Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Le funzionalità di Frontdoor funzionano meglio quando il traffico passa solo attraverso Frontdoor. È consigliabile configurare l'origine per bloccare il traffico che non è stato inviato tramite Frontdoor. In caso contrario, il traffico potrebbe ignorare il web application firewall di Frontdoor, la protezione DDoS e altre funzionalità di sicurezza.
Nota
origine e gruppo di origine in questo articolo si riferiscono al back-end e al pool back-end della configurazione di Frontdoor di Azure (versione classica).
Frontdoor offre diversi approcci che è possibile usare per limitare il traffico di origine.
Origini collegamento privato
Quando si usa lo SKU Premium di Frontdoor, è possibile usare il collegamento privato per inviare il traffico all'origine. Altre informazioni sulle origini del collegamento privato.
È consigliabile configurare l'origine per impedire il traffico che non passa attraverso il collegamento privato. Il modo in cui si limita il traffico dipende dal tipo di origine del collegamento privato usato:
- Servizio app di Azure e Funzioni di Azure disabilitano automaticamente l'accesso tramite endpoint Internet pubblici quando si usa il collegamento privato. Per altre informazioni, vedere Uso di endpoint privati per l'app Web di Azure.
- Archiviazione di Azure offre un firewall, che è possibile usare per negare il traffico da Internet. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
- I servizi di bilanciamento del carico interni con il servizio Collegamento privato di Azure non sono indirizzabili pubblicamente. È anche possibile configurare gruppi di sicurezza di rete per assicurarsi di non consentire l'accesso alla rete virtuale da Internet.
Identità gestite
Le identità gestite fornite da Microsoft Entra ID consentono all'istanza di Frontdoor di accedere in modo sicuro ad altre risorse protette di Microsoft Entra, ad esempio Archiviazione BLOB di Azure, senza la necessità di gestire le credenziali. Dopo aver abilitato l'identità gestita per Frontdoor e aver concesso le autorizzazioni necessarie per l'identità gestita all'origine, Frontdoor userà l'identità gestita per ottenere un token di accesso dall'ID Microsoft Entra per accedere alla risorsa specificata. Dopo aver ottenuto correttamente il token, Frontdoor imposta il valore del token nell'intestazione authorization usando lo schema Bearer e quindi inoltra la richiesta all'origine. Frontdoor memorizza nella cache il token fino alla scadenza. Per altre informazioni, vedere Usare le identità gestite per l'autenticazione alle origini (anteprima).
Origini basate su indirizzi IP pubblici
Quando si usano origini basate su indirizzi IP pubblici, è consigliabile usare due approcci per garantire che il traffico passi attraverso l'istanza di Frontdoor:
- Configurare il filtro degli indirizzi IP per assicurarsi che le richieste all'origine vengano accettate solo dagli intervalli di indirizzi IP di Frontdoor.
- Configurare l'applicazione per verificare il valore dell'intestazione
X-Azure-FDID
, che Frontdoor collega a tutte le richieste all'origine e verificare che il relativo valore corrisponda all'identificatore di Frontdoor.
Filtro indirizzi IP
Configurare il filtro degli indirizzi IP per le origini per accettare il traffico dallo spazio indirizzi IP back-end di Frontdoor di Azure e solo dai servizi di infrastruttura di Azure.
Il tag del servizio AzureFrontDoor.Backend fornisce un elenco degli indirizzi IP usati da Frontdoor per connettersi alle origini. È possibile usare questo tag di servizio all'interno delle regole del gruppo di sicurezza di rete. È anche possibile scaricare il set di dati Intervalli IP e tag di servizio di Azure, che viene aggiornato regolarmente con gli indirizzi IP più recenti.
È anche consigliabile consentire il traffico dai servizi di infrastruttura di base di Azure tramite gli indirizzi IP host virtualizzati 168.63.129.16
e 169.254.169.254
.
Avviso
Lo spazio indirizzi IP di Frontdoor cambia regolarmente. Assicurarsi di usare il tag di servizio AzureFrontDoor.Backend anziché gli indirizzi IP hardcoded.
Identificatore Frontdoor
Il filtro degli indirizzi IP da solo non è sufficiente per proteggere il traffico verso l'origine, perché altri clienti di Azure usano gli stessi indirizzi IP. È anche necessario configurare l'origine per assicurarsi che il traffico abbia avuto origine da profilo di Frontdoor.
Azure genera un identificatore univoco per ogni profilo di Frontdoor. È possibile trovare l'identificatore nel portale di Azure cercando il valore ID Frontdoor nella pagina Panoramica del profilo.
Quando Frontdoor effettua una richiesta all'origine, aggiunge l'intestazione della richiesta X-Azure-FDID
. L'origine deve esaminare l'intestazione sulle richieste in ingresso e rifiutare le richieste in cui il valore non corrisponde all'identificatore del profilo Frontdoor.
Configurazione di esempio
Negli esempi seguenti viene illustrato come proteggere diversi tipi di origini.
- Servizio app e funzioni
- Gateway applicazione
- Gateway applicativo per contenitori
- IIS
- Controller NGINX del servizio Azure Kubernetes
È possibile usare restrizioni di accesso al servizio app per filtrare gli indirizzi IP e filtrare le intestazioni. La funzionalità è fornita dalla piattaforma e non è necessario modificare l'applicazione o l'host.
Passaggi successivi
- Informazioni su come configurare un profilo WAF in Frontdoor.
- Informazioni su come creare una Frontdoor.
- Informazioni sul funzionamento di Frontdoor.