Tráfego seguro para as origens do Azure Front Door

Os recursos do Front Door funcionam melhor quando o tráfego flui somente pelo Front Door. É necessário configurar a origem para bloquear tráfegos que não sejam enviados pelo Front Door. Caso contrário, eles poderão ignorar o firewall do aplicativo Web do Front Door, a Proteção contra DDoS e outros recursos de segurança.

Observação

Neste artigo, uma Origem e um grupo de origem se referem ao back-end e ao pool de back-end da configuração do Azure Front Door (clássico).

O Front Door fornece diversas abordagens de restrição do tráfego de origem.

Origens de Link Privado

Ao usar o SKU Premium do Front Door, é possível usar o Link Privado para enviar tráfegos para a origem. Saiba mais sobre as origens do Link Privado.

É necessário configurar a origem para não permitir tráfegos que não venham do Link Privado. A maneira de restringir o tráfego depende do tipo de origem do Link Privado usado:

• O Serviço de Aplicativo do Azure e o Azure Functions desabilitam automaticamente o acesso por meio de pontos de extremidade de Internet públicos ao usar o Link Privado. Para obter mais informações, confira Uso de Pontos de Extremidade Privados para o Aplicativo Web do Azure.
• O Armazenamento do Azure fornece um firewall que pode ser usado para negar o tráfego da Internet. Para saber mais, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure.
• Os balanceadores de carga internos com o serviço de Link Privado do Azure não são roteáveis publicamente. Também é possível configurar grupos de segurança de rede para garantir que o acesso à rede virtual pela Internet não seja permitido.

Origens baseadas em endereço IP público

Ao usar as origens baseadas em endereço IP público, há duas abordagens que devem ser usadas juntas para garantir que o tráfego flua pela instância do Front Door:

• Configure a filtragem de endereços IP para garantir que as solicitações para a origem sejam aceitas somente dos intervalos de endereços IP do Front Door.
• Configure o aplicativo para verificar o valor do cabeçalho X-Azure-FDID, que o Front Door anexa a todas as solicitações que são feitas à origem, e certifique-se de que o valor corresponda ao identificador do Front Door.

Filtragem de endereço IP

Configure a filtragem de endereço IP das origens para aceitar tráfegos somente do espaço de endereços IP de back-end do Azure Front Door e dos serviços de infraestrutura do Azure.

A marca de serviço AzureFrontDoor.Backend fornece uma lista dos endereços IP usados pelo Front Door para se conectar às origens. É possível usar essa marca de serviço nas regras do grupo de segurança de rede. Também é possível baixar o conjunto de dados de Intervalos de IP e marcas de serviço do Azure, que é atualizado regularmente com os endereços IP mais recentes.

Também é recomendado permitir o tráfego dos serviços de infraestrutura básica do Azure por meio dos endereços IP de host virtualizado 168.63.129.16 e 169.254.169.254.

Aviso

O espaço de endereços IP do Front Door muda regularmente. Certifique-se de usar a marca de serviço AzureFrontDoor.Backend em vez de endereços IP de hard-coding.

Identificador do Front Door

A filtragem de endereços IP por si só não é suficiente para proteger o tráfego para a origem, pois outros clientes do Azure usam os mesmos endereços IP. Também é necessário configurar a origem para garantir que o tráfego tenha origem no seu perfil do Front Door.

O Azure gera um identificador exclusivo para cada perfil do Front Door. É possível encontrar o identificador no portal do Azure procurando o valor da ID do Front Door na página “Visão geral” do perfil.

Quando o Front Door faz uma solicitação à origem, ele adiciona o cabeçalho de solicitação X-Azure-FDID. A origem deve inspecionar o cabeçalho das solicitações recebidas e rejeitar aquelas em que o valor não corresponde ao identificador do perfil do Front Door.

Configuração de exemplo

Os exemplos a seguir mostram como proteger diferentes tipos de origens.

Serviço de Aplicativo e funções

É possível usar as restrições de acesso do Serviço de Aplicativo para realizar a filtragem de endereços IP, bem como a filtragem de cabeçalhos. O recurso é fornecido pela plataforma e não é necessário alterar o aplicativo ou host.

Gateway de Aplicativo

O Gateway de Aplicativo é implantado na rede virtual. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permitir o tráfego de entrada nas portas 80 e 443 da marca de serviço Internet.

Use uma regra personalizada do WAF para verificar o valor do cabeçalho X-Azure-FDID. Para mais informações, consulte Criar e usar regras personalizadas do Firewall de Aplicativo Web v2 no Gateway de Aplicativo.

IIS

Ao executar os IIS (Serviços de Informações da Internet) da Microsoft em uma máquina virtual hospedada no Azure, é necessário criar um grupo de segurança de rede na rede virtual que hospeda a máquina virtual. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permitir o tráfego de entrada nas portas 80 e 443 da marca de serviço Internet.

Use um arquivo de configuração do IIS como no exemplo a seguir para inspecionar o cabeçalho X-Azure-FDID em suas solicitações recebidas:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Controlador NGINX do AKS

Ao executar o AKS com um controlador de entrada NGINX, é necessário criar um grupo de segurança de rede na rede virtual que hospeda o cluster do AKS. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permitir o tráfego de entrada nas portas 80 e 443 da marca de serviço Internet.

Use um arquivo de configuração de entrada do Kubernetes, como no exemplo a seguir, para inspecionar o cabeçalho X-Azure-FDID das solicitações recebidas:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Próximas etapas

• Saiba como configurar um perfil WAF no Front Door.
• Saiba como criar um Front Door.
• Saiba como o Front Door funciona.