Я не уверен, что я пропустил что-то простое, или если я пытаюсь сделать невозможное.Как подключить веб-приложение Azure (службу приложений/веб-сайт) к группе сетевой безопасности?
У меня есть сайт Tomcat, развернутый на Azure с использованием модели Web + Mobile App Services. Это не виртуальная машина. Я хотел бы иметь возможность применять правила брандмауэра (группа сетевой безопасности) к этой службе приложений.
Вот что я сделал в моей группе ресурсов:
- Взятые мой существующий App Service (Tomcat) и модернизировал его S1 размера машины.
- Создал VNET с настройками по умолчанию. Это включало создание подсети с именем «default». Все предложения адресного пространства остались в приглашениях по умолчанию Azure.
- Используется лезвие настроек сети в службе App, чтобы выбрать только что созданный VNET.
- Создал группу безопасности сети - добавлено входящее правило, чтобы запретить HTTP-порт 80 из любого источника.
- Associated NSG создан выше подсети по умолчанию
- Ждали все на распространение информации
- Испытано ударять App службы по HTTP порт 80, и вернулся получили результаты.
Это было не то, что я надеялся увидеть. Для отладки это я проверил:
- Создание Tomcat виртуальной машины
- На клинке VM Network, связанную ВМ с подсетью «по умолчанию», а конкретно удалили группу Network Security от VM (оставляя его на подсеть - только убедившись, что он явно не прилагается к VM)
- Испытано доступ HTTP к VM - трафик отвергнута
- Испытано доступ HTTP к App службы - трафик по-прежнему разрешено
- Изменены правила Network Group Security для разрешить
- Испытано доступ HTTP к VM и трафику разрешен
Как я получаю App Service, чтобы использовать сетевую группу безопасности, как виртуальная машина делает? Мне где-то не хватает настройки подсети в службе App? Есть ли другой способ связать NSG с Службой App?
У меня нет бюджета/необходимости создания ASE. Все, что мне нужно сделать, это поставить брандмауэр перед моей службой приложений, чтобы заблокировать порты, которые я не хочу видеть используемыми.
Спасибо.
Я предполагаю, что так как это – Cam
Я предполагаю, что, поскольку это PaaS, частью платформы я доверяю, что команда Azure правильно настроила внешний брандмауэр. Я никогда не развертывал веб-приложение до того, где я ** не получал контроль/ответственность за установку брандмауэра. Я просто предположил, что я тоже здесь ответственен за это. Я использую механизм для перенаправления трафика с 80 до 443 и в подкаталоги для администрирования whitelist. И пересечь пальцы, что команда Лазури обеспечила платформу. –
Cam
Переписать правила для 80-> 443. Искать Force HTTPS здесь http://microsoftazurewebsitescheatsheet.info/ Укажите свой страх. Каковы векторы атаки, которые вы имеете в виду, и могут быть адресами с правилами брандмауэра? – evilSnobu