private Link erfolgt. Die Art und Weise, wie Sie den Datenverkehr einschränken, hängt vom Typ der Private Link-Ursprungs ab, den Sie verwenden:

• Azure App Service und Azure Functions deaktivieren den Zugriff über öffentliche Internetendpunkte automatisch, wenn Sie Private Link verwenden. Weitere Informationen finden Sie unter Verwenden privater Endpunkte für eine Azure-Web-App (Vorschau).
• Azure Storage bietet eine Firewall, mit der Sie den Datenverkehr aus dem Internet verweigern können. Weitere Informationen finden Sie unter Konfigurieren von Firewalls und virtuellen Netzwerken in Azure Storage.
• Interne Lastenausgleiche mit Azure Private Link-Dienst können nicht öffentlich geroutet werden. Sie können auch Netzwerksicherheitsgruppen konfigurieren, um sicherzustellen, dass der Zugriff auf Ihr virtuelles Netzwerk vom Internet aus nicht zulässig ist.

Auf öffentlichen IP-Adressen basierende Ursprünge

Wenn Sie auf öffentlichen IP-Adressen basierende Ursprünge verwenden, sollten Sie zwei Ansätze zusammen verwenden, um sicherzustellen, dass der Datenverkehr über Ihre Front Door-Instanz fließt:

• Konfigurieren Sie die IP-Adressfilterung, um sicherzustellen, dass Anforderungen an Ihren Ursprung nur aus den Front Door-IP-Adressräumen akzeptiert werden.
• Konfigurieren Sie Ihre Anwendung, um den X-Azure-FDID-Headerwert zu überprüfen, den Front Door allen Anforderungen an den Ursprung anfügt, und stellen Sie sicher, dass der Wert Ihrem Front Door-Bezeichner entspricht.

Filterung von IP-Adressen

Konfigurieren Sie die Filterung von IP-Adressen für Ihre Ursprünge so, dass sie nur Datenverkehr aus dem Back-End-IP-Adressraum von Azure Front Door und den Infrastrukturdiensten von Azure akzeptieren.

Das AzureFrontDoor.BackEnd-Diensttag stellt eine Liste der IP-Adressen bereit, die Front Door zum Herstellen einer Verbindung mit Ihren Ursprüngen verwendet. Sie können dieses Diensttag in Ihren Netzwerksicherheitsgruppenregeln verwenden. Sie können auch die Azure-IP-Bereiche und Diensttagdatensätze herunterladen, die regelmäßig mit den neuesten IP-Adressen aktualisiert werden.

Sie sollten auch den Datenverkehr von den grundlegenden Infrastrukturdiensten von Azure über die virtualisierten Host-IP-Adressen 168.63.129.16 und 169.254.169.254 zulassen.

Warnung

Der IP-Adressraum von Front Door ändert sich regelmäßig. Stellen Sie sicher, dass Sie das AzureFrontDoor.Backend-Diensttag anstelle hartcodierter IP-Adressen verwenden.

Front Door-Bezeichner

Die IP-Adressfilterung allein reicht nicht aus, um den Datenverkehr an Ihren Ursprung zu sichern, da andere Azure-Kunden dieselben IP-Adressen verwenden. Sie sollten auch Ihren Ursprung konfigurieren, um sicherzustellen, dass der Datenverkehr aus Ihrem Front Door-Profil stammt.

Azure generiert einen eindeutigen Bezeichner für jedes Front Door-Profil. Sie finden den Bezeichner im Azure-Portal, indem Sie auf der Seite „Übersicht“ Ihres Profils nach dem Front Door ID-Wert suchen.

Wenn Front Door eine Anforderung an Ihren Ursprung stellt, wird der X-Azure-FDID-Anforderungsheader hinzugefügt. Ihr Ursprung sollte den Header auf eingehende Anforderungen überprüfen und Anforderungen ablehnen, bei denen der Wert nicht mit dem Bezeichner des Front Door-Profils übereinstimmt.

Beispielkonfiguration

In den folgenden Beispielen wird gezeigt, wie Sie verschiedene Arten von Ursprüngen sichern können.

Azure App Service und Functions

Sie können App Service-Zugriffsbeschränkungen verwenden, um die IP-Adressfilterung sowie die Headerfilterung auszuführen. Die Funktion wird von der Plattform bereitgestellt, und Sie müssen Ihre Anwendung oder Ihren Host nicht ändern.

Application Gateway

Application Gateway wird in Ihrem virtuellen Netzwerk bereitgestellt. Konfigurieren Sie eine Netzwerksicherheitsgruppenregel, um den eingehenden Zugriff auf Ports 80 und 443 vom AzureFrontDoor.Backend-Diensttag aus zuzulassen und vom Internet-Diensttag aus nicht zuzulassen.

Verwenden Sie eine benutzerdefinierte WAF-Regel, um den X-Azure-FDID-Headerwert zu überprüfen. Weitere Informationen finden Sie unter Erstellen und Verwenden von benutzerdefinierten Regeln für Web Application Firewall v2 auf Application Gateway.

IIS

Wenn Sie Microsoft-Internetinformationsdienste (Internet Information Services, IIS) auf einem von Azure gehosteten virtuellen Computer ausführen, sollten Sie eine Netzwerksicherheitsgruppe im virtuellen Netzwerk erstellen, das den virtuellen Computer hostet. Konfigurieren Sie eine Netzwerksicherheitsgruppenregel, um den eingehenden Zugriff auf Ports 80 und 443 vom AzureFrontDoor.Backend-Diensttag aus zuzulassen und vom Internet-Diensttag aus nicht zuzulassen.

Verwenden Sie eine IIS-Konfigurationsdatei wie im folgenden Beispiel, um den X-Azure-FDID-Header in Ihren eingehenden Anforderungen zu überprüfen:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS NGINX-Controller

Wenn Sie AKS mit einem NGINX-Eingangsdatencontroller ausführen, sollten Sie eine Netzwerksicherheitsgruppe im virtuellen Netzwerk erstellen, das den AKS-Cluster hostet. Konfigurieren Sie eine Netzwerksicherheitsgruppenregel, um den eingehenden Zugriff auf Ports 80 und 443 vom AzureFrontDoor.Backend-Diensttag aus zuzulassen und vom Internet-Diensttag aus nicht zuzulassen.

Verwenden Sie eine Kubernetes-Eingangskonfigurationsdatei wie im folgenden Beispiel, um den X-Azure-FDID-Header in Ihren eingehenden Anforderungen zu überprüfen:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Nächste Schritte

• Erfahren Sie, wie Sie ein WAF-Profil auf Front Door konfigurieren.
• Erfahren Sie mehr über das Erstellen einer Front Door-Instanz.
• Informieren Sie sich über die Funktionsweise von Azure Front Door Service.