Образец архитектуры, которая показывает, как ограничить доступ к сервису Azure App из IP -диапазонов поставщика облачного WAF
Обзор проекта
Это архитектура образца белой доски, которая показывает, как обеспечить доступ к службе Azure App, размещенной на общедоступной и клиентской приложении/API позади WAF, который управляется и размещается снаружи.
Этот конкретный пример был основан на брандмауэре веб -приложения Incapsula/Imperva и их реализации, но для большинства поставщиков WAF на основе DNS он будет очень похож.
Поскольку основные требования не меняются:
Первый Вам необходимо прокси (передавать) трафик, поступающий в ваше заявление через инфраструктуру вашего поставщика WAF, так что вы следите за тем, чтобы трафик проверялся с помощью WAF и определенных вами правил.
Второй , вам нужно убедиться, что ваш WAF может достичь вашего происхождения серверы
и Третий , Убедитесь, что вы ограничиваете доступ к службе приложения только из исходящих диапазонов брандмауэра веб -приложения.
Этот поток будет аналогичным для приложений, размещенных в виртуальной сети, таких, как кластеры Kubernetes, виртуальные машины, среда обслуживания приложений в короткие сроки, где вы можете применить группу безопасности сети. Если это так, можно просто применить ту же самую логику белых списков из исходящих IP -диапазонов поставщика WAF, к входящим правилам группы сетевой безопасности.
Причина, по которой я сделал этот образец с регулярной общественной службой приложений, заключается в том, что для того, кто не знает, что он полный набор функций, они могут считать это решением для хостинга, которое нельзя защитить или заблокировать. Они могут сказать, что это публика, поэтому не в безопасности, подумайте, что им нужно либо отказаться от использования App Services, либо вынуждено перейти на среду обслуживания приложений.
Если вы используете другого поставщика, такого как Cloudflare, где они также заставляют вас использовать их в качестве поставщика DNS, в этом случае запись CNAME автоматически обрабатывается для вас, вам просто нужно убедиться, что вы включаете прокси -режим «оранжевый» CloudFlare для Ваш конкретный субдомен и ограничивает доступ к службе вашего приложения только для исходящих IP -диапазонов CloudFlare. В прошлом я настроил что -то очень похожее с CloudFlare WAF, а также с Azure VM и балансировщиком нагрузки.
Диаграмма детали
1- Обычный трафик от пользователей нашего приложения. Их трафик будет обработан с помощью двигателя брандмауэра веб -приложения и ожидается, что он будет разрешен. 2- Злоугодные атаки, совершенные в нашем применении, будут заблокированы обработкой правил WAF и заблокированы. 3- Весь доступ к службе приложений за пределами исходящего диапазона IP-провайдера Cloud WAF заблокирован ограничениями доступа к сервису приложений.
Чтобы просмотреть диаграмму в Draw.io Viewer, пожалуйста, нажмите здесь.
Оригинал: «https://dev.to/mertsenel/azure-architecture-scenario-protect-an-azure-app-service-with-a-cloud-hosted-waf-dns-based-2jn2»