Шлюз приложений и шифрование
Шифрование передаваемых данных — важный шаг для защиты приложений. Вы можете приобрести сертификаты в центре сертификации и использовать их для шифрования сообщений, передаваемых на серверы и с них. Такое шифрование позволит предотвратить несанкционированный перехват и анализ содержимого сообщений во время передачи.
В случае с порталом доставки шифрование имеет важное значение, так как на нем обрабатываются заказы клиентов на доставку. Если кто-то может получить доступ к передаваемым данным, они могут просматривать конфиденциальные сведения, такие как сведения о клиентах или данные финансовой учетной записи.
Чтобы защитить эти данные, можно использовать Шлюз приложений Azure. Он шифрует данные, которые проходят через сеть от пользователей на серверы приложений.
Шлюз приложений и его преимущества
Шлюз приложений Azure — это контроллер доставки приложений. Он предоставляет такие возможности, как балансировка нагрузки трафика HTTP, брандмауэр веб-приложения и поддержка SSL-шифрования данных. Шлюз приложений поддерживает шифрование трафика между пользователями и шлюзом приложений и между серверами приложений и шлюзом приложений.
Шлюз приложений позволяет избавить ваши серверы от необходимости выполнять операции завершения SSL-запросов, требующие интенсивного использования ЦП. Кроме того, на серверах не нужно устанавливать сертификаты и настраивать SSL.
Если требуется сквозное шифрование, шлюз приложений может дешифровать трафик на шлюзе с использованием закрытого ключа. Затем он повторно шифрует трафик с открытым ключом службы, работающей в серверном пуле.
Предоставление доступа к веб-сайту или веб-приложению через Шлюз приложений также означает, что серверы не подключаются напрямую к Интернету. В Шлюзе приложений открывается только порт 80 или 443. Ваши веб-серверы не доступны напрямую из Интернета, уменьшая область атак инфраструктуры.
Компоненты Шлюза приложений
Шлюз приложений состоит из нескольких компонентов. Однако в связи с шифрованием основными из них являются внешний порт, прослушиватель и внутренний пул.
На схеме ниже показано, как трафик, передаваемый из клиента в Шлюз приложений по протоколу SSL, расшифровывается, а затем повторно зашифровывается при отправке на сервер во внутреннем пуле.
Внешний порт и прослушиватель
Трафик поступает в шлюз через внешний порт. Вы можете открыть несколько портов, и Шлюз приложений сможет получать сообщения через любой из них. Прослушиватель — это первый компонент, который обрабатывает трафик, поступающий в шлюз через порт. Он настраивается для прослушивания определенного имени узла и определенного порта для определенного IP-адреса. Прослушиватель может использовать SSL-сертификат для расшифровки поступающего в шлюз трафика. Затем входящие запросы направляются во внутренний пул согласно определенному вами правилу.
Внутренний пул
Внутренний пул содержит серверы приложений. Это могут быть виртуальные машины, масштабируемый набор виртуальных машин или приложения, выполняющиеся в Службе приложений Azure. Входящие запросы могут распределяться между серверами в пуле с целью балансировки нагрузки. У внутреннего пула есть параметр HTTP, который определяет сертификат для проверки подлинности внутренних серверов. Шлюз повторно зашифровывает трафик с помощью этого сертификата перед его отправкой на один из серверов во внутреннем пуле.
Если вы используете службу приложение Azure для размещения серверного приложения, вам не нужно устанавливать сертификаты в Шлюз приложений для подключения к внутреннему пулу. Все связи автоматически шифруются. Шлюз приложений доверяет серверам, так как ими управляет Azure.