Azure Front Door çıkış noktalarına trafiğin güvenliğini sağlama

Front Door'un özellikleri, trafik yalnızca Front Door üzerinden aktığında en iyi şekilde çalışır. Front Door üzerinden gönderilmemiş trafiği engellemek için kaynağınızı yapılandırmanız gerekir. Aksi takdirde trafik Front Door'un web uygulaması güvenlik duvarını, DDoS korumasını ve diğer güvenlik özelliklerini atlayabilir.

Dekont

Bu makaledeki kaynak ve çıkış noktası grubu , Azure Front Door (klasik) yapılandırmasının arka uç ve arka uç havuzunu ifade eder.

Front Door, kaynak trafiğinizi kısıtlamak için kullanabileceğiniz çeşitli yaklaşımlar sağlar.

Özel Bağlantı çıkış noktaları

Front Door'un premium SKU'sunu kullandığınızda, trafiği kaynağınıza göndermek için Özel Bağlantı kullanabilirsiniz. Özel Bağlantı çıkış noktaları hakkında daha fazla bilgi edinin.

Kaynağınızı, Özel Bağlantı gelmeyen trafiğe izin vermeyecek şekilde yapılandırmanız gerekir. Trafiği kısıtlama yönteminiz, kullandığınız Özel Bağlantı kaynağının türüne bağlıdır:

• hizmeti Azure Uygulaması ve Azure İşlevleri Özel Bağlantı kullandığınızda genel İnternet uç noktaları üzerinden erişimi otomatik olarak devre dışı bırakın. Daha fazla bilgi için bkz . Azure Web App için Özel Uç Noktaları Kullanma.
• Azure Depolama, İnternet'ten gelen trafiği reddetmek için kullanabileceğiniz bir güvenlik duvarı sağlar. Daha fazla bilgi için bkz. Azure Depolama güvenlik duvarlarını ve sanal ağları yapılandırma.
• Azure Özel Bağlantı hizmeti olan iç yük dengeleyiciler genel olarak yönlendirilemez. Ayrıca, İnternet'ten sanal ağınıza erişime izin vermediğinizden emin olmak için ağ güvenlik gruplarını yapılandırabilirsiniz.

Genel IP adresi tabanlı kaynaklar

Genel IP adresi tabanlı çıkış noktaları kullandığınızda, trafiğin Front Door örneğinizden akmasını sağlamak için birlikte kullanmanız gereken iki yaklaşım vardır:

• Kaynağınıza yapılan isteklerin yalnızca Front Door IP adresi aralıklarından kabul edilmesini sağlamak için IP adresi filtrelemeyi yapılandırın.
• Front Door'un çıkış noktasıyla ilgili tüm isteklere eklediği üst bilgi değerini doğrulamak X-Azure-FDID ve değerinin Front Door'un tanımlayıcısıyla eşleştiğinden emin olmak için uygulamanızı yapılandırın.

IP adresi filtreleme

Kaynaklarınızın IP adresi filtrelemesini, Yalnızca Azure Front Door'un arka uç IP adresi alanından ve Azure'ın altyapı hizmetlerinden gelen trafiği kabul etmek üzere yapılandırın.

AzureFrontDoor.Backend hizmet etiketi Front Door'un kaynaklarınıza bağlanmak için kullandığı IP adreslerinin listesini sağlar. Bu hizmet etiketini ağ güvenlik grubu kurallarınızda kullanabilirsiniz. Ayrıca en son IP adresleriyle düzenli olarak güncelleştirilen Azure IP Aralıkları ve Hizmet Etiketleri veri kümesini de indirebilirsiniz.

Sanallaştırılmış ana bilgisayar IP adresleri 168.63.129.16 ve aracılığıyla Azure'ın temel altyapı hizmetlerinden gelen trafiğe de izin vermelisiniz169.254.169.254.

Uyarı

Front Door'un IP adresi alanı düzenli olarak değişir. IP adreslerini sabit kodlamak yerine AzureFrontDoor.Backend hizmet etiketini kullandığınızdan emin olun.

Front Door tanımlayıcısı

Diğer Azure müşterileri aynı IP adreslerini kullandığından, yalnızca IP adresi filtrelemesi kaynağınıza giden trafiğin güvenliğini sağlamak için yeterli değildir. Ayrıca trafiğin Front Door profilinizden kaynaklanmasını sağlamak için kaynağınızı da yapılandırmanız gerekir.

Azure, her Front Door profili için benzersiz bir tanımlayıcı oluşturur. Profilinizin Genel Bakış sayfasında Front Door ID değerini arayarak tanımlayıcıyı Azure portalında bulabilirsiniz.

Front Door kaynağınıza bir istekte bulunduğunda istek üst bilgisini ekler X-Azure-FDID . Kaynağınız gelen isteklerde üst bilgiyi incelemeli ve değerin Front Door profilinizin tanımlayıcısı ile eşleşmediği istekleri reddetmelidir.

Örnek yapılandırma

Aşağıdaki örneklerde farklı kaynak türlerinin güvenliğini nasıl sağlayabildiğiniz gösterilmektedir.

App Service ve İşlevler

App Service erişim kısıtlamalarını kullanarak HEM IP adresi filtrelemesi hem de üst bilgi filtrelemesi gerçekleştirebilirsiniz. Bu özellik platform tarafından sağlanır ve uygulamanızı veya konağınızı değiştirmeniz gerekmez.

Application Gateway

Application Gateway sanal ağınıza dağıtılır. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Üst bilgi değerini denetlemek X-Azure-FDID için özel bir WAF kuralı kullanın. Daha fazla bilgi için bkz. Application Gateway'de Web Uygulaması Güvenlik Duvarı v2 özel kuralları oluşturma ve kullanma.

IIS

Azure tarafından barındırılan bir sanal makinede Microsoft Internet Information Services (IIS) çalıştırdığınızda, sanal makineyi barındıran sanal ağda bir ağ güvenlik grubu oluşturmanız gerekir. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Gelen isteklerinizdeki üst bilgiyi incelemek X-Azure-FDID için aşağıdaki örnekteki gibi bir IIS yapılandırma dosyası kullanın:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

AKS NGINX denetleyicisi

AKS'yi bir NGINX giriş denetleyicisiyle çalıştırdığınızda, AKS kümesini barındıran sanal ağda bir ağ güvenlik grubu oluşturmanız gerekir. AzureFrontDoor.Backend hizmet etiketinden 80 ve 443 bağlantı noktalarına gelen erişime izin verecek ve İnternet hizmet etiketinden 80 ve 443 bağlantı noktalarında gelen trafiğe izin vermeyecek şekilde bir ağ güvenlik grubu kuralı yapılandırın.

Gelen isteklerinizdeki üst bilgiyi incelemek X-Azure-FDID için aşağıdaki örnekteki gibi bir Kubernetes giriş yapılandırma dosyası kullanın:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Sonraki adımlar

• Front Door'da WAF profili yapılandırmayı öğrenin.
• Front Door oluşturmayı öğrenin.
• Front Door’un nasıl çalıştığını öğrenin.