Azure Front Door 원본에 대한 트래픽 보호

Front Door의 기능은 트래픽이 Front Door를 통과하는 경우에만 가장 잘 작동합니다. Front Door를 통해 전송되지 않은 트래픽을 차단하도록 원본을 구성해야 합니다. 그렇지 않으면 트래픽이 Front Door의 웹 애플리케이션 방화벽, DDoS 보호 및 기타 보안 기능을 우회할 수 있습니다.

참고 항목

이 문서의 원본 및 원본 그룹은 Azure Front Door(클래식) 구성의 백 엔드 및 백 엔드 풀을 나타냅니다.

Front Door는 원본 트래픽을 제한하는 데 사용할 수 있는 몇 가지 방법을 제공합니다.

Private Link 원본

Front Door의 프리미엄 SKU를 사용하는 경우 Private Link를 사용하여 원본으로 트래픽을 보낼 수 있습니다. Private Link 원본에 대해 자세히 알아보세요.

Private Link를 통과하지 않는 트래픽을 허용하지 않도록 원본을 구성해야 합니다. 트래픽을 제한하는 방법은 사용하는 Private Link 원본 유형에 따라 달라집니다.

• Azure App Service 및 Azure Functions는 Private Link를 사용할 때 공용 인터넷 엔드포인트를 통한 액세스를 자동으로 사용하지 않도록 설정합니다. 자세한 내용은 Azure 웹앱용 프라이빗 엔드포인트 사용을 참조하세요.
• Azure Storage는 인터넷에서 트래픽을 거부하는 데 사용할 수 있는 방화벽을 제공합니다. 자세한 내용은 Azure Storage 방화벽 및 가상 네트워크 구성을 참조하세요.
• Azure Private Link 서비스가 있는 내부 부하 분산 장치는 공개적으로 라우팅할 수 없습니다. 인터넷에서 가상 네트워크에 대한 액세스를 허용하지 않도록 네트워크 보안 그룹을 구성할 수도 있습니다.

공용 IP 주소 기반 원본

공용 IP 주소 기반 원본을 사용하는 경우 트래픽이 Front Door 인스턴스를 통해 흐르도록 하기 위해 함께 사용해야 하는 두 가지 방법이 있습니다.

• 원본에 대한 요청이 Front Door IP 주소 범위에서만 허용되도록 IP 주소 필터링을 구성합니다.
• Front Door가 원본에 대한 모든 요청에 연결하는 X-Azure-FDID 헤더 값을 확인하고 해당 값이 Front Door의 식별자와 일치하는지 확인하도록 애플리케이션을 구성합니다.

IP 주소 필터링

원본에 IP 주소 필터링을 구성하여 Azure Front Door의 백 엔드 IP 주소 공간 및 Azure 인프라 서비스의 트래픽만 허용합니다.

AzureFrontDoor.Backend 서비스 태그는 Front Door가 원본에 연결하는 데 사용하는 IP 주소 목록을 제공합니다. 네트워크 보안 그룹 규칙 내에서 이 서비스 태그를 사용할 수 있습니다. 최신 IP 주소로 정기적으로 업데이트되는 Azure IP 범위 및 서비스 태그 데이터 세트를 다운로드할 수도 있습니다.

또한 가상화된 호스트 IP 주소 168.63.129.16 및 169.254.169.254를 통해 Azure의 기본 인프라 서비스에서 트래픽을 허용해야 합니다.

Warning

Front Door의 IP 주소 공간은 정기적으로 변경됩니다. IP 주소를 하드 코딩하는 대신 AzureFrontDoor.Backend 서비스 태그를 사용해야 합니다.

Front Door 식별자

다른 Azure 고객이 동일한 IP 주소를 사용하기 때문에 IP 주소 필터링만으로는 원본에 대한 트래픽을 보호하기에 충분하지 않습니다. 또한 트래픽이 사용자의 Front Door 프로필에서 시작되었는지 확인하도록 원본을 구성해야 합니다.

Azure는 각 Front Door 프로필에 대한 고유 식별자를 생성합니다. 프로필의 개요 페이지에서 Front Door ID 값을 찾아 Azure Portal의 식별자를 찾을 수 있습니다.

Front Door가 원본에 요청을 하면 X-Azure-FDID 요청 헤더가 추가됩니다. 원본은 들어오는 요청에서 헤더를 검사하고 값이 Front Door 프로필의 식별자와 일치하지 않는 요청을 거부해야 합니다.

구성 예

다음 예제에서는 다양한 유형의 원본을 보호하는 방법을 보여 줍니다.

App Service 및 Functions

App Service 액세스 제한을 사용하여 헤더 필터링뿐만 아니라 IP 주소 필터링을 수행할 수 있습니다. 이 기능은 플랫폼에서 제공되므로 애플리케이션 또는 호스트를 변경할 필요가 없습니다.

Application Gateway

Application Gateway는 가상 네트워크에 배포됩니다. AzureFrontDoor.Backend 서비스 태그에서 포트 80 및 443에 대한 인바운드 액세스를 허용하고 인터넷 서비스 태그에서 포트 80 및 443의 인바운드 트래픽을 허용하지 않도록 네트워크 보안 그룹 규칙을 구성합니다.

사용자 지정 WAF 규칙을 사용하여 X-Azure-FDID 헤더 값을 확인합니다. 더 알아보려면 Application Gateway에서 웹 애플리케이션 방화벽 v2 사용자 지정 규칙 만들기 및 사용을 참조하세요.

IIS

Azure 호스팅 가상 머신에서 Microsoft IIS(인터넷 정보 서비스)를 실행하는 경우 가상 머신을 호스트하는 가상 네트워크에 네트워크 보안 그룹을 만들어야 합니다. AzureFrontDoor.Backend 서비스 태그에서 포트 80 및 443에 대한 인바운드 액세스를 허용하고 인터넷 서비스 태그에서 포트 80 및 443의 인바운드 트래픽을 허용하지 않도록 네트워크 보안 그룹 규칙을 구성합니다.

다음 예제와 같이 IIS 구성 파일을 사용하여 들어오는 요청의 X-Azure-FDID 헤더를 검사합니다.

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS NGINX 컨트롤러

NGINX 수신 컨트롤러를 사용하여 AKS를 실행하는 경우 AKS 클러스터를 호스트하는 가상 네트워크에 네트워크 보안 그룹을 만들어야 합니다. AzureFrontDoor.Backend 서비스 태그에서 포트 80 및 443에 대한 인바운드 액세스를 허용하고 인터넷 서비스 태그에서 포트 80 및 443의 인바운드 트래픽을 허용하지 않도록 네트워크 보안 그룹 규칙을 구성합니다.

다음 예제와 같이 Kubernetes 수신 구성 파일을 사용하여 들어오는 요청의 X-Azure-FDID 헤더를 검사합니다.

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

다음 단계

• Front Door WAF 프로필을 구성하는 방법을 알아봅니다.
• Front Door를 만드는 방법을 알아봅니다.
• Front Door의 작동 원리를 알아봅니다.