Condividi tramite


Proteggere il traffico verso le origini di Frontdoor di Azure

Le funzionalità di Frontdoor funzionano meglio quando il traffico passa solo attraverso Frontdoor. È consigliabile configurare l'origine per bloccare il traffico che non è stato inviato tramite Frontdoor. In caso contrario, il traffico potrebbe ignorare il web application firewall di Frontdoor, la protezione DDoS e altre funzionalità di sicurezza.

Nota

Origine e gruppo di origine in questo articolo si riferisce al back-end e al pool back-end della configurazione di Frontdoor di Azure (versione classica).

Frontdoor offre diversi approcci che è possibile usare per limitare il traffico di origine.

Quando si usa lo SKU Premium di Frontdoor, è possibile usare collegamento privato per inviare il traffico all'origine. Altre informazioni sulle origini di collegamento privato.

È consigliabile configurare l'origine per impedire il traffico che non passa attraverso collegamento privato. Il modo in cui si limita il traffico dipende dal tipo di origine collegamento privato in uso:

  • app Azure Servizio e Funzioni di Azure disabilitare automaticamente l'accesso tramite endpoint Internet pubblici quando si usa collegamento privato. Per altre informazioni, vedere Uso di endpoint privati per l'app Web di Azure.
  • Archiviazione di Azure fornisce un firewall, che è possibile usare per negare il traffico da Internet. Per altre informazioni, vedere Configurare i firewall e le reti virtuali di Archiviazione di Azure.
  • I servizi di bilanciamento del carico interni con collegamento privato di Azure servizio non sono indirizzabili pubblicamente. È anche possibile configurare gruppi di sicurezza di rete per assicurarsi di non consentire l'accesso alla rete virtuale da Internet.

Origini basate su indirizzi IP pubblici

Quando si usano origini basate su indirizzi IP pubblici, è consigliabile usare due approcci per garantire che il traffico passi attraverso l'istanza di Frontdoor:

  • Configurare il filtro degli indirizzi IP per assicurarsi che le richieste all'origine vengano accettate solo dagli intervalli di indirizzi IP di Frontdoor.
  • Configurare l'applicazione per verificare il X-Azure-FDID valore dell'intestazione, che Frontdoor collega a tutte le richieste all'origine e assicurarsi che il relativo valore corrisponda all'identificatore di Frontdoor.

Filtro degli indirizzi IP

Configurare il filtro degli indirizzi IP per le origini per accettare il traffico dallo spazio indirizzi IP back-end di Frontdoor di Azure e solo dai servizi di infrastruttura di Azure.

Il tag del servizio AzureFrontDoor.Backend fornisce un elenco degli indirizzi IP usati da Frontdoor per connettersi alle origini. È possibile usare questo tag di servizio all'interno delle regole del gruppo di sicurezza di rete. È anche possibile scaricare il set di dati Intervalli IP e Tag del servizio di Azure, che viene aggiornato regolarmente con gli indirizzi IP più recenti.

È anche consigliabile consentire il traffico dai servizi di infrastruttura di base di Azure tramite gli 168.63.129.16 indirizzi IP host virtualizzati e 169.254.169.254.

Avviso

Lo spazio indirizzi IP di Frontdoor cambia regolarmente. Assicurarsi di usare il tag del servizio AzureFrontDoor.Backend anziché gli indirizzi IP hardcoded.

Identificatore frontdoor

Il filtro degli indirizzi IP da solo non è sufficiente per proteggere il traffico verso l'origine, perché altri clienti di Azure usano gli stessi indirizzi IP. È anche necessario configurare l'origine per assicurarsi che il traffico abbia avuto origine dal profilo frontdoor.

Azure genera un identificatore univoco per ogni profilo frontdoor. È possibile trovare l'identificatore nella portale di Azure cercando il valore dell'ID frontdoor nella pagina Panoramica del profilo.

Quando Frontdoor effettua una richiesta all'origine, aggiunge l'intestazione della X-Azure-FDID richiesta. L'origine deve esaminare l'intestazione sulle richieste in ingresso e rifiutare le richieste in cui il valore non corrisponde all'identificatore del profilo frontdoor.

Configurazione di esempio

Negli esempi seguenti viene illustrato come proteggere diversi tipi di origini.

È possibile usare servizio app restrizioni di accesso per eseguire il filtro degli indirizzi IP e il filtro delle intestazioni. La funzionalità è fornita dalla piattaforma e non è necessario modificare l'applicazione o l'host.

Passaggi successivi