Distribuera ett nätverk med noll förtroende för webbprogram

Introduction

Den här instruktionen följer referensarkitekturen för Zero Trust-nätverk för webbapplikationer från Azure Architecture Center. Referensarkitekturens avsikt är att hjälpa dig att publicera ett webbprogram med säker åtkomst via en brandvägg för webbprogram (WAF) och en traditionell tillståndskänslig brandvägg. I det här scenariot tillhandahålls WAF av programgatewayen för att inspektera trafik för SQL-inmatning, skript för flera platser och andra vanliga OWASP-regler (Open Web Application Security Project). Den tillståndskänsliga paketinspektionen som utförs av Azure Firewall ger extra skydd mot skadliga paket. All kommunikation mellan tjänster skyddas med TLS från slutpunkt till slutpunkt med hjälp av betrodda certifikat.

Prerequisites

För att slutföra Zero Trust-distributionen behöver du:

• Ett anpassat domännamn
• Ett pålitligt wildcard-certifikat för din anpassade domän
• Ett Azure-konto med en aktiv prenumeration. Skapa ett konto kostnadsfritt.
• Visual Studio Code (valfritt, för att hjälpa till med en automatiserad distribution)

Note

Om du inte har ett anpassat domännamn kan du köpa ett via Azure App Service.

Distribuera resurserna

För enkelhetens skull distribueras alla resurser till en enda resursgrupp. Granska din hanterings- och styrningsstrategi för en lämplig distributionsmodell i din prenumeration. Referensarkitekturen innehåller följande resurser:

• Två virtuella nätverk
  • Virtuellt hubbnätverk
  • Virtuellt ekernätverk
• Applikationsgateway
• Azure Firewall
• DNS-zoner och -poster
• Webbprogram på App Service

Note

Webbprogrammet i referensarkitekturen visualiseras med en virtuell dator. Detta kan också vara en App Service, ett Kubernetes-kluster, annan containermiljö eller en skalningsuppsättning av virtuella maskiner. I den här genomgången ersätter vi den virtuella datorn med en App Service.

Andra Azure-tjänster som ska distribueras och konfigureras och som inte uttryckligen anges i referensarkitekturen är:

• Azure Key Vault
• Hanterad identitet
• Offentliga IP-adresser
• Nätverkssäkerhetsgrupper
• Privata slutpunkter
• Routetabeller

Distribuera resursgruppen

Först skapar du en resursgrupp för att lagra alla skapade resurser.

Important

Du kan använda ditt eget resursgruppsnamn och önskad region. För den här instruktioner distribuerar vi alla resurser till samma resursgrupp, myResourceGroup, och distribuerar alla resurser till Azure-regionen USA, östra . Använd dessa och din Azure-prenumeration som standardinställningar i hela artikeln.

Det är bra att skapa alla resurser i samma resursgrupp för att hålla reda på de resurser som används och gör det enklare att rensa en demonstration eller en miljö som inte är produktionsmiljö.

1. Från Azure-portalen söker du efter och väljer Resursgrupper.

2. På sidan Resursgrupper väljer du Skapa.

3. Använd följande inställningar eller dina egna för att skapa en resursgrupp:

   Setting	Value
   Subscription	Välj din prenumeration.
   Resursgrupp	Ange myResourceGroup
   Region	Välj USA, östra.

4. Välj Granska + Skapa och välj sedan Skapa.

Driftsätta Azure Key Vault

I det här steget distribuerar du Azure Key Vault för att lagra hemligheter, nycklar och certifikat. Vi använder ett Key Vault för att lagra det offentliga betrodda certifikat som används för TLS-anslutningar av programgatewayen och Azure Firewall i den här instruktionen.

Note

Som standard är mjuk borttagning aktiverat i Azure Key Vault. Detta visar oavsiktlig borttagning av lagrade autentiseringsuppgifter. För att du ska kunna ta bort nyckelvalvet i rätt tid när du slutfört den här instruktionen rekommenderar vi att du anger Dagar för att behålla borttagna valv till 7 dagar.

1. På Menyn i Azure-portalen eller på sidan Start väljer du Skapa en resurs.

2. I rutan Sök anger du Key Vault och väljer Key Vault i resultatet.

3. På sidan Skapa Key Vault väljer du Skapa.

4. På sidan Skapa nyckelvalv anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	Ange ett unikt namn för ditt nyckelvalv. Det här exemplet använder myKeyVaultZT.
   Prisnivå	Välj Standard.
   Dagar för att behålla borttagna valv	Ange 7.
   Skydd mot rensning	Välj Inaktivera rensningsskydd (tillåt att nyckelvalv och objekt rensas under kvarhållningsperioden).

5. Välj Granska + Skapa och välj sedan Skapa.

Ladda upp ett certifikat till Key Vault

I den här uppgiften laddar du upp ditt betrodda wildcard-certifikat för din offentliga domän.

Note

Den här uppgiften kräver ett betrott digitalt certifikat för en offentlig domän som du äger. Utan certifikatet kommer du inte att kunna distribuera det här arkitekturexemplet i sin helhet. I Azure Key Vault är certifikatformat som stöds PFX och PEM.

• .pem-filformatet innehåller en eller flera X509-certifikatfiler.
• .pfx-filformatet är ett arkivfilformat för lagring av flera kryptografiska objekt i en enda fil, dvs. servercertifikat (utfärdat för din domän), en matchande privat nyckel och kan eventuellt innehålla en mellanliggande certifikatutfärdare.

1. Navigera till det tidigare skapade nyckelvalvet myKeyVaultZT.

2. På sidan Key Vault väljer du Certifikat under Objekt.

3. På sidan Certifikat väljer du + Generera/importera

4. På sidan Skapa ett certifikat anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Skapandemetod för certifikat	Välj Importera.
   Certifikatets namn	Ange myTrustedWildCard.
   Ladda upp certifikatfil	Välj mappikonen och bläddra till platsen för certifikatfilen. Välj fil och välj Öppna för att ladda upp certifikat.
   Password	Ange certifikatlösenordet.

5. Välj Skapa.

Distribuera en användartilldelad hanterad identitet

Du skapar en hanterad identitet och ger den identiteten åtkomst till Azure Key Vault. Programgatewayen och Azure Firewall använder sedan den här identiteten för att hämta certifikatet från valvet.

1. I rutan Sök anger du och väljer Hanterade identiteter.
2. Välj + Skapa.
3. På fliken Grundläggande väljer du myManagedIDappGW som Namn.
4. Välj Granska + Skapa och välj Skapa.

Tilldela åtkomst till Key Vault för den hanterade identiteten

1. Navigera till det tidigare skapade nyckelvalvet myKeyVaultZT.
2. På sidan Key Vault väljer du Åtkomstkonfiguration på menyn till vänster under Inställningar.
3. På sidan Åtkomstkonfiguration lämnar du standardinställningen Åtkomstprincip för Valv och väljer **Gå till åtkomstsidan
4. På sidan Åtkomstprinciper väljer du + Skapa.
5. På sidan Skapa en åtkomstprincip väljer du Hämta under Hemliga behörigheter och certifikatbehörigheter. Välj Nästa.
6. Sök på fliken Principaler efter och välj identiteten myManagedIDappGW.
7. Välj Nästa>nästa>skapa.

Distribuera virtuella nätverk

Du implementerar en hubb- och ekerarkitektur för din webbapplikation. Hubbnätverket innehåller en centraliserad Azure Firewall som används för att inspektera trafik för programmet. Ekernätverket innehåller två undernät: ett för applikationsgatewayen och ett för App Service.

1. Välj + Skapa en resurs i det övre vänstra hörnet i portalen.

2. I sökrutan anger du Virtuellt nätverk. Välj Virtuellt nätverk i sökresultatet.

3. På sidan Virtuellt nätverk väljer du Skapa.

4. I Skapa virtuellt nätverk anger du Namn på hub-vnet på fliken Grundläggande .

5. Välj fliken IP-adresser eller välj knappen Nästa: IP-adresser längst ned på sidan och ange dessa inställningar tillsammans med standardvärden:

   Setting	Value
   IPv4-adressutrymme	Ange 192.168.0.0/16.
   Välj + Lägg till undernät
   Undernätsnamn	Ange AzureFirewallSubnet.
   Adressintervall för undernätet	Ange 192.168.100.0/24.
   Välj Lägg till.

6. Välj Granska och skapa>Skapa.

7. Upprepa den här processen för att skapa ett andra virtuellt nätverk med hjälp av följande inställningar:

   Setting	Value
   Instansinformation
   Name	spoke-vnet
   IPv4-adressutrymme	172.16.0.0/16
   Välj + Lägg till undernät
   Undernätsnamn	Ange AppGwSubnet.
   Adressintervall för undernätet	Ange 172.16.0.0/24.
   Undernätsnamn	App1
   Adressintervall för undernätet	172.16.1.0/24
   Välj Lägg till.

8. Välj Granska och skapa>Skapa.

9. Gå till det hubb-vnet som du skapade tidigare.

10. På sidan Virtuellt hubbnätverk väljer du Peerings från under Inställningar.

11. På sidan Peerings väljer du + Lägg till.

12. På sidan Lägg till peering anger eller väljer du dessa inställningar tillsammans med standardvärden:

    Setting	Value
    Det här virtuella nätverket
    Namn på peeringlänk	Ange hub-to-spoke.
    Trafik till fjärranslutet virtuellt nätverk	Ställ in på Tillåt.
    Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk	Ange till Tillåt
    Virtuell nätverksgateway eller routningsserver	Ange till Ingen
    Virtuellt fjärrnätverk
    Namn på peeringlänk	Ange ekrar-till-nav
    Distributionsmodell för virtuellt nätverk	Resurshanterare
    Jag känner till mitt resurs-ID	Behåll standardvärdet inte vald
    Subscription	Välj din prenumeration
    Virtuellt nätverk	spoke-vnet
    Trafik till fjärranslutet virtuellt nätverk	Allow
    Trafik som vidarebefordras från ett fjärranslutet virtuellt nätverk	Allow
    Virtuell nätverksgateway eller routningsserver	None

13. Välj Lägg till.

Tilldela Azure DNS-zon

För säker åtkomst till webbappen måste ett fullständigt kvalificerat DNS-namn konfigureras i DNS som matchar lyssnaren på programgatewayen och certifikatet som laddas upp till Key Vault. För att åstadkomma detta skapar du en Azure DNS-zon för din domän som ska användas senare för att skapa DNS-posten för webbappen.

1. Välj + Skapa en resurs i det övre vänstra hörnet i portalen.
2. I sökrutan anger du DNS-zon.
3. I resultatlistan väljer du SKAPA DNS-zon>.
4. På fliken Grundläggande anger du ditt domännamn.
5. Välj Granska + skapa>Skapa.

Note

För att kunna använda den här DNS-zonen måste du uppdatera domännamnsservrarna till de namnservrar som tillhandahålls av Azure DNS. Eftersom namnservrarna kan variera mellan Azure-klientorganisationer använder du de namnservrar som tilldelats dig av Azure DNS. Azure DNS-namnservrarna finns på sidan Översikt för dns-zonen som skapats.

Distribuera Azure App Service

Du distribuerar Azure App Service.for som värd för det skyddade webbprogrammet.

1. I sökfältet skriver du App Services. Under Tjänster väljer du App Services.

2. På sidan App Services väljer du + Skapa.

3. På sidan Skapa webbapp anger eller väljer du de här inställningarna tillsammans med standardvärdena på fliken Grundläggande :

   Setting	Value
   Instansinformation
   Name	Ange ett globalt unikt namn för webbappen. Till exempel myWebAppZT1.
   Publish	Välj kod
   Körningstack	välj .NET 6 (LTS).
   Operativsystem	Välj Windows
   Prisplaner
   Windows-plan (USA, östra)	Välj Skapa ny och ange zt-asp som namn.
   Prisplan	Lämna standardvärdet Standard S1 eller välj en annan plan på menyn.

4. Välj Granska + skapa>Skapa.

5. När distributionen är klar går du till App Service.

6. På sidan App Service väljer du Nätverk från under Inställningar.

7. I avsnittet Inkommande trafik väljer du Privata slutpunkter.

8. På sidan Privat slutpunktsanslutning väljer du + Lägg till>Express.

9. I fönstret Lägg till privat slutpunkt anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	pe-appservice
   Virtuellt nätverk	spoke-vnet
   Subnet	App1

10. Välj OK.

Distribuera applikationsgatewayen

Du implementerar en programgateway och en edge-ingresslösning för appen som hanterar TLS-avslutning och WAF-tjänster.

1. I sökfältet skriver du programgatewayer. Under Tjänster väljer du Programgatewayer.

2. I belastningsutjämning | På sidan Application Gateway väljer du + Skapa.

3. På fliken Grundläggande anger eller väljer du de här inställningarna tillsammans med standardvärden:

   Setting	Value
   Instansinformation
   Namn på applikationsgateway	Ange myAppGateway.
   Tier	Välj WAF v2.
   Aktivera automatisk skalning	Välj Nej.
   Antal instanser	Ange 1.
   Tillgänglighetszon	Välj Ingen.
   HTTP2	Välj Inaktiverad.
   WAF-policy	Välj Skapa ny. Ange myWAFpolicy som WAF-principnamn och välj Ok.
   Konfigurera virtuellt nätverk
   Virtuellt nätverk	Välj spoke-vnet.
   Subnet	Välj AppGwSubnet (172.16.0.0/24).

4. Välj Nästa: Klientdelar > och konfigurera klientdelarna med följande inställningar:

   Setting	Value
   IP-adresstyp för frontend	Välj Offentlig.
   Offentlig IP-adress	Välj Lägg till. Ange myAppGWpip som offentligt IP-namn och välj Ok.

5. Välj Nästa: Serverdelar >

6. På fliken Serverdelar väljer du Lägg till en serverdelspool.

7. I fönstret Lägg till en serverdelspool anger eller väljer du följande inställningar:

   Setting	Value
   Name	Ange myBackendPool.
   Måltyp	Välj App Services.
   Target	Välj myWebAppZT1.

8. Välj Lägg till och välj sedan Nästa: Konfiguration >.

9. På fliken Konfiguration väljer du Lägg till en routningsregel.

10. I fönstret Lägg till en routningsregel anger du följande inställningar:

    Setting	Value
    Regelnamn: Ange myRouteRule1
    Prioritet: Ange 100

11. Under fliken Lyssnare anger eller väljer du dessa inställningar tillsammans med standardvärden:

    Setting	Value
    Lyssnarnamn	Ange myListener.
    Frontend-IP	Välj Offentlig.
    Protocol	Välj HTTPS.
    Port	Låt standardvärdet vara 443.
    HTTPS-inställningar
    Välj ett certifikat	Välj Välj ett certifikat från Key Vault
    Certifikatnamn	Ange myTrustedWildCard.
    Hanterad identitet	Välj myManagedIDappGW.
    Nyckelvalv (Key vault)	Välj myKeyVaultZT.
    Certificate	Välj myTrustedWildCard.
    Ytterligare inställningar
    Lyssnartyp	Välj Flera webbplatser.
    Typ av värd	Se: Enkel
    Värdnamn	Ange det externa DNS-namnet för webbappen.
    Url för felsida	Välj Nej.

    Note

    Det FQDN som används för Värdnamn måste matcha den DNS-post som du skapar i ett senare steg. Om det behövs kan du återgå till lyssnarkonfigurationen och ändra den till den DNS-post du har skapat.

12. Välj fliken Back-end-mål.

13. På fliken Serverdelsmål anger eller väljer du dessa inställningar tillsammans med standardvärden:

    Setting	Value
    Måltyp	Välj Bakgrundspool.
    Serverdelsmål	Ange myBackendPool.
    Back-end-inställningar	Välj Lägg till.
    Lägg till Backend-inställning
    Namn på serverdelsinställningar	Ange myBackendSetting.
    Backend-protokoll	Välj HTTPS.
    Bakändport	Låt standardvärdet vara 443.
    Betrott rotcertifikat
    Använda välkända CA-certifikat	Välj Ja.
    Värdnamn
    Åsidosätt med nytt värdnamn	Välj Ja.
    Åsidosättning av värdnamn	Välj Välj värdnamn från serverdelsmålet.

14. Välj Lägg till två gånger och välj sedan Nästa: Taggar >.

15. Välj Nästa: Granska + skapa > och välj Skapa. Distributionen kan ta upp till 30 minuter att slutföra.

Skapa en anpassad hälsoavsökning

Nu ska du lägga till en anpassad hälsoavsökning för backendpoolen.

1. Navigera till den tidigare skapade programgatewayen.

2. Från gatewayen väljer du Hälsoavsökningar under Inställningar.

3. I Health Probe väljer du + Lägg till.

4. På sidan Lägg till hälsoavsökning anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	Ange myHealthProbe.
   Protocol	Välj HTTPS.
   Host	Ange URL:en för din App Service. Till exempel myWebAppZT1.azurewebsites.net.
   Välj värdnamn från serverdelsinställningar	Välj Nej.
   Välj port från serverdelsinställningar	Välj Ja.
   Path	Ange /.
   Interval	Ange 30.
   Timeout	Ange 30.
   Defekt tröskelvärde	Ange 3.
   Använda matchningsvillkor för avsökning	Välj Nej.
   Back-end-inställningar	Välj myBackendPool.

5. Välj Testa och välj sedan Lägg till.

Lägg till DNS-posten för applikationsgatewayen

1. Om du vill hämta den offentliga IP-adressen för din programgateway går du till sidan Översikt för programgatewayen och kopierar den offentliga IP-adressen för klientdelen i listan.

2. Navigera till DEN DNS-zon som du skapade tidigare.

3. I DNS-zonen väljer du + Registeruppsättning.

4. I fönstret Lägg till postuppsättning anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	Ange mywebapp.
   Type	Välj A – Aliaspost till IPv4-adress.
   Aliaspostuppsättning	Välj Nej.
   TTL	Låt standardvärdet vara 1 timme.
   IP address	Ange den offentliga IP-adressen för din programgateway.

Testa den första installeringen

Nu bör du kunna ansluta till App Service via programgatewayen. Gå till URL:en för DEN DNS-post som du skapade för att verifiera att den matchar programgatewayen och att standardsidan för App Service visas. Om applikationsgatewaysidan läses in med ett gatewayfel, kontrollera sidan Serverdelshälsa för gatewayen och leta efter eventuella fel som rör serverpoolen samt kontrollera dina serverinställningar.

Implementera Azure Firewall

Du distribuerar Azure Firewall för att utföra paketgranskning mellan programgatewayen och App Service. Ditt digitala certifikat som lagras i Key Vault används för att skydda trafiken.

Note

Brandväggar på basic- och standardnivå stöder inte SSL-terminering.

1. I Azure-portalen söker du efter och väljer Brandväggar.

2. På sidan Brandväggar väljer du + Skapa.

3. På sidan Skapa en brandvägg anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	Ange myFirewall.
   Tillgänglighetszon	Välj Ingen.
   Brandväggsnivå	Välj Premium.
   Brandväggsprincip	Välj Lägg till.
   Skapa en ny brandväggspolicy
   Policynamn	Ange myFirewallPolicy.
   Policynivå	Välj Premium och välj OK.
   Välj ett virtuellt nätverk	Välj Använd befintlig.
   Virtuellt nätverk	Välj hub-vnet.
   Offentlig IP-adress	Välj Lägg till. Ange myFirewallpip och välj OK.

4. Välj Granska + skapa och välj därpå Skapa. Utplaceringen kan ta upp till 30 minuter att slutföra.

Konfigurera brandväggspolicyn

I den här uppgiften konfigurerar du brandväggsprincipen som används för paketgranskning.

1. Gå till Azure Firewall som du skapade tidigare.

2. På sidan Översikt letar du upp och väljer länken till brandväggsprincipen myFirewallPolicy .

3. På sidan Brandväggsprincip väljer du IDPS under Inställningar.

4. På sidan IDPS väljer du Avisering och neka och väljer sedan Använd. Vänta tills brandväggsprincipen har uppdaterats innan du fortsätter till nästa steg.

5. Välj TLS-inspektion under Inställningar

6. På sidan TLS-inspektion väljer du Aktiverad. Ange eller välj sedan de här inställningarna tillsammans med standardvärden:

   Setting	Value
   Hanterad identitet	Ange myManagedIDappGW.
   Nyckelvalv (Key vault)	Välj myKeyVaultZT.
   Certificate	Välj myTrustedWildCard.

Note

I det här exemplet återanvänder vi ett jokerteckencertifikat och samma hanterade identitet. I en produktionsmiljö kan du använda olika certifikat och därmed ha en annan hanterad identitet som kan komma åt Key Vault.

1. Välj Spara.

2. Välj DNS-sidan under inställningar.

3. På SIDAN DNS väljer du Aktiverad.

4. I avsnittet DNS-proxy väljer du Aktiverad.

5. Välj Använd.

6. I brandväggsprincipen väljer du Nätverksregler.

7. På sidan Nätverksregler väljer du Lägg till en regelsamling.

8. På sidan Lägg till en regelsamling anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	Ange myRuleCollection.
   Typ av regelsamling	Välj Nätverk.
   Priority	Ange 500.
   Regelsamlingsåtgärd	Välj Tillåt.
   Regelsamlingsgrupp	Välj DefaultNetworkRuleCollectionGroup.
   Rules	Skapa två regler
   Name	Ange appgw-to-as
   Typ av källa	Välj IP-adress.
   Source	Ange 172.16.0.0/24.
   Protocol	Välj TCP.
   Destinationshamnar	Ange 443.
   Typ av destination	Välj IP-adresser.
   Destination	Ange 172.16.1.0/24.
   Name	Ange as-to-appgw.
   Typ av källa	Välj IP-adress.
   Source	172.16.1.0/24.
   Protocol	Välj TCP.
   Målport	Ange 443.
   Typ av destination	VäljIP-adress.
   Destination	Ange 172.16.0.0/24.

9. Välj Lägg till.

Distribuera routningstabeller

Du skapar en routningstabell med användardefinierad väg som tvingar all App Service-trafik via en Azure Firewall.

1. Skriv apptjänster i sökningen. Under Tjänster väljer du Routningstabeller.

2. På sidan Routningstabeller väljer du + Skapa.

3. På sidan Skapa routningstabell anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	Ange myRTspoke2hub.
   Förmedla gatewayrutter	Välj Ja

4. Välj Granska + skapa, och välj sedan Skapa.

5. Gå tillbaka till sidan Routningstabeller och välj sedan + Skapa.

6. På sidan Skapa routningstabell anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Name	Ange myRTapp2web.
   Förmedla gatewayrutter	Välj Ja

7. Välj Granska + skapa, och välj sedan Skapa.

Konfigurera routningstabeller

1. Gå till routetabellen myRTspoke2hub.

2. I routningstabellen väljer du sidan Vägar under Inställningar och väljer + Lägg till.

3. I fönstret Lägg till väg anger eller väljer du de här inställningarna tillsammans med standardvärdena:

   Setting	Value
   Vägnamn	Ange ToAppService.
   Adressprefix och destination	Välj IP-adresser.
   Mål-IP-adresser/CIDR-intervall	Ange 172.16.1.0/24.
   Nästa hopptyp	Välj Virtuell installation.
   adress för nästa hopp	Den privata IP-adressen för Azure Firewall. Till exempel 192.168.100.4.

4. Välj Lägg till.

5. I tabellen Routning väljer du Undernät under Inställningar och väljer + Associera.

6. I fönstret Associera undernät väljer du det virtuella nätverket spoke-vnet och väljer sedan undernätet AppGwSubnet .

7. Välj OK.

8. När associationen visas väljer du länken till AppGwSubnet-associationen .

9. I avsnittet Nätverksprincip för privata slutpunkter väljer du Routningstabeller och sedan Spara.

10. Gå till routningstabellen myRTapp2web .

11. På sidan Routningstabell väljer du Vägar under Inställningar.

12. I fönstret Lägg till väg anger eller väljer du de här inställningarna tillsammans med standardvärdena:

    Setting	Value
    Vägnamn	Ange ToAppGW.
    Adressprefix och destination	Välj IP-adresser.
    Mål-IP-adresser/CIDR-intervall	Ange 172.16.0.0/24.
    Nästa hopptyp	Välj Virtuell installation.
    adress för nästa hopp	Ange den privata IP-adressen för Azure Firewall. Till exempel 192.168.100.4.

13. Välj Lägg till.

14. Välj sidan Undernät under inställningar och välj + Associera.

15. I fönstret Associera undernät väljer du det virtuella nätverket spoke-vnet och väljer sedan undernätet App1 .

16. Välj OK.

17. Upprepa den här processen för ett annat undernät genom att välja + Associera.

18. Välj det virtuella nätverket spoke-vnet och välj sedan undernätet AppGwSubnet . Välj OK.

19. När associationen visas väljer du länken till App1-associationen .

20. I avsnittet Nätverksprincip för privata slutpunkter väljer du Nätverkssäkerhetsgrupper och Routningstabeller och sedan Spara.

Testa igen

Nu bör du kunna ansluta till App Service via programgatewayen. Gå till URL:en för DEN DNS-post som du skapade för att verifiera att den matchar programgatewayen och att standardsidan för App Service visas. Om sidan läses in med ett fel, kontrollera gatewayens backendhälsasida för eventuella fel som rör backendpoolen och kontrollera sedan dina inställningar för backend. Kontrollera också att vägarna har konfigurerats korrekt.

Programgatewayen ska skicka trafik till brandväggens privata IP-adress. Brandväggen kan kommunicera med den privata slutpunkten via peering-anslutningen för virtuella nätverk. Routningstabellen i undernätet som den privata slutpunkten är ansluten till pekar tillbaka till brandväggen för att komma tillbaka till programgatewayen.

Om du vill testa att brandväggen faktiskt inspekterar eller filtrerar trafik ändrar du nätverksregeln som du skapade i brandväggsprincipen från TCP till ICMP. Detta blockerar sedan implicit TCP-trafik från programgatewayen och webbplatsåtkomst nekas.

Distribuera nätverkssäkerhetsgrupperna – valfritt

Du distribuerar nätverkssäkerhetsgrupper för att förhindra att andra undernät kommer åt den privata slutpunkten som används av apptjänsten.

Note

I den här distributionen krävs inte nätverkssäkerhetsgrupper uttryckligen. Vi har konfigurerat routningstabeller för att tvinga trafikflödet från de definierade undernäten via en Azure Firewall. Men i en produktionsmiljö har de flesta organisationer andra undernät som kan finnas i samma virtuella nätverk eller peer-kopplade till nätverket som inte har användardefinierade vägar definierade. Nätverkssäkerhetsgrupper skulle vara bra för att säkerställa att andra undernät inte kan komma åt apptjänstens privata slutpunkt. Läs mer om nätverkssäkerhetsgrupper.

1. Från Azure-portalen söker du efter och väljer Nätverkssäkerhetsgrupper.

2. På sidan Nätverkssäkerhetsgrupper väljer du Skapa.

3. På fliken Grundläggande anger du nsg-app1 i Namn.

4. Välj Granska + Skapa och välj sedan Skapa.

5. Gå till den nyligen skapade nätverkssäkerhetsgruppen.

6. På sidan nätverkssäkerhetsgrupp väljer du Inkommande säkerhetsregler under Inställningar.

7. På sidan Inkommande säkerhetsregler väljer du Lägg till.

8. I fönstret Lägg till inkommande säkerhetsregel anger eller väljer du dessa inställningar tillsammans med standardvärden:

   Setting	Value
   Source	Välj IP-adresser.
   Källans IP-adress/CIDR-intervall	Ange 192.168.100.0/24.
   Källportområden	Ange *.
   Destination	Välj Valfritt.
   Service	Välj HTTPS.
   Action	Välj Tillåt.
   Priority	Ange 300.
   Name	Ange Allow_HTTPS_From_Firewall.

9. Välj Lägg till.

10. På sidan Inkommande säkerhetsregler väljer du Lägg till.

11. I fönstret Lägg till inkommande säkerhetsregel anger eller väljer du dessa inställningar tillsammans med standardvärden:

    Setting	Value
    Source	Välj Valfritt.
    Källportområden	Ange *.
    Destination	Välj Valfritt.
    Service	Välj Anpassad.
    Intervall för målportar	Ange *.
    Protocol	Välj Valfritt.
    Action	Välj Neka.
    Priority	Ange 310.
    Name	Ange Deny_All_Traffic.

12. Välj Lägg till.

13. På sidan Nätverkssäkerhetsgrupp väljer du Undernät under Inställningar.

14. På sidan Undernät väljer du Associera.

15. I fönstret Associera undernät väljer du det virtuella nätverket spoke-vnet .

16. I listrutan Undernät väljer du undernätet App1 .

17. Välj OK.

Rensa

Du rensar miljön genom att ta bort resursgruppen som innehåller alla resurser, myResourceGroup.

Nästa steg

När du har skapat ett Zero Trust-nätverk för webbprogram kan du ta en titt på de här extra utbildningsmöjligheterna för att öka dina kunskaper om Zero Trust-säkerhet:

• Granska grunderna i Zero Trust för Azure-infrastruktur
• Slutför utbildningsguiden – Upprätta de vägledande principerna och kärnkomponenterna i Zero Trust