Tráfego seguro para origens do Azure Front Door

As funcionalidades do Front Door funcionam melhor quando o tráfego flui apenas através do Front Door. Você deve configurar sua origem para bloquear o tráfego que não foi enviado pela Front Door. Caso contrário, o tráfego pode ignorar o firewall do aplicativo Web do Front Door, a proteção contra DDoS e outros recursos de segurança.

Nota

O grupo de origem e origem neste artigo refere-se ao pool de back-end e back-end da configuração (clássica) do Azure Front Door.

O Front Door fornece várias abordagens que você pode usar para restringir seu tráfego de origem.

Origens do Link Privado

Quando você usa o SKU premium do Front Door, você pode usar o Private Link para enviar tráfego para sua origem. Saiba mais sobre as origens do Private Link.

Você deve configurar sua origem para não permitir tráfego que não vem através do Private Link. A maneira como você restringe o tráfego depende do tipo de origem do Link Privado que você usa:

• O Serviço de Aplicativo do Azure e o Azure Functions desabilitam automaticamente o acesso por meio de pontos de extremidade públicos da Internet quando você usa o Link Privado. Para obter mais informações, consulte Usando pontos de extremidade privados para o Azure Web App.
• O Armazenamento do Azure fornece um firewall, que você pode usar para negar o tráfego da Internet. Para obter mais informações, veja Configurar firewalls e redes virtuais do Armazenamento do Microsoft Azure.
• Os balanceadores de carga internos com o serviço de Link Privado do Azure não são roteáveis publicamente. Também pode configurar grupos de segurança de rede para garantir que não permite o acesso à sua rede virtual a partir da Internet.

Origens baseadas em endereços IP públicos

Quando você usa origens baseadas em endereço IP público, há duas abordagens que você deve usar juntas para garantir que o tráfego flua através de sua instância do Front Door:

• Configure a filtragem de endereços IP para garantir que as solicitações à sua origem só sejam aceitas a partir dos intervalos de endereços IP da porta frontal.
• Configure seu aplicativo para verificar o valor do X-Azure-FDID cabeçalho, que o Front Door anexa a todas as solicitações à origem, e certifique-se de que seu valor corresponda ao identificador do seu Front Door.

Filtragem de endereços IP

Configure a filtragem de endereços IP para suas origens para aceitar o tráfego do espaço de endereço IP de back-end do Azure Front Door e somente dos serviços de infraestrutura do Azure.

A marca de serviço AzureFrontDoor.Backend fornece uma lista dos endereços IP que o Front Door usa para se conectar às suas origens. Pode utilizar esta etiqueta de serviço nas regras do seu grupo de segurança de rede. Também pode transferir o conjunto de dados Intervalos de IP e Etiquetas de Serviço do Azure, que é atualizado regularmente com os endereços IP mais recentes.

Você também deve permitir o tráfego dos serviços básicos de infraestrutura do Azure por meio dos endereços 168.63.129.16 IP do host virtualizado e 169.254.169.254do .

Aviso

O espaço de endereço IP do Front Door muda regularmente. Certifique-se de usar a marca de serviço AzureFrontDoor.Backend em vez de codificar endereços IP.

Identificador da porta dianteira

A filtragem de endereços IP por si só não é suficiente para proteger o tráfego para a sua origem, porque outros clientes do Azure usam os mesmos endereços IP. Você também deve configurar sua origem para garantir que o tráfego tenha se originado do seu perfil da porta da frente.

O Azure gera um identificador exclusivo para cada perfil de Front Door. Você pode encontrar o identificador no portal do Azure, procurando o valor de ID da porta frontal na página Visão geral do seu perfil.

Quando o Front Door faz uma solicitação à sua origem, ele adiciona o cabeçalho da X-Azure-FDID solicitação. Sua origem deve inspecionar o cabeçalho em solicitações recebidas e rejeitar solicitações em que o valor não corresponda ao identificador do seu perfil Front Door.

Configuração de exemplo

Os exemplos a seguir mostram como você pode proteger diferentes tipos de origens.

Serviço de aplicativo e funções

Você pode usar as restrições de acesso do Serviço de Aplicativo para executar a filtragem de endereços IP, bem como a filtragem de cabeçalho. O recurso é fornecido pela plataforma e você não precisa alterar seu aplicativo ou host.

Gateway de Aplicação

O Application Gateway é implantado em sua rede virtual. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permita o tráfego de entrada nas portas 80 e 443 da marca de serviço da Internet.

Use uma regra WAF personalizada para verificar o valor do X-Azure-FDID cabeçalho. Para obter mais informações, consulte Criar e usar regras personalizadas do Web Application Firewall v2 no Application Gateway.

IIS

Ao executar o Microsoft Internet Information Services (IIS) em uma máquina virtual hospedada no Azure, você deve criar um grupo de segurança de rede na rede virtual que hospeda a máquina virtual. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permita o tráfego de entrada nas portas 80 e 443 da marca de serviço da Internet.

Use um arquivo de configuração do IIS, como no exemplo a seguir, para inspecionar o X-Azure-FDID cabeçalho em suas solicitações de entrada:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Controlador AKS NGINX

Ao executar o AKS com um controlador de entrada NGINX, você deve criar um grupo de segurança de rede na rede virtual que hospeda o cluster AKS. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permita o tráfego de entrada nas portas 80 e 443 da marca de serviço da Internet.

Use um arquivo de configuração de entrada do Kubernetes como no exemplo a seguir para inspecionar o X-Azure-FDID cabeçalho em suas solicitações de entrada:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Próximos passos

• Saiba como configurar um perfil WAF no Front Door.
• Saiba como criar um Front Door.
• Saiba como funciona o Front Door.