Proteggere il traffico verso le origini di Frontdoor di Azure

Le funzionalità di Frontdoor funzionano meglio quando il traffico passa solo attraverso Frontdoor. È consigliabile configurare l'origine per bloccare il traffico che non è stato inviato tramite Frontdoor. In caso contrario, il traffico potrebbe ignorare il web application firewall di Frontdoor, la protezione DDoS e altre funzionalità di sicurezza.

Nota

origine e gruppo di origine in questo articolo si riferiscono al back-end e al pool back-end della configurazione di Frontdoor di Azure (versione classica).

Frontdoor offre diversi approcci che è possibile usare per limitare il traffico di origine.

Origini collegamento privato

Quando si usa lo SKU Premium di Frontdoor, è possibile usare il collegamento privato per inviare il traffico all'origine. Altre informazioni sulle origini del collegamento privato.

È consigliabile configurare l'origine per impedire il traffico che non passa attraverso il collegamento privato. Il modo in cui si limita il traffico dipende dal tipo di origine del collegamento privato usato:

• Servizio app di Azure e Funzioni di Azure disabilitano automaticamente l'accesso tramite endpoint Internet pubblici quando si usa il collegamento privato. Per altre informazioni, vedere Uso di endpoint privati per l'app Web di Azure.
• Archiviazione di Azure offre un firewall, che è possibile usare per negare il traffico da Internet. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
• I servizi di bilanciamento del carico interni con il servizio Collegamento privato di Azure non sono indirizzabili pubblicamente. È anche possibile configurare gruppi di sicurezza di rete per assicurarsi di non consentire l'accesso alla rete virtuale da Internet.

Origini basate su indirizzi IP pubblici

Quando si usano origini basate su indirizzi IP pubblici, è consigliabile usare due approcci per garantire che il traffico passi attraverso l'istanza di Frontdoor:

• Configurare il filtro degli indirizzi IP per assicurarsi che le richieste all'origine vengano accettate solo dagli intervalli di indirizzi IP di Frontdoor.
• Configurare l'applicazione per verificare il valore dell'intestazione X-Azure-FDID, che Frontdoor collega a tutte le richieste all'origine e verificare che il relativo valore corrisponda all'identificatore di Frontdoor.

Filtro indirizzi IP

Configurare il filtro degli indirizzi IP per le origini per accettare il traffico dallo spazio indirizzi IP back-end di Frontdoor di Azure e solo dai servizi di infrastruttura di Azure.

Il tag del servizio AzureFrontDoor.Backend fornisce un elenco degli indirizzi IP usati da Frontdoor per connettersi alle origini. È possibile usare questo tag di servizio all'interno delle regole del gruppo di sicurezza di rete. È anche possibile scaricare il set di dati Intervalli IP e tag di servizio di Azure, che viene aggiornato regolarmente con gli indirizzi IP più recenti.

È anche consigliabile consentire il traffico dai servizi di infrastruttura di base di Azure tramite gli indirizzi IP host virtualizzati 168.63.129.16 e 169.254.169.254.

Avviso

Lo spazio indirizzi IP di Frontdoor cambia regolarmente. Assicurarsi di usare il tag di servizio AzureFrontDoor.Backend anziché gli indirizzi IP hardcoded.

Identificatore Frontdoor

Il filtro degli indirizzi IP da solo non è sufficiente per proteggere il traffico verso l'origine, perché altri clienti di Azure usano gli stessi indirizzi IP. È anche necessario configurare l'origine per assicurarsi che il traffico abbia avuto origine da profilo di Frontdoor.

Azure genera un identificatore univoco per ogni profilo di Frontdoor. È possibile trovare l'identificatore nel portale di Azure cercando il valore ID Frontdoor nella pagina Panoramica del profilo.

Quando Frontdoor effettua una richiesta all'origine, aggiunge l'intestazione della richiesta X-Azure-FDID. L'origine deve esaminare l'intestazione sulle richieste in ingresso e rifiutare le richieste in cui il valore non corrisponde all'identificatore del profilo Frontdoor.

Configurazione di esempio

Negli esempi seguenti viene illustrato come proteggere diversi tipi di origini.

Servizio app e funzioni

È possibile usare restrizioni di accesso al servizio app per filtrare gli indirizzi IP e filtrare le intestazioni. La funzionalità è fornita dalla piattaforma e non è necessario modificare l'applicazione o l'host.

Gateway applicazione

Il gateway applicazione viene distribuito nella rete virtuale. Configurare una regola del gruppo di sicurezza di rete per consentire l'accesso in ingresso sulle porte 80 e 443 dal tag del servizio AzureFrontDoor.Backend e impedire il traffico in ingresso sulle porte 80 e 443 dal tag del servizio Internet.

Usare una regola WAF personalizzata per controllare il valore dell'intestazione X-Azure-FDID. Per altre informazioni, vedere Creare e usare regole personalizzate di Web Application Firewall v2 nel gateway applicazione.

IIS

Quando si esegue Microsoft Internet Information Services (IIS) in una macchina virtuale ospitata in Azure, è necessario creare un gruppo di sicurezza di rete nella rete virtuale che ospita la macchina virtuale. Configurare una regola del gruppo di sicurezza di rete per consentire l'accesso in ingresso sulle porte 80 e 443 dal tag del servizio AzureFrontDoor.Backend e impedire il traffico in ingresso sulle porte 80 e 443 dal tag del servizio Internet.

Usare un file di configurazione IIS come nell'esempio seguente per esaminare l'intestazione X-Azure-FDID nelle richieste in ingresso:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Controller NGINX del servizio Azure Kubernetes

Quando si esegue il servizio Azure Kubernetes con un controller di ingresso NGINX, è necessario creare un gruppo di sicurezza di rete nella rete virtuale che ospita il cluster del servizio Azure Kubernetes. Configurare una regola del gruppo di sicurezza di rete per consentire l'accesso in ingresso sulle porte 80 e 443 dal tag del servizio AzureFrontDoor.Backend e impedire il traffico in ingresso sulle porte 80 e 443 dal tag del servizio Internet.

Usare un file di configurazione in ingresso Kubernetes come nell'esempio seguente per esaminare l'intestazione X-Azure-FDID nelle richieste in ingresso:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Passaggi successivi

• Informazioni su come configurare un profilo WAF in Frontdoor.
• Informazioni su come creare una Frontdoor.
• Informazioni sul funzionamento di Frontdoor.