Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Azure Application Gateway is een load balancer voor webverkeer waarmee u verkeer naar uw webtoepassingen kunt beheren. Als een essentieel onderdeel in uw netwerkinfrastructuur verwerkt Application Gateway binnenkomende aanvragen en stuurt deze door naar back-endservices, waardoor het essentieel is om de juiste beveiligingsmaatregelen te implementeren om te beschermen tegen bedreigingen en naleving van de beveiligingsvereisten van de organisatie te garanderen.
Dit artikel bevat richtlijnen voor het beveiligen van uw Azure Application Gateway-implementatie.
Netwerkbeveiliging
Netwerkbeveiliging voor Application Gateway omvat het beheren van de verkeersstroom, het implementeren van de juiste segmentatie en het beveiligen van communicatie tussen clients en back-endservices.
Implementeren in een toegewezen subnet: plaats uw Application Gateway in een toegewezen subnet in uw virtuele netwerk om netwerkisolatie te bieden en gedetailleerde verkeersbeheer mogelijk te maken. Deze scheiding helpt potentiële beveiligingsincidenten in bedwang te houden en maakt gerichte beveiligingsbeleid mogelijk.
Netwerkbeveiligingsgroepen toepassen: netwerkbeveiligingsgroepen (NSG's) gebruiken om verkeer te beperken per poort, protocol, bron-IP-adres of doel-IP-adres. Maak NSG-regels om de toegang tot alleen vereiste poorten te beperken en te voorkomen dat beheerpoorten worden geopend vanuit niet-vertrouwde netwerken. Zie Netwerkbeveiligingsgroepen voor meer informatie.
Privé-eindpunten configureren: Implementeer privé-eindpunten voor uw Application Gateway wanneer deze worden ondersteund om privétoegangspunten tot stand te brengen die blootstelling aan het openbare internet elimineren. Dit vermindert uw kwetsbaarheid voor aanvallen door verkeer binnen uw virtuele netwerk te houden. Zie Private Link voor Azure Application Gateway configureren (preview) voor meer informatie.
DDoS-beveiliging inschakelen: Azure DDoS-netwerkbeveiliging implementeren op het virtuele netwerk dat als host fungeert voor uw Application Gateway om te beschermen tegen grootschalige DDoS-aanvallen. Dit biedt verbeterde DDoS-risicobeperkingsmogelijkheden, waaronder adaptieve afstemming en aanvalsmeldingen. Zie Uw toepassingsgateway beveiligen met Azure DDoS-netwerkbeveiliging voor meer informatie.
De juiste infrastructuurconfiguratie implementeren: volg de aanbevolen infrastructuurconfiguratie van Azure om ervoor te zorgen dat uw Application Gateway wordt geïmplementeerd met aanbevolen beveiligingsprocedures. Dit omvat de juiste subnetgrootte, configuratie van routetabellen en netwerkafhankelijkheden. Zie De configuratie van de infrastructuur van Application Gateway voor meer informatie.
Beveiliging van webtoepassingen
Web Application Firewall biedt essentiële bescherming tegen veelvoorkomende webproblemen en aanvallen die gericht zijn op uw toepassingen.
Web Application Firewall implementeren: SCHAKEL WAF in uw Application Gateway in om te beschermen tegen OWASP Top 10-bedreigingen, waaronder SQL-injectie, scripts op meerdere sites en andere veelvoorkomende webaanvallen. Start in de detectiemodus om verkeerspatronen te begrijpen en schakel vervolgens over naar de preventiemodus om bedreigingen actief te blokkeren. Zie Wat is Azure Web Application Firewall op Azure Application Gateway?
Aangepaste WAF-regels configureren: maak aangepaste regels om specifieke bedreigingen aan te pakken die gericht zijn op uw toepassingen, waaronder snelheidsbeperking, IP-blokkering en geofiltering. Aangepaste regels bieden gerichte beveiliging buiten beheerde regelsets. Zie Aangepaste v2-regels maken en gebruiken voor meer informatie.
Botbeveiliging inschakelen: gebruik de door botbeveiliging beheerde regelset om schadelijke bots te identificeren en te blokkeren, terwijl legitieme verkeer van zoekmachines en bewakingshulpprogramma's wordt toegestaan. Zie Botbeveiliging configureren voor meer informatie.
Frequentiebeperking implementeren: configureer regels voor snelheidsbeperking om misbruik en DDoS-aanvallen te voorkomen door het aantal aanvragen te beheren dat is toegestaan vanuit afzonderlijke IP-adressen binnen de opgegeven tijdvensters. Zie het overzicht van snelheidsbeperking voor meer informatie.
Identiteits- en toegangsbeheer
De juiste verificatie- en autorisatiecontroles zorgen ervoor dat alleen geautoriseerde gebruikers en systemen toegang hebben tot uw Application Gateway en de bijbehorende configuratie.
Wederzijdse verificatie configureren: wederzijdse TLS-verificatie implementeren om clientcertificaten te verifiëren, waardoor er een extra beveiligingslaag voor gevoelige toepassingen wordt geboden. Dit zorgt ervoor dat zowel de client als de server elkaar verifiëren. Zie Wederzijdse verificatie configureren met Application Gateway via de portal voor meer informatie.
Gebruik Azure RBAC voor beheertoegang: Pas op rollen gebaseerd toegangsbeheer toe om te beperken wie Application Gateway-configuraties kan wijzigen. Wijs de minimaal benodigde machtigingen toe aan gebruikers en serviceaccounts. Zie ingebouwde Azure-rollen voor meer informatie.
Gegevensbescherming
Gegevensbeveiliging voor Application Gateway is gericht op het beveiligen van gegevens tijdens overdracht en het correct beheren van certificaten en geheimen.
TLS-versleuteling inschakelen: TLS-beëindiging configureren voor het versleutelen van gegevens die worden verzonden tussen clients en uw Application Gateway. Zorg ervoor dat u de nieuwste versie gebruikt om te beschermen tegen bekende beveiligingsproblemen. Zie Overzicht van TLS-beëindiging en end-to-end TLS met Application Gateway voor meer informatie.
Certificaten opslaan in Azure Key Vault: Gebruik Azure Key Vault om uw TLS-certificaten veilig op te slaan en te beheren in plaats van ze in te sluiten in configuratiebestanden. Dit maakt automatische certificaatrotatie en gecentraliseerd beheer van geheimen mogelijk. Zie TLS-beëindiging met Key Vault-certificaten voor meer informatie.
Beveiligd certificaatbeheer configureren: stel automatische rotatie van certificaten in Azure Key Vault in op basis van een gedefinieerd schema of bij het naderen van de vervaldatum. Zorg ervoor dat het genereren van certificaten voldoet aan beveiligingsstandaarden met voldoende sleutelgrootten en de juiste geldigheidsperioden. Zie Een Application Gateway configureren met TLS-beëindiging met behulp van Azure Portal voor meer informatie.
HTTP naar HTTPS-omleiding implementeren: configureer automatische omleiding van HTTP naar HTTPS om ervoor te zorgen dat al het verkeer wordt versleuteld. Dit voorkomt dat gevoelige gegevens in tekst zonder opmaak worden verzonden. Zie Een toepassingsgateway maken met HTTP naar HTTPS-omleiding met behulp van Azure Portal voor meer informatie.
End-to-end TLS configureren: TLS-versleuteling tussen Application Gateway en back-endservers inschakelen voor maximale gegevensbeveiliging in het hele communicatiepad. Zie Overzicht van TLS-beëindiging en end-to-end TLS met Application Gateway voor meer informatie.
Bewaking en detectie van bedreigingen
Logboekregistratie en bewaking bieden inzicht in Application Gateway-bewerkingen en helpen bij het detecteren van mogelijke beveiligingsrisico's.
Diagnostische logboekregistratie inschakelen: Configureer Azure-resourcelogboeken om gedetailleerde informatie over Application Gateway-bewerkingen vast te leggen, waaronder toegangspatronen, metrische gegevens over prestaties en beveiligingsevenementen. Verzend deze logboeken naar een Log Analytics-werkruimte of opslagaccount voor analyse. Voor meer informatie, zie back-endstatus- en diagnostische logboeken voor Application Gateway.
Aangepaste statustests configureren: stel aangepaste statustests in om de status van de back-endserver effectiever te bewaken dan standaardtests. Aangepaste tests kunnen problemen op toepassingsniveau detecteren en ervoor zorgen dat verkeer alleen goede servers bereikt. Voor meer informatie, zie het overzicht van Application Gateway-statustests.
Bewaking en waarschuwingen instellen: Waarschuwingen maken op basis van metrische gegevens en logboeken van Application Gateway om ongebruikelijke verkeerspatronen, mislukte verificatiepogingen of prestatieafwijkingen te detecteren die mogelijk beveiligingsproblemen aangeven. Gebruik Azure Monitor om basislijnprestaties vast te stellen en afwijkingen te identificeren.
Gecentraliseerd logboekbeheer implementeren: Application Gateway-logboeken integreren met uw SIEM-systeem (Security Information and Event Management) om gebeurtenissen in uw infrastructuur te correleren en geautomatiseerde detectie en reactie van bedreigingen mogelijk te maken.
Back-endstatus bewaken: gebruik de functie Back-endstatus om continu de status van uw back-endservers te bewaken en snel potentiële beveiligings- of beschikbaarheidsproblemen te identificeren. Voor meer informatie, zie Backendstatus weergeven via de portal.
Activabeheer
Assetbeheer zorgt ervoor dat uw Application Gateway-configuraties correct worden bewaakt en voldoen aan het organisatiebeleid.
Azure Policy-governance implementeren: Azure Policy gebruiken om configuraties in uw Application Gateway-implementaties te controleren en af te dwingen. Maak beleidsregels die onveilige configuraties voorkomen en naleving van beveiligingsstandaarden garanderen. Zie ingebouwde Azure Policy-definities voor Azure-netwerkservices voor meer informatie.
Configuratienaleving monitoren: Gebruik Microsoft Defender voor Cloud om de configuraties van uw Application Gateway continu te controleren en ontvang waarschuwingen wanneer er afwijkingen ten opzichte van de beveiligingsbasislijnen worden gedetecteerd. Stel waar mogelijk geautomatiseerd herstel in om een consistent beveiligingspostuur te behouden.