應用程式閘道和加密
在傳輸資料時進行加密是保護應用程式的重要步驟。 您可以使用向憑證授權單位購買的憑證,對往返進出伺服器的訊息進行加密。 此加密可防止未經授權的使用者在這些訊息傳輸時進行攔截,並查看當中的資訊。
加密對貨運入口網站而言至關重要,因為牽涉到客戶訂單。 只要能夠存取傳輸的資料,就可以檢視敏感性資訊,例如客戶詳細資料或財務帳戶資料。
若要協助保護這項資料,您可以使用 Azure 應用程式閘道。 它會加密在使用者到應用程式伺服器網路上周遊的資料。
應用程式閘道及其優點
Azure 應用程式閘道是一種應用程式傳遞控制器。 它可以提供像是負載平衡 HTTP 流量、Web 應用程式防火牆,以及針對您資料進行 SSL 加密的支援等功能。 應用程式閘道支援加密使用者和應用程式閘道間,以及應用程式伺服器和應用程式閘道間的流量。
當您終止應用程式網路閘道的 SSL 連線時,會從您的伺服器卸載 CPU 密集型 SSL 終止工作負載。 您也不需要安裝憑證和在伺服器上設定 SSL。
如果您需要端對端加密,應用程式閘道可以使用私密金鑰來解密閘道上的流量。 然後使用後端集區中執行的服務公開金鑰來重新加密。
透過應用程式閘道公開網站或 Web 應用程式也表示,伺服器不會直接連線到網路。 您在應用程式閘道上只會公開連接埠 80 或連接埠 443。 您的網頁伺服器無法從網際網路直接存取,並可因此減少基礎結構的受攻擊面。
應用程式閘道元件
應用程式閘道包含數個元件。 加密的主要部分包含前端連接埠、接聽程式和後端集區。
下圖顯示傳入流量從用戶端經 SSL 到應用程式閘道如何解密,以及在傳送到後端集區的伺服器時如何重新加密。
前端連接埠和接聽程式
流量透過前端連接埠進入閘道。 您可以開啟多個連接埠,而應用程式閘道可以在任何這些連接埠上接收訊息。 流量透過連接埠進入閘道時首先會遇到接聽程式。 設定接聽程式是為了接聽特定主機名稱,以及特定 IP 位址上的特定連接埠。 接聽程式可以使用 SSL 憑證來解密進入網路閘道的流量。 然後接聽程式會使用您定義的規則將傳入要求導向後端集區。
後端集區
後端集區包含應用程式伺服器。 這些伺服器可能是虛擬機器、虛擬機器擴展集或在 Azure App Service 上執行的應用程式。 傳入要求在此集區中的伺服器之間可以進行負載平衡。 後端集區中有 HTTP 設定參考用來驗證後端伺服器的憑證。 網路閘道將流量傳送到其中一個後端集區伺服器前,會先使用此憑證重新加密。
如果您使用 Azure App Service 來裝載後端應用程式,您不需要在應用程式閘道安裝任何憑證來連線到後端集區。 所有通訊都會自動加密。 應用程式閘道會信任伺服器,因為 Azure 會負責管理它們。