Azure Front Door の配信元へのトラフィックをセキュリティで保護する

Front Door の機能は、トラフィックが Front Door のみを経由する場合に最適です。 Front Door 経由で送信されていないトラフィックをブロックするように配信元を構成する必要があります。 そうしないと、トラフィックで Front Door の Web アプリケーション ファイアウォール、DDoS 保護、およびその他のセキュリティ機能のバイパスが発生する可能性があります。

Note

この記事の 配信元 と 配信元グループ は、Azure Front Door (クラシック) 構成のバックエンドとバックエンド プールを指します。

Front Door には、配信元のトラフィックを制限するために使用できるいくつかの方法が用意されています。

Private Link の配信元

Front Door の Premium SKU を使用する場合は、Private Link を使用して配信元にトラフィックを送信できます。 Private Link の配信元について確認してください。

Private Link を経由しないトラフィックを禁止するように配信元を構成する必要があります。 トラフィックを制限する方法は、使用する Private Link の配信元の種類によって異なります。

• Azure App Service と Azure Functions では、Private Link を使用すると、パブリック インターネット エンドポイント経由のアクセスが自動的に無効になります。 詳細については、Azure Web アプリでのプライベート エンドポイントの使用に関するページを参照してください。
• Azure Storage には、インターネットからのトラフィックを拒否するために使用できるファイアウォールが用意されています。 詳細については、Azure Storage ファイアウォールおよび仮想ネットワークの構成に関する記事を参照してください。
• Azure Private Link サービスを使用する内部ロード バランサーは、パブリックにルーティングできません。 また、ネットワーク セキュリティ グループを構成して、インターネットからの仮想ネットワークへのアクセスを許可しないようにすることもできます。

パブリック IP ベースの配信元

パブリック IP ベースの配信元を使用する場合は、トラフィックが Front Door インスタンスを通過するように、次の 2 つの方法を一緒に使用する必要があります。

• IP アドレスのフィルター処理を構成して、配信元への要求が Front Door の IP アドレス範囲からのみ受け入れられるようにします。
• アプリケーションを構成して、Front Door で配信元へのすべての要求にアタッチされるヘッダー値 X-Azure-FDID を確認し、その値が Front Door の識別子と一致することを確認します。

IP アドレスのフィルター処理

使用する配信元で、Azure Front Door のバックエンド IP アドレス空間と Azure のインフラストラクチャ サービスからのトラフィックのみが受け入れられるように IP アドレスのフィルター処理を構成します。

AzureFrontDoor.Backend サービス タグには、Front Door で配信元への接続に使用される IP アドレスの一覧が提供されます。 このサービス タグは、ネットワーク セキュリティ グループ規則内で使用できます。 最新の IP アドレスで定期的に更新される Azure IP 範囲とサービス タグ データ セットをダウンロードすることもできます。

また、仮想化されたホスト IP アドレス 168.63.129.16 と 169.254.169.254 を介した Azure の基本的なインフラストラクチャ サービスからのトラフィックも許可する必要があります。

警告

Front Door の IP アドレス空間は定期的に変更されます。 IP アドレスをハードコーディングする代わりに、AzureFrontDoor.Backend サービス タグを使用してください。

Front Door 識別子

他の Azure のお客様が同じ IP アドレスを使用しているため、IP アドレスのフィルター処理だけでは配信元へのトラフィックをセキュリティで保護するには不十分です。 トラフィックが "自分の" Front Door プロファイルから送信されたことを保証するように配信元を構成する必要もあります。

Azure では、Front Door プロファイルごとに一意識別子が生成されます。 この識別子は、Azure portal でプロファイルの [概要] ページにある Front Door ID の値を探すことで確認できます。

Front Door によって配信元に要求が作成されると、要求ヘッダー X-Azure-FDID が追加されます。 配信元では、受信要求のヘッダーを検査し、値が Front Door プロファイルの識別子と一致しない要求は拒否する必要があります。

構成例

次の例は、さまざまな種類の配信元をセキュリティで保護する方法を示しています。

App Service および Functions

App Service のアクセス制限を使用して、IP アドレスのフィルター処理とヘッダー フィルター処理を実行できます。 この機能はプラットフォームによって提供されるため、アプリケーションやホストを変更する必要はありません。

Application Gateway

Application Gateway は仮想ネットワークにデプロイされます。 ネットワーク セキュリティ グループ規則を構成して、AzureFrontDoor.Backend サービス タグからポート 80 と 443 への受信アクセスを許可し、"インターネット" サービス タグからポート 80 と 443 への受信トラフィックを禁止します。

カスタム WAF ルールを使用してヘッダー値 X-Azure-FDID を確認します。 詳細については、「Application Gateway で Web アプリケーション ファイアウォール v2 のカスタム規則を作成して使用する」を参照してください。

IIS

Azure でホストされている仮想マシンで Microsoft インターネット インフォメーション サービス (IIS) を実行する場合は、仮想マシンをホストする仮想ネットワークにネットワーク セキュリティ グループを作成する必要があります。 ネットワーク セキュリティ グループ規則を構成して、AzureFrontDoor.Backend サービス タグからポート 80 と 443 への受信アクセスを許可し、"インターネット" サービス タグからポート 80 と 443 への受信トラフィックを禁止します。

次の例のような IIS 構成ファイルを使用して、受信要求のヘッダー X-Azure-FDID を検査します。

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS NGINX コントローラー

NGINX イングレス コントローラーを使用した AKS を実行する場合は、AKS クラスターをホストする仮想ネットワークにネットワーク セキュリティ グループを作成する必要があります。 ネットワーク セキュリティ グループ規則を構成して、AzureFrontDoor.Backend サービス タグからポート 80 と 443 への受信アクセスを許可し、"インターネット" サービス タグからポート 80 と 443 への受信トラフィックを禁止します。

次の例のような Kubernetes イングレス構成ファイルを使用して、受信要求のヘッダー X-Azure-FDID を検査します。

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

次のステップ

• Front Door で WAF プロファイルを構成する方法について学習します。
• フロント ドアの作成方法について学習します。
• Front Door のしくみについて学習します。