Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Azure Application Gateway är en lastbalanserare för webbtrafik som gör det möjligt för dig att hantera trafik till dina webbappar. Som en viktig komponent i nätverksinfrastrukturen hanterar Application Gateway inkommande begäranden och dirigerar dem till serverdelstjänster, vilket gör det viktigt att implementera lämpliga säkerhetsåtgärder för att skydda mot hot och säkerställa efterlevnad av organisationens säkerhetskrav.
Den här artikeln innehåller vägledning om hur du bäst skyddar din Azure Application Gateway-distribution.
Nätverkssäkerhet
Nätverkssäkerhet för Application Gateway innebär att kontrollera trafikflödet, implementera rätt segmentering och skydda kommunikationen mellan klienter och serverdelstjänster.
Distribuera till ett dedikerat undernät: Placera din Application Gateway i ett dedikerat undernät i ditt virtuella nätverk för att tillhandahålla nätverksisolering och aktivera detaljerad trafikkontroll. Den här separationen hjälper till att begränsa potentiella säkerhetsincidenter och möjliggör riktade säkerhetsprinciper.
Använd nätverkssäkerhetsgrupper: Använd nätverkssäkerhetsgrupper (NSG:er) för att begränsa trafiken med port, protokoll, käll-IP-adress eller mål-IP-adress. Skapa NSG-regler för att begränsa åtkomsten till endast nödvändiga portar och förhindra att hanteringsportar används från ej betrodda nätverk. Mer information finns i Nätverkssäkerhetsgrupper.
Konfigurera privata slutpunkter: Distribuera privata slutpunkter för din Application Gateway när det stöds för att upprätta privata åtkomstpunkter som eliminerar exponering för det offentliga Internet. Detta minskar din attackyta genom att hålla trafiken inom ditt virtuella nätverk. Mer information finns i Konfigurera Azure Application Gateway Private Link (förhandsversion).
Aktivera DDoS-skydd: Distribuera Azure DDoS Network Protection i det virtuella nätverk som är värd för din Application Gateway för att skydda mot storskaliga DDoS-attacker. Detta ger förbättrade DDoS-minskningsfunktioner, inklusive anpassningsbara justerings- och attackmeddelanden. Mer information finns i Skydda din programgateway med Azure DDoS Network Protection.
Implementera korrekt infrastrukturkonfiguration: Följ Azures rekommenderade infrastrukturkonfiguration för att säkerställa att Din Application Gateway distribueras med metodtips för säkerhet. Detta omfattar korrekt storlek på undernät, konfiguration av routningstabeller och nätverksberoenden. Mer information finns i Konfiguration av Application Gateway-infrastruktur.
Skydd av webbprogram
Brandväggen för webbaserade program ger ett viktigt skydd mot vanliga webbsårbarheter och attacker som riktas mot dina program.
Distribuera brandväggen för webbprogram: Aktivera WAF på din Application Gateway för att skydda mot OWASP:s 10 främsta hot, inklusive SQL-inmatning, skript för flera platser och andra vanliga webbattacker. Börja i identifieringsläge för att förstå trafikmönster och växla sedan till förebyggande läge för att aktivt blockera hot. Mer information finns i Vad är Azure Web Application Firewall på Azure Application Gateway?
Konfigurera anpassade WAF-regler: Skapa anpassade regler för att hantera specifika hot mot dina program, inklusive hastighetsbegränsning, IP-blockering och geofiltrering. Anpassade regler ger riktat skydd utöver hanterade regeluppsättningar. Mer information finns i Skapa och använda anpassade v2-regler.
Aktivera robotskydd: Använd regeluppsättningen för robotskydd för att identifiera och blockera skadliga robotar samtidigt som legitim trafik tillåts från sökmotorer och övervakningsverktyg. Mer information finns i Konfigurera robotskydd.
Implementera hastighetsbegränsning: Konfigurera regler för hastighetsbegränsning för att förhindra missbruk och DDoS-attacker genom att kontrollera antalet begäranden som tillåts från enskilda IP-adresser inom angivna tidsperioder. Mer information finns i Översikt över hastighetsbegränsning.
Identitets- och åtkomsthantering
Rätt autentiserings- och auktoriseringskontroller säkerställer att endast behöriga användare och system kan komma åt din Application Gateway och dess konfiguration.
Konfigurera ömsesidig autentisering: Implementera ömsesidig TLS-autentisering för att verifiera klientcertifikat, vilket ger ett extra säkerhetslager för känsliga program. Detta säkerställer att både klienten och servern autentiserar varandra. Mer information finns i Konfigurera ömsesidig autentisering med Application Gateway via portalen.
Använd Azure RBAC för hanteringsåtkomst: Använd rollbaserad åtkomstkontroll för att begränsa vem som kan ändra Application Gateway-konfigurationer. Tilldela de minsta nödvändiga behörigheterna till användare och tjänstkonton. Mer information finns i Inbyggda roller i Azure.
Dataskydd
Dataskydd för Application Gateway fokuserar på att skydda data under överföring och hantera certifikat och hemligheter korrekt.
Aktivera TLS-kryptering: Konfigurera TLS-avslutning för att kryptera data under överföring mellan klienter och din Application Gateway. Se till att du använder den senaste versionen för att skydda mot kända säkerhetsrisker. Mer information finns i Översikt över TLS-avslutning och TLS från slutpunkt till slutpunkt med Application Gateway.
Lagra certifikat i Azure Key Vault: Använd Azure Key Vault för att lagra och hantera dina TLS-certifikat på ett säkert sätt i stället för att bädda in dem i konfigurationsfiler. Detta möjliggör automatisk certifikatrotation och centraliserad hantering av hemligheter. Läs mer i TLS-avslutning med Key Vault-certifikat.
Konfigurera säker certifikathantering: Konfigurera automatisk rotation av certifikat i Azure Key Vault baserat på ett definierat schema eller när du närmar dig förfallodatum. Se till att certifikatgenereringen följer säkerhetsstandarder med tillräckliga nyckelstorlekar och lämpliga giltighetsperioder. Mer information finns i Konfigurera en Application Gateway med TLS-avslutning med hjälp av Azure-portalen.
Implementera HTTP till HTTPS-omdirigering: Konfigurera automatisk omdirigering från HTTP till HTTPS för att säkerställa att all trafik är krypterad. Detta förhindrar att känsliga data överförs i klartext. Mer information finns i Skapa en programgateway med HTTP till HTTPS-omdirigering med hjälp av Azure-portalen.
Konfigurera TLS från slutpunkt till slutpunkt: Aktivera TLS-kryptering mellan Application Gateway och serverdelsservrar för maximalt dataskydd i hela kommunikationsvägen. Mer information finns i Översikt över TLS-avslutning och TLS från slutpunkt till slutpunkt med Application Gateway.
Övervakning och hotidentifiering
Loggning och övervakning ger insyn i Application Gateway-åtgärder och hjälper till att identifiera potentiella säkerhetshot.
Aktivera diagnostisk loggning: Konfigurera Azure-resursloggar för att samla in detaljerad information om Application Gateway-åtgärder, inklusive åtkomstmönster, prestandamått och säkerhetshändelser. Skicka loggarna till en Log Analytics-arbetsyta eller ett lagringskonto för analys. Mer information finns i Serverdelshälsa och diagnostikloggar för Application Gateway.
Konfigurera anpassade hälsoavsökningar: Konfigurera anpassade hälsoavsökningar för att övervaka serverhälsan effektivare än standardavsökningar. Anpassade avsökningar kan identifiera problem på programnivå och se till att trafiken endast når felfria servrar. Mer information finns i Översikt över Application Gateway-hälsoavsökningar.
Konfigurera övervakning och aviseringar: Skapa aviseringar baserat på Application Gateway-mått och loggar för att identifiera ovanliga trafikmönster, misslyckade autentiseringsförsök eller prestandaavvikelser som kan tyda på säkerhetsproblem. Använd Azure Monitor för att fastställa baslinjeprestanda och identifiera avvikelser.
Implementera centraliserad logghantering: Integrera Application Gateway-loggar med ditt SIEM-system (säkerhetsinformation och händelsehantering) för att korrelera händelser i infrastrukturen och aktivera automatisk hotidentifiering och svar.
Övervaka serverdelshälsa: Använd funktionen Serverdelshälsa för att kontinuerligt övervaka status för dina serverdelsservrar och snabbt identifiera potentiella problem med säkerhet eller tillgänglighet. Mer information finns i Visa serverdelshälsa via portalen.
Kapitalförvaltning
Tillgångshantering säkerställer att dina Application Gateway-konfigurationer övervakas korrekt och följer organisationens principer.
Implementera Azure Policy-styrning: Använd Azure Policy för att granska och framtvinga konfigurationer i dina Application Gateway-distributioner. Skapa principer som förhindrar osäkra konfigurationer och säkerställer efterlevnad av säkerhetsstandarder. Mer information finns i Inbyggda definitioner för Azure Policy för Azure-nätverkstjänster.
Övervaka konfigurationsefterlevnad: Använd Microsoft Defender för molnet för att kontinuerligt övervaka dina Application Gateway-konfigurationer och ta emot aviseringar när avvikelser från säkerhetsbaslinjer identifieras. Konfigurera automatiserad reparation där det är möjligt för att upprätthålla konsekvent säkerhetsstatus.