Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze sectie worden belangrijke aanbevelingen besproken voor het leveren van interne en externe toepassingen op een veilige, zeer schaalbare en maximaal beschikbare manier.
Overwegingen bij het ontwerpen:
Azure Load Balancer (intern en openbaar) biedt hoge beschikbaarheid voor toepassingslevering op regionaal niveau.
Met Azure Application Gateway kunt u HTTP/S-toepassingen veilig leveren op regionaal niveau.
Azure Front Door biedt de veilige levering van maximaal beschikbare HTTP/S-toepassingen in Azure-regio's.
Met Azure Traffic Manager kunt u wereldwijde toepassingen leveren.
Ontwerpaanvelingen:
Toepassingslevering uitvoeren binnen landingszones voor zowel interne als externe toepassingen.
- Behandel application gateway als een toepassingsonderdeel en implementeer deze in een virtueel spoke-netwerk, niet als een gedeelde resource in de hub.
- Als u Web Application Firewall-waarschuwingen wilt interpreteren, hebt u over het algemeen uitgebreide kennis van de toepassing nodig om te bepalen of de berichten die deze waarschuwingen activeren legitiem zijn.
- Mogelijk ondervindt u problemen met op rollen gebaseerd toegangsbeheer als u Application Gateway implementeert in de hub wanneer teams verschillende toepassingen beheren, maar hetzelfde exemplaar van Application Gateway gebruiken. Elk team heeft vervolgens toegang tot de volledige Application Gateway-configuratie.
- Als u Application Gateway als een gedeelde resource behandelt, kunt u limieten voor Azure Application Gateway overschrijden.
- Meer informatie hierover vindt u in zero-trust-netwerk voor webtoepassingen.
Voor veilige levering van HTTP/S-toepassingen gebruikt u Application Gateway v2 en zorgt u ervoor dat WAF-beveiliging en -beleid zijn ingeschakeld.
Gebruik een NVA van een partner als u Application Gateway v2 niet kunt gebruiken voor de beveiliging van HTTP/S-toepassingen.
Implementeer Azure Application Gateway v2 of partner-NVA's die worden gebruikt voor binnenkomende HTTP/S-verbindingen binnen het virtuele netwerk van de landingszone en met de toepassingen die ze beveiligen.
Gebruik een DDoS-standaardbeveiligingsplan voor alle openbare IP-adressen in een landingszone.
Gebruik Azure Front Door met WAF-beleid om wereldwijde HTTP/S-toepassingen te leveren en te beveiligen die Azure-regio's omvatten.
Wanneer u Front Door en Application Gateway gebruikt om HTTP/S-toepassingen te beveiligen, gebruikt u WAF-beleid in Front Door. Vergrendel Application Gateway om alleen verkeer van Front Door te ontvangen.
Gebruik Traffic Manager om globale toepassingen te leveren die andere protocollen omvatten dan HTTP/S.