Proteggere il traffico verso le origini di Frontdoor di Azure

Le funzionalità di Frontdoor funzionano meglio quando il traffico passa solo attraverso Frontdoor. È consigliabile configurare l'origine per bloccare il traffico che non è stato inviato tramite Frontdoor. In caso contrario, il traffico potrebbe ignorare il web application firewall di Frontdoor, la protezione DDoS e altre funzionalità di sicurezza.

Nota

Origine e gruppo di origine in questo articolo si riferisce al back-end e al pool back-end della configurazione di Frontdoor di Azure (versione classica).

Frontdoor offre diversi approcci che è possibile usare per limitare il traffico di origine.

origini collegamento privato

Quando si usa lo SKU Premium di Frontdoor, è possibile usare collegamento privato per inviare il traffico all'origine. Altre informazioni sulle origini di collegamento privato.

È consigliabile configurare l'origine per impedire il traffico che non passa attraverso collegamento privato. Il modo in cui si limita il traffico dipende dal tipo di origine collegamento privato in uso:

• app Azure Servizio e Funzioni di Azure disabilitare automaticamente l'accesso tramite endpoint Internet pubblici quando si usa collegamento privato. Per altre informazioni, vedere Uso di endpoint privati per l'app Web di Azure.
• Archiviazione di Azure fornisce un firewall, che è possibile usare per negare il traffico da Internet. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
• I servizi di bilanciamento del carico interni con collegamento privato di Azure servizio non sono indirizzabili pubblicamente. È anche possibile configurare gruppi di sicurezza di rete per assicurarsi di non consentire l'accesso alla rete virtuale da Internet.

Origini basate su indirizzi IP pubblici

Quando si usano origini basate su indirizzi IP pubblici, è consigliabile usare due approcci per garantire che il traffico passi attraverso l'istanza di Frontdoor:

• Configurare il filtro degli indirizzi IP per assicurarsi che le richieste all'origine vengano accettate solo dagli intervalli di indirizzi IP di Frontdoor.
• Configurare l'applicazione per verificare il X-Azure-FDID valore dell'intestazione, che Frontdoor collega a tutte le richieste all'origine e assicurarsi che il relativo valore corrisponda all'identificatore di Frontdoor.

Filtro degli indirizzi IP

Configurare il filtro degli indirizzi IP per le origini per accettare il traffico dallo spazio indirizzi IP back-end di Frontdoor di Azure e solo dai servizi di infrastruttura di Azure.

Il tag del servizio AzureFrontDoor.Backend fornisce un elenco degli indirizzi IP usati da Frontdoor per connettersi alle origini. È possibile usare questo tag di servizio all'interno delle regole del gruppo di sicurezza di rete. È anche possibile scaricare il set di dati Intervalli IP e Tag del servizio di Azure, che viene aggiornato regolarmente con gli indirizzi IP più recenti.

È anche consigliabile consentire il traffico dai servizi di infrastruttura di base di Azure tramite gli 168.63.129.16 indirizzi IP host virtualizzati e 169.254.169.254.

Avviso

Lo spazio indirizzi IP di Frontdoor cambia regolarmente. Assicurarsi di usare il tag del servizio AzureFrontDoor.Backend anziché gli indirizzi IP hardcoded.

Identificatore frontdoor

Il filtro degli indirizzi IP da solo non è sufficiente per proteggere il traffico verso l'origine, perché altri clienti di Azure usano gli stessi indirizzi IP. È anche necessario configurare l'origine per assicurarsi che il traffico abbia avuto origine dal profilo frontdoor.

Azure genera un identificatore univoco per ogni profilo frontdoor. È possibile trovare l'identificatore nella portale di Azure cercando il valore dell'ID frontdoor nella pagina Panoramica del profilo.

Quando Frontdoor effettua una richiesta all'origine, aggiunge l'intestazione della X-Azure-FDID richiesta. L'origine deve esaminare l'intestazione sulle richieste in ingresso e rifiutare le richieste in cui il valore non corrisponde all'identificatore del profilo frontdoor.

Configurazione di esempio

Negli esempi seguenti viene illustrato come proteggere diversi tipi di origini.

funzioni e servizio app

È possibile usare servizio app restrizioni di accesso per eseguire il filtro degli indirizzi IP e il filtro delle intestazioni. La funzionalità è fornita dalla piattaforma e non è necessario modificare l'applicazione o l'host.

Gateway applicazione

gateway applicazione viene distribuito nella rete virtuale. Configurare una regola del gruppo di sicurezza di rete per consentire l'accesso in ingresso sulle porte 80 e 443 dal tag del servizio AzureFrontDoor.Backend e impedire il traffico in ingresso sulle porte 80 e 443 dal tag del servizio Internet .

Usare una regola WAF personalizzata per controllare il valore dell'intestazione X-Azure-FDID . Per altre informazioni, vedere Creare e usare regole personalizzate di Web Application Firewall v2 in gateway applicazione.

IIS

Quando si esegue Microsoft Internet Information Services (IIS) in una macchina virtuale ospitata in Azure, è necessario creare un gruppo di sicurezza di rete nella rete virtuale che ospita la macchina virtuale. Configurare una regola del gruppo di sicurezza di rete per consentire l'accesso in ingresso sulle porte 80 e 443 dal tag del servizio AzureFrontDoor.Backend e impedire il traffico in ingresso sulle porte 80 e 443 dal tag del servizio Internet .

Usare un file di configurazione IIS come nell'esempio seguente per controllare l'intestazione X-Azure-FDID sulle richieste in ingresso:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Controller NGINX del servizio Azure Kubernetes

Quando si esegue il servizio Azure Kubernetes con un controller di ingresso NGINX, è necessario creare un gruppo di sicurezza di rete nella rete virtuale che ospita il cluster del servizio Azure Kubernetes. Configurare una regola del gruppo di sicurezza di rete per consentire l'accesso in ingresso sulle porte 80 e 443 dal tag del servizio AzureFrontDoor.Backend e impedire il traffico in ingresso sulle porte 80 e 443 dal tag del servizio Internet .

Usare un file di configurazione di ingresso Kubernetes come nell'esempio seguente per esaminare l'intestazione X-Azure-FDID sulle richieste in ingresso:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Passaggi successivi

• Informazioni su come configurare un profilo WAF in Frontdoor.
• Informazioni su come creare una Frontdoor.
• Informazioni sul funzionamento di Frontdoor.