Uzamčení služby App Service Environment

Služba App Service Environment (ASE) má mnoho externích závislostí, ke kterým vyžaduje přístup, aby fungoval správně. Služba ASE se nachází ve službě Azure Virtual Network zákazníka. Zákazníci musí povolit provoz závislostí ASE, což je problém pro zákazníky, kteří chtějí uzamknout veškerý výchozí přenos dat ze své virtuální sítě.

Ke správě služby ASE se používá mnoho příchozích koncových bodů. Příchozí provoz správy se nedá odesílat přes zařízení brány firewall. Zdrojové adresy pro tento provoz jsou známé a publikují se v dokumentu adresy správy služby App Service Environment. Existuje také značka služby s názvem AppServiceManagement, kterou je možné použít se skupinami zabezpečení sítě (NSG) k zabezpečení příchozího provozu.

Odchozí závislosti ASE jsou téměř úplně definované plně kvalifikovanými názvy domén, které za sebou nemají statické adresy. Nedostatek statických adres znamená, že skupiny zabezpečení sítě se nedají použít k uzamčení odchozího provozu ze služby ASE. Adresy se často mění tak, aby na základě aktuálního řešení nemohly nastavit pravidla a použít je k vytváření skupin zabezpečení sítě.

Řešení zabezpečení odchozích adres se používá zařízení brány firewall, které může řídit odchozí provoz na základě názvů domén. Azure Firewall může omezit odchozí provoz HTTP a HTTPS na základě plně kvalifikovaného názvu domény cíle.

Systémová architektura

Nasazení služby ASE s odchozím provozem procházejícího zařízením brány firewall vyžaduje změnu tras v podsíti ASE. Trasy fungují na úrovni IP adresy. Pokud při definování tras nejste opatrní, můžete vynutit přenosy odpovědí TCP na zdroj z jiné adresy. Pokud se adresa odpovědi liší od odesílaných přenosů adres, problém se nazývá asymetrické směrování a přeruší protokol TCP.

Musí existovat trasy definované tak, aby příchozí provoz do služby ASE mohl odpovídat stejným způsobem, jakým se provoz vrátil. Trasy musí být definované pro příchozí žádosti o správu a pro příchozí žádosti aplikací.

Provoz do služby ASE a z této služby musí dodržovat následující konvence:

• Provoz do Azure SQL, Storage a Event Hubs se nepodporuje při použití zařízení brány firewall. Tento provoz se musí odesílat přímo do těchto služeb. Způsob, jak to udělat, je nakonfigurovat koncové body služby pro tyto tři služby.
• Pravidla směrovací tabulky musí být definovaná tak, aby odesílala příchozí provoz správy zpět z místa, kam přišla.
• Pravidla směrovací tabulky musí být definovaná tak, aby odesílala příchozí provoz aplikace zpět z místa, kam přišla.
• Veškerý ostatní provoz, který opouští službu ASE, se dá odeslat do zařízení brány firewall pomocí pravidla směrovací tabulky.

Uzamčení příchozího provozu správy

Pokud vaše podsíť ASE ještě nemá přiřazenou skupinu zabezpečení sítě, vytvořte ji. V rámci skupiny zabezpečení sítě nastavte první pravidlo tak, aby povoloval provoz ze značky služby s názvem AppServiceManagement na portech 454, 455. Pravidlo pro povolení přístupu ze značky AppServiceManagement je jediná věc, která se vyžaduje z veřejných IP adres pro správu služby ASE. Adresy, které jsou za značkou služby, se používají pouze ke správě služby Aplikace Azure Service. Provoz správy, který prochází těmito připojeními, je šifrovaný a zabezpečený pomocí ověřovacích certifikátů. Typický provoz v tomto kanálu zahrnuje například příkazy iniciované zákazníkem a sondy stavu.

AsE vytvořené prostřednictvím portálu s novou podsítí se vytvoří se skupinou zabezpečení sítě, která obsahuje pravidlo povolení pro značku AppServiceManagement.

Vaše služba ASE musí také povolit příchozí požadavky ze značky Load Balanceru na portu 16001. Požadavky z Load Balanceru na portu 16001 jsou stále aktivní kontroly mezi Load Balancerem a front-endy SLUŽBY ASE. Pokud je zablokovaný port 16001, vaše služby ASE nejsou v pořádku.

Konfigurace služby Azure Firewall se službou ASE

Postup uzamčení výchozího přenosu dat z existující služby ASE pomocí služby Azure Firewall:

1. Povolte koncové body služby do služby SQL, Storage a Event Hubs ve vaší podsíti ASE. Pokud chcete povolit koncové body služby, přejděte do podsítí portálu > sítě a v rozevíracím seznamu Koncové body služby vyberte Microsoft.EventHub, Microsoft.SQL a Microsoft.Storage. Pokud máte povolené koncové body služby pro Azure SQL, musí být všechny závislosti Azure SQL, které vaše aplikace mají, nakonfigurované i s koncovými body služby.

   

2. Ve virtuální síti, ve které existuje vaše služba ASE, vytvořte podsíť s názvem AzureFirewallSubnet. Postupujte podle pokynů v dokumentaci ke službě Azure Firewall a vytvořte bránu Azure Firewall.

3. V kolekci pravidel aplikace pravidel > uživatelského rozhraní > služby Azure Firewall vyberte Přidat kolekci pravidel aplikace. Zadejte název, prioritu a nastavte Povolit. V části Značky plně kvalifikovaného názvu domény zadejte název, nastavte zdrojové adresy na * a vyberte značku plně kvalifikovaného názvu domény služby App Service Environment a služba Windows Update.

   

4. V kolekci pravidel > pravidel síťového rozhraní > služby Azure Firewall vyberte Přidat kolekci pravidel sítě. Zadejte název, prioritu a nastavte Povolit. V části Pravidla v části IP adresy zadejte název, vyberte protokol Any, nastavte * na zdrojové a cílové adresy a nastavte porty na 123. Toto pravidlo umožňuje systému provádět synchronizaci hodin pomocí protokolu NTP. Vytvořte jiné pravidlo stejným způsobem jako port 12000, které pomáhá určit prioritu problémů se systémem.

   

5. V kolekci pravidel > pravidel síťového rozhraní > služby Azure Firewall vyberte Přidat kolekci pravidel sítě. Zadejte název, prioritu a nastavte Povolit. V části Pravidla v části Značky služeb zadejte název, vyberte protokol Any, nastavte * na Zdrojové adresy, vyberte značku služby AzureMonitor a nastavte porty na 80, 443. Toto pravidlo umožňuje systému poskytovat službě Azure Monitor informace o stavu a metrikách.

   

6. Vytvořte směrovací tabulku s trasou pro značku služby AppServiceManagement s dalším segmentem směrování internetu. Tato položka směrovací tabulky se vyžaduje, aby nedocházelo k problémům s asymetrickým směrováním. Přidejte trasu virtuálního zařízení do směrovací tabulky 0.0.0.0/0 s dalším segmentem směrování, který bude vaší privátní IP adresou služby Azure Firewall. Místo IP adres byste měli použít značku služby, abyste nemuseli aktualizovat směrovací tabulku, když se adresy pro správu změní. Pokud ale potřebujete použít adresy pro správu, můžete si stáhnout referenční soubor značek služeb pro cloud, který používáte, z adres pro správu služby App Service Environment a vytvořit z nich trasy.

7. Přiřaďte směrovací tabulku, kterou jste vytvořili, k podsíti ASE.

Nasazení služby ASE za bránou firewall

Postup nasazení služby ASE za bránu firewall je stejný jako konfigurace existující služby ASE pomocí služby Azure Firewall s výjimkou toho, že potřebujete vytvořit podsíť ASE a pak postupovat podle předchozích kroků. Pokud chcete vytvořit službu ASE v existující podsíti, musíte použít šablonu Resource Manageru, jak je popsáno v dokumentu o vytvoření služby ASE pomocí šablony Resource Manageru.

Provoz aplikací

Výše uvedené kroky umožňují službě ASE pracovat bez problémů. Stále potřebujete nakonfigurovat věci tak, aby vyhovovaly potřebám vaší aplikace. Existují dva problémy s aplikacemi ve službě ASE, které jsou nakonfigurované se službou Azure Firewall.

• Závislosti aplikací musí být přidány do brány Azure Firewall nebo směrovací tabulky.
• Aby nedocházelo k problémům s asymetrickým směrováním, je nutné vytvořit trasy pro provoz aplikací.

Pokud vaše aplikace mají závislosti, je potřeba je přidat do brány Azure Firewall. Vytvořte pravidla aplikace, která povolí provoz HTTP/HTTPS a pravidla sítě pro všechno ostatní.

Když znáte rozsah adres, ze kterého pochází provoz požadavků vaší aplikace, můžete ho přidat do směrovací tabulky, která je přiřazená k podsíti ASE. Pokud je rozsah adres velký nebo nezadaný, můžete použít síťové zařízení, jako je Application Gateway, a poskytnout tak jednu adresu, kterou chcete přidat do směrovací tabulky. Podrobnosti o konfiguraci služby Application Gateway pomocí služby ASE s interním nástrojem pro vyrovnávání zatížení najdete v tématu Integrace služby ASE s interním nástrojem pro vyrovnávání zatížení se službou Application Gateway.

Toto použití služby Application Gateway je jen jedním z příkladů konfigurace systému. Pokud jste postupovali podle této cesty, museli byste přidat trasu do směrovací tabulky podsítě ASE, aby provoz odpovědí odeslaný do služby Application Gateway šel přímo tam.

Protokolování

Azure Firewall může odesílat protokoly do protokolů služby Azure Storage, Event Hubs nebo Azure Monitoru. Pokud chcete aplikaci integrovat s jakýmkoli podporovaným cílem, přejděte do diagnostických protokolů portálu > Azure Firewall a povolte protokoly pro požadovaný cíl. Pokud se integrujete s protokoly služby Azure Monitor, můžete zobrazit protokolování všech přenosů odesílaných do služby Azure Firewall. Pokud chcete zobrazit odepřený provoz, otevřete protokoly portálu > pracovního prostoru služby Log Analytics a zadejte dotaz, jako je

AzureDiagnostics | where msg_s contains "Deny" | where TimeGenerated >= ago(1h)

Integrace brány Azure Firewall s protokoly služby Azure Monitor je užitečná při prvním zprovoznění aplikace, když si nejste vědomi všech závislostí aplikace. Další informace o protokolech služby Azure Monitor najdete v tématu Analýza dat protokolů ve službě Azure Monitor.

Konfigurace brány firewall třetí strany se službou ASE

Následující informace se vyžadují jenom v případě, že chcete nakonfigurovat jiné zařízení brány firewall než Azure Firewall. Informace o službě Azure Firewall najdete v předchozí části.

Při nasazování brány firewall třetí strany s vaší službou ASE zvažte následující závislosti:

• Služby podporující koncový bod služby by měly být nakonfigurované s koncovými body služby.
• Závislosti IP adres jsou určené pro provoz mimo HTTP/S (provoz TCP i UDP).
• Koncové body HTTP/HTTPS plně kvalifikovaného názvu domény se dají umístit do vašeho zařízení brány firewall.
• Koncové body HTTP/HTTPS se zástupnými faktory jsou závislosti, které se můžou u služby ASE lišit v závislosti na mnoha kvalifikátorech.
• Závislosti v Linuxu se týkají jenom v případě, že nasazujete linuxové aplikace do služby ASE. Pokud do služby ASE nenasazujete linuxové aplikace, tyto adresy není potřeba do brány firewall přidávat.

Závislosti podporující koncový bod služby

Závislosti IP adres

Pomocí služby Azure Firewall automaticky získáte následující nakonfigurované značky plně kvalifikovaného názvu domény.

Závislosti HTTP/HTTPS plně kvalifikovaného názvu domény

Zástupné závislosti HTTP/HTTPS

Závislosti Linuxu

Konfigurace brány firewall se službou ASE v oblastech US Gov

V případě ASE v oblastech US Gov postupujte podle pokynů v části Konfigurace služby Azure Firewall s vaší službou ASE v tomto dokumentu a nakonfigurujte bránu Azure Firewall s vaší službou ASE.

Pokud chcete použít bránu firewall třetí strany v systému US Gov, musíte zvážit následující závislosti:

• Služby podporující koncový bod služby by měly být nakonfigurované s koncovými body služby.
• Koncové body HTTP/HTTPS plně kvalifikovaného názvu domény se dají umístit do vašeho zařízení brány firewall.
• Koncové body HTTP/HTTPS se zástupnými faktory jsou závislosti, které se můžou u služby ASE lišit v závislosti na mnoha kvalifikátorech.

Linux není k dispozici v oblastech US Gov a proto není uvedený jako volitelná konfigurace.

Závislosti podporující koncový bod služby

Závislosti IP adres

Závislosti HTTP/HTTPS plně kvalifikovaného názvu domény

Zástupné závislosti HTTP/HTTPS