Verkeer beveiligen naar Azure Front Door-origins

De functies van Front Door werken het beste wanneer verkeer alleen door Front Door stroomt. U moet uw oorsprong configureren om verkeer te blokkeren dat niet via Front Door is verzonden. Anders kan verkeer de firewall van Front Door voor webtoepassingen, DDoS-beveiliging en andere beveiligingsfuncties omzeilen.

Notitie

De oorspronkelijke en oorspronkelijke groep in dit artikel verwijst naar de back-end- en back-endpool van de Configuratie van Azure Front Door (klassiek).

Front Door biedt verschillende benaderingen die u kunt gebruiken om uw oorsprongverkeer te beperken.

Origins van Private Link

Wanneer u de Premium-SKU van Front Door gebruikt, kunt u Private Link gebruiken om verkeer naar uw oorsprong te verzenden. Meer informatie over Origins van Private Link.

U moet uw oorsprong configureren om verkeer dat niet via Private Link wordt geleverd, te weigeren. De manier waarop u verkeer beperkt, is afhankelijk van het type Private Link-oorsprong dat u gebruikt:

• Azure-app Service en Azure Functions schakelen de toegang automatisch uit via openbare interneteindpunten wanneer u Private Link gebruikt. Zie Privé-eindpunten gebruiken voor Azure Web App voor meer informatie.
• Azure Storage biedt een firewall die u kunt gebruiken om verkeer van internet te weigeren. Raadpleeg Firewalls en virtuele netwerken voor Azure Storage configureren voor meer informatie.
• Interne load balancers met de Azure Private Link-service zijn niet openbaar routeerbaar. U kunt ook netwerkbeveiligingsgroepen configureren om ervoor te zorgen dat u de toegang tot uw virtuele netwerk vanaf internet niet toedacht.

Op openbare IP-adressen gebaseerde origins

Wanneer u op openbare IP-adressen gebaseerde origins gebruikt, zijn er twee benaderingen die u samen moet gebruiken om ervoor te zorgen dat verkeer via uw Front Door-exemplaar stroomt:

• Configureer IP-adresfiltering om ervoor te zorgen dat aanvragen naar uw oorsprong alleen worden geaccepteerd vanuit de IP-adresbereiken van Front Door.
• Configureer uw toepassing om de X-Azure-FDID headerwaarde te controleren, die Front Door aan alle aanvragen aan de oorsprong koppelt en ervoor te zorgen dat de waarde overeenkomt met de id van uw Front Door.

IP-adresfiltering

Configureer IP-adresfiltering voor uw origins om verkeer te accepteren van de back-end-IP-adresruimte van Azure Front Door en alleen de infrastructuurservices van Azure.

De azureFrontDoor.Backend-servicetag bevat een lijst met de IP-adressen die Front Door gebruikt om verbinding te maken met uw origins. U kunt deze servicetag gebruiken binnen de regels van uw netwerkbeveiligingsgroep. U kunt ook de gegevensset Azure IP-bereiken en servicetags downloaden, die regelmatig wordt bijgewerkt met de meest recente IP-adressen.

U moet ook verkeer van de basisinfrastructuurservices van Azure toestaan via de gevirtualiseerde HOST-IP-adressen 168.63.129.16 en 169.254.169.254.

Waarschuwing

De IP-adresruimte van Front Door verandert regelmatig. Zorg ervoor dat u de servicetag AzureFrontDoor.Backend gebruikt in plaats van vaste IP-adressen.

Front Door-id

Filteren van IP-adressen is niet voldoende om verkeer naar uw oorsprong te beveiligen, omdat andere Azure-klanten dezelfde IP-adressen gebruiken. U moet ook uw oorsprong configureren om ervoor te zorgen dat verkeer afkomstig is van uw Front Door-profiel.

Azure genereert een unieke id voor elk Front Door-profiel. U vindt de id in Azure Portal door te zoeken naar de Front Door ID-waarde op de overzichtspagina van uw profiel.

Wanneer Front Door een aanvraag indient bij uw oorsprong, wordt de X-Azure-FDID aanvraagheader toegevoegd. Uw oorsprong moet de header controleren op binnenkomende aanvragen en aanvragen weigeren waarbij de waarde niet overeenkomt met de id van uw Front Door-profiel.

Voorbeeldconfiguratie

In de volgende voorbeelden ziet u hoe u verschillende soorten oorsprongen kunt beveiligen.

App Service en Functions

U kunt App Service-toegangsbeperkingen gebruiken om IP-adresfilters en headerfilters uit te voeren. De mogelijkheid wordt geleverd door het platform en u hoeft uw toepassing of host niet te wijzigen.

Application Gateway

Application Gateway wordt geïmplementeerd in uw virtuele netwerk. Configureer een regel voor een netwerkbeveiligingsgroep om binnenkomende toegang toe te staan op poort 80 en 443 vanuit de servicetag AzureFrontDoor.Backend en om binnenkomend verkeer op poorten 80 en 443 vanaf de internetservicetag niet toe te staan.

Gebruik een aangepaste WAF-regel om de X-Azure-FDID headerwaarde te controleren. Zie Aangepaste regels voor Web Application Firewall v2 maken en gebruiken in Application Gateway voor meer informatie.

IIS

Wanneer u Microsoft Internet Information Services (IIS) uitvoert op een door Azure gehoste virtuele machine, moet u een netwerkbeveiligingsgroep maken in het virtuele netwerk dat als host fungeert voor de virtuele machine. Configureer een regel voor een netwerkbeveiligingsgroep om binnenkomende toegang toe te staan op poort 80 en 443 vanuit de servicetag AzureFrontDoor.Backend en om binnenkomend verkeer op poorten 80 en 443 vanaf de internetservicetag niet toe te staan.

Gebruik een IIS-configuratiebestand, zoals in het volgende voorbeeld om de X-Azure-FDID header op uw binnenkomende aanvragen te controleren:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS NGINX-controller

Wanneer u AKS uitvoert met een NGINX-ingangscontroller, moet u een netwerkbeveiligingsgroep maken in het virtuele netwerk dat als host fungeert voor het AKS-cluster. Configureer een regel voor een netwerkbeveiligingsgroep om binnenkomende toegang toe te staan op poort 80 en 443 vanuit de servicetag AzureFrontDoor.Backend en om binnenkomend verkeer op poorten 80 en 443 vanaf de internetservicetag niet toe te staan.

Gebruik een kubernetes-configuratiebestand voor inkomend verkeer, zoals in het volgende voorbeeld om de X-Azure-FDID header op uw binnenkomende aanvragen te inspecteren:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Volgende stappen

• Meer informatie over het configureren van een WAF-profiel op Front Door.
• Lees hoe u een Front Door maakt.
• Lees hoe Front Door werkt.