Sécuriser le trafic vers les origines Azure Front Door

Important

Azure Front Door (classique) va être mis hors service le 31 mars 2027. Pour éviter toute interruption de service, il est important que vous migriez vos profils Azure Front Door (classique) vers les niveaux Azure Front Door Standard ou Premium d’ici mars 2027. Pour plus d’informations, consultez Mise hors service d’Azure Front Door (classique).

Les fonctionnalités d’Azure Front Door fonctionnent mieux lorsque le trafic transite uniquement par Front Door. Vous devez configurer votre origine pour bloquer le trafic qui n’a pas été envoyé via Front Door. Sinon, le trafic peut contourner le pare-feu d’applications web de Front Door, la protection DDoS et d’autres fonctionnalités de sécurité.

Approche	Niveaux pris en charge
Private Link	Premium
Identités managées	Standard, Premium
Filtrage d'adresse IP	Classique, Standard, Premium
Identificateur Front Door	Classique, Standard, Premium

Remarque

Origin et groupe d’origin dans cet article font référence au serveur principal et au pool principal de la configuration Azure Front Door (classique).

Front Door propose plusieurs approches que vous pouvez utiliser pour restreindre votre trafic d’origine.

Origines activées pour Private Link

Lorsque vous utilisez le niveau Premium d’Azure Front Door, vous pouvez utiliser Private Link pour envoyer le trafic à votre origine. En savoir plus sur les origines de Private Link.

Vous devez configurer votre origine pour interdire le trafic qui ne passe pas par Private Link. La façon dont vous limitez le trafic dépend du type d’origine Private Link que vous utilisez :

Azure App Service et Azure Functions désactivent automatiquement l’accès via des points de terminaison Internet publics lorsque vous utilisez Private Link. Pour plus d’informations, consultez Utilisation de points de terminaison privés pour application web Azure.
Stockage Azure fournit un pare-feu, que vous pouvez utiliser pour refuser le trafic en provenance d’Internet. Pour plus d’informations, consultez Configurer Pare-feu et réseaux virtuels dans Stockage Azure.
Les équilibreurs de charge internes avec le service Azure Private Link ne sont pas routables publiquement. Vous pouvez également configurer des groupes de sécurité réseau pour vous assurer que vous n’autorisez pas l’accès à votre réseau virtuel à partir d’Internet.

Identités managées

Les identités managées fournies par l’ID Microsoft Entra permettent à votre instance Front Door d’accéder en toute sécurité à d’autres ressources protégées par Microsoft Entra, telles que stockage Blob Azure, sans avoir à gérer les informations d’identification. Après avoir activé l’identité managée pour Front Door et accordé les permissions nécessaires à l'identité managée pour votre origine, Front Door va utiliser l’identité managée pour obtenir un jeton d’accès auprès de Microsoft Entra ID afin d'accéder à la ressource spécifiée. Une fois le jeton obtenu, Front Door définit la valeur du jeton dans l’en-tête d’autorisation en utilisant le schéma Bearer, puis transfère la requête vers l’origine. Front Door met en cache le jeton jusqu’à son expiration. Pour plus d’informations, consultez Utiliser des identités managées pour s’authentifier à des origines (aperçu).

Origines basées sur les adresses IP publiques

Lorsque vous utilisez des origines basées sur des adresses IP publiques, vous devez utiliser deux approches ensemble pour vous assurer que le trafic transite par votre instance Front Door :

Configurez le filtrage d’adresses IP pour vous assurer que les demandes adressées à votre origine sont acceptées uniquement à partir des plages d’adresses IP Front Door.
Configurez votre application pour vérifier la valeur d’en-tête X-Azure-FDID, que Front Door attache à toutes les demandes à l’origine, et vérifiez que sa valeur correspond à l’identificateur de votre Front Door.

Filtrage d'adresse IP

Configurez le filtrage d’adresse IP pour vos origines de manière à accepter le trafic en provenance uniquement de l’espace d’adressage IP back-end d’Azure Front Door et des services d’infrastructure d’Azure.

L’étiquette de service AzureFrontDoor.Backend fournit la liste des adresses IP que Front Door utilise pour se connecter à vos origines. Vous pouvez utiliser cette étiquette de service dans vos règles de groupe de sécurité réseau. Vous pouvez également télécharger le jeu de données Plages d’adresses IP et étiquettes de service Azure, qui est régulièrement mis à jour avec les dernières adresses IP.

Vous devez également autoriser le trafic à partir des services d’infrastructure de base d’Azure via les adresses IP de l’hôte virtualisées 168.63.129.16 et 169.254.169.254.

Avertissement

L’espace d’adressage IP de Front Door change régulièrement. Veillez à utiliser l’étiquette de service AzureFrontDoor.Backend au lieu de coder en dur les adresses IP.

Identificateur Front Door

Le filtrage d’adresse IP ne suffit pas à sécuriser le trafic vers votre origine, car d’autres clients Azure utilisent les mêmes adresses IP. Vous devez également configurer votre origine pour vous assurer que le trafic provient de votre profil Front Door.

Azure génère un identificateur unique pour chaque profil Front Door. Vous trouverez l’identificateur dans le Portail Azure, en recherchant la valeur ID Front Door dans la page Vue d’ensemble de votre profil.

Lorsque Front Door effectue une demande à votre origine, elle ajoute l’en-tête de requête X-Azure-FDID. Votre origine doit inspecter l’en-tête des demandes entrantes et rejeter les demandes pour lesquelles la valeur ne correspond pas à l’identificateur de votre profil Front Door.

Exemple de configuration

Les exemples suivants montrent comment sécuriser différents types d’origines.

Vous pouvez utiliser des restrictions d’accès App Service pour effectuer le filtrage d’adresse IP ainsi que le filtrage d’en-tête. La fonctionnalité est fournie par la plateforme et vous n’avez pas besoin de modifier votre application ou votre hôte.

Application Gateway est déployé dans votre réseau virtuel. Configurez une règle de groupe de sécurité réseau pour autoriser l’accès entrant sur les ports 80 et 443 à partir de l’étiquette de service AzureFrontDoor.Backend et interdire le trafic entrant sur les ports 80 et 443 à partir de l’étiquette de service Internet.

Utilisez une règle waf (Web Application Firewall) personnalisée pour vérifier la valeur d’en-tête X-Azure-FDID . Pour plus d’informations, consultez Créer et utiliser des règles personnalisées de Web Application Firewall v2 sur Application Gateway.

Pour configurer le routage du trafic dans Azure Kubernetes Service (AKS) avec Application Gateway pour conteneurs, configurez une règle HTTPRoute pour qu’elle corresponde au trafic entrant d’Azure Front Door à l’aide de l’en-tête X-Azure-FDID.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

Lorsque vous exécutez Microsoft Internet Information Services (IIS) sur une machine virtuelle hébergée sur Azure, vous devez créer un groupe de sécurité réseau dans le réseau virtuel qui héberge la machine virtuelle. Configurez une règle de groupe de sécurité réseau pour autoriser l’accès entrant sur les ports 80 et 443 à partir de l’étiquette de service AzureFrontDoor.Backend et interdire le trafic entrant sur les ports 80 et 443 à partir de l’étiquette de service Internet.

Utilisez un fichier de configuration IIS comme dans l’exemple suivant pour inspecter l’en-tête X-Azure-FDID de vos demandes entrantes :

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Lorsque vous exécutez AKS avec un contrôleur d’entrée NGINX, vous devez créer un groupe de sécurité réseau dans le réseau virtuel qui héberge le cluster AKS. Configurez une règle de groupe de sécurité réseau pour autoriser l’accès entrant sur les ports 80 et 443 à partir de l’étiquette de service AzureFrontDoor.Backend et interdire le trafic entrant sur les ports 80 et 443 à partir de l’étiquette de service Internet.

Utilisez un fichier config d’entrée Kubernetes comme dans l’exemple suivant pour inspecter l’en-tête X-Azure-FDID de vos requêtes entrantes :

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Découvrez comment configurer un profil WAF sur Front Door.
Découvrez comment créer une porte d’entrée.
Découvrez comment fonctionne Front Door.

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-09-25