Нужно ли указывать на сайт vpn с azure waf и веб-приложением?

Я возился с Azure, пытаясь запустить веб-приложение. Мой план состоял в том, чтобы создать WAF и разместить за ним веб-приложение, каждое в отдельной подсети, а затем использовать технологию конечной точки службы, чтобы направить веб-приложение в базу данных.

Меня почти сразу остановили, когда я обнаружил, что если я хочу использовать WAF перед веб-приложением, мне нужно настроить сеть в веб-приложении, но когда я выбираю виртуальную сеть, он говорит, что шлюз не настроен для выбранной виртуальной сети.

Мой вопрос заключается в том, должен ли я использовать VPN «точка-сайт», чтобы эта настройка работала? я думал, что это будет работать как

ИНТЕРНЕТ ---> VNET ----> подсеть ----> WAF -----> подсеть -----> веб-приложение ----> конечная точка службы ------> БД

но похоже это не так. Мне не нравится идея установки клиентского сертификата на каждую машину в нашей сети, которая может захотеть получить доступ к этому веб-сайту (в настоящее время он является внутренним). Я полагаю, что ищу лучшее из обоих миров. Доступен из Интернета, но имеет дополнительный комфорт, поскольку перед ним находится что-то вроде WAF, чтобы восполнить любые недостатки безопасности, которые могут существовать где-то в указанном приложении.

Спасибо


azure azure-web-app-service azure-webapps web-application-firewall
person MrKobayashi    schedule 05.04.2019    source источник

Ответы (2)


arrow_upward
1
arrow_downward

Насколько мне известно, вы не можете развернуть веб-приложение в виртуальной сети, если не используете среду службы приложений (изолированную). интеграция виртуальной сети приложений может не делай этого. Он позволяет безопасно получать доступ к ресурсам в виртуальной сети. Например, у вас есть база данных на виртуальной машине Azure в частной виртуальной сети. Вы не можете получить доступ к этой базе данных из веб-приложения Azure, если эта база данных недоступна общедоступно, но вы можете получить к ней доступ через интеграцию виртуальной сети приложения.

конечные точки службы виртуальной сети другой другой сервис. Конечные точки позволяют защитить критически важные ресурсы службы Azure только для ваших виртуальных сетей. Если вы включите такую ​​конечную точку службы, как база данных SQL Azure (которая отличается от базы данных на виртуальных машинах Azure) в виртуальной сети, это означает, что только ресурс в этих авторизованных виртуальных сетях может получить доступ к вашей базе данных SQL, если вы не добавите исключение, например общедоступный IP-адрес в брандмауэр базы данных.

В этом случае вы можете разместить общедоступный шлюз приложений Azure на высоком уровне службы веб-приложений, а затем добавить общедоступный IP-адрес шлюза приложений Azure в ограничение IP веб-приложения. Это ограничит доступ к веб-приложению через шлюз веб-приложений Azure через Интернет. Кроме того, вы можете управлять входящим и исходящим трафиком сети в подсети NSG шлюза приложений Azure. См. Группы безопасности сети в подсети Шлюза приложений, если вы хотите добавить группу безопасности сети на уровень подсети Шлюза приложений. Я думаю, этого достаточно, если вы просто хотите создать WAF и разместить за ним веб-приложение.

Кроме того, если вы хотите предоставить веб-приложению частный доступ к базе данных SQL Azure. Вы можете развернуть веб-приложение в ASE, а затем включить конечную точку службы виртуальной сети для базы данных SQL Azure. Для интеграции виртуальной сети приложений не требуется использовать ее с конечной точкой службы.

person Nancy Xiong    schedule 08.04.2019
comment
Это то, что я в итоге сделал. Но я только что наткнулся на этот ответ. Итак, у меня есть виртуальная сеть только с WAF. Служба приложений не находится в виртуальной сети. Служба приложений имеет политики ограничений, разрешающие доступ только из WAF. В настоящее время это работает. Следующие шаги: - Необходимо создать базу данных Azure SQL и разрешить веб-приложению общаться с ней. Надеюсь, я смогу каким-то образом ограничить доступ только из веб-приложения. - Нужно выяснить, как я могу зарегистрировать SSL-сертификат для домена azurewebsites.net для работы со шлюзом веб-приложений, поскольку на данный момент у меня есть запись CNAME и я работаю только через http. - person MrKobayashi; 25.04.2019
comment
Need to create an Azure SQL DB and allow the web app to talk to it. Для этого, поскольку служба базы данных SQL Azure может ограничивать доступ к сети через IP-адрес или подсеть, вы можете добавить возможный исходящий IP-адрес веб-приложения в белый список или развернуть веб-приложение в ASE. Последний вопрос отличается, я предлагаю опубликовать новый вопрос. - person Nancy Xiong; 26.04.2019

arrow_upward
1
arrow_downward

Если вы хотите использовать Azure WAF со службой приложений Azure (мультитенант), вы можете это сделать, вам просто нужно убедиться, что вы предоставляете заголовок узла вместе с запросом.

введите здесь описание изображения

Если вы хотите использовать веб-приложение Azure в виртуальной сети, вам потребуется запустить веб-приложение Azure в среде службы приложений (изолированной). Эта версия веб-приложения Azure дороже, но позволяет применять группы безопасности сети к виртуальной сети, чтобы полностью контролировать доступ к вашему веб-приложению. Лично я считаю, что WAF со службой приложений Azure (мультитенант) должен удовлетворить ваши потребности.

У нас все это задокументировано здесь:

https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-overview

https://docs.microsoft.com/en-us/azure/application-gateway/configure-web-app-portal

person Ken W MSFT    schedule 05.04.2019