Нужно ли указывать на сайт vpn с лазурной waf и веб-приложением

Question

Я возился с Azure, пытаясь запустить и запустить веб-приложение. Мой план состоял в том, чтобы создать WAF и разместить за ним веб-приложение, каждое в отдельной подсети, а затем использовать технологию конечных точек службы для указания веб-приложения на базу данных.

Меня почти сразу остановили, когда я обнаружил, что если я хочу использовать WAF перед веб-приложением, мне нужно настроить сеть в веб-приложении, но когда я выбираю виртуальную сеть, он говорит, что нет Шлюз настроен для выбранного VNET.

Мой вопрос в том, должен ли я использовать VPN-соединение точка-сайт, чтобы эта настройка работала? я думал, что это будет работать как

ИНТЕРНЕТ ---> VNET ----> подсеть ----> WAF -----> подсеть -----> веб-приложение ----> конечная точка службы ------> DB

но, похоже, это не так. Я не заинтересован в идее установки клиентского сертификата на каждую машину в нашей сети, которая может захотеть получить доступ к этому веб-сайту (он в настоящее время является внутренним). Я полагаю, я ищу лучшее из обоих миров. Доступный из Интернета, но с дополнительным удобством наличия чего-то вроде WAF, расположенного перед ним, чтобы компенсировать любые недостатки безопасности, которые могут существовать где-то в указанном приложении.

Спасибо

Answer 1

Насколько я знаю, вы не можете развернуть веб-приложение в виртуальной сети, если не используете среду службы приложений (изолированную). Интеграция приложения VNet не может этого сделать.Это позволяет вам безопасно получать доступ к ресурсам в виртуальной сети.Например, у вас есть база данных на виртуальной машине Azure в частной виртуальной сети.Вы не можете получить к нему доступ из веб-приложения Azure к этой базе данных, если эта база данных недоступна для общего доступа, но вы можете получить к ней доступ через интеграцию приложения VNet.

Конечные точки службы VNet - это еще одна другая услуга.Конечные точки позволяют защитить критически важные ресурсы службы Azure только от ваших виртуальных сетей.Если вы включите такую ​​виртуальную точку службы, как база данных SQL Azure (которая отличается от базы данных на виртуальных машинах Azure) в виртуальной сети, это означает, что только ресурс в этих авторизованных виртуальных сетях может получить доступ к вашей базе данных SQL, если вы не добавите исключение, подобное общедоступному IP-адресу вмежсетевой экран базы данных.

В этом случае вы можете поместить шлюз общедоступного приложения Azure на высоком уровне службы веб-приложений, а затем добавить общедоступный IP-адрес шлюза приложения Azure в ограничение IP:веб-приложение. Это ограничит доступ к веб-приложению через шлюз веб-приложений Azure через Интернет.Кроме того, вы можете управлять входящей и исходящей сетью в подсети шлюза приложений Azure NSG.См. Группы безопасности сети в подсети шлюза приложений , если вы хотите добавить NSG к уровню подсети шлюза приложения.Я думаю, что этого достаточно, если вы просто хотите создать WAF и разместить веб-приложение за этим.

Более того, если вы хотите предоставить веб-приложению частный доступ к базе данных SQL Azure.Вы можете развернуть веб-приложение в ASE, а затем включить конечную точку службы VNet для базы данных SQL Azure.Интеграция приложения VNet не требует его использования с конечной точкой службы.

Answer 2

Если вы хотите использовать Azure WAF со службой приложений Azure (мультитенантной), вы можете просто убедиться, что вы указали заголовок узла вместе со своим запросом.

Если вы хотите, чтобы ваше веб-приложение Azure было подключено к виртуальной сети, вам нужно будет запустить веб-приложение Azure в среде службы приложений (изолированной). Эта версия Azure Web App дороже, но позволяет вам применять NSG к виртуальной сети, чтобы полностью контролировать доступ к вашему веб-приложению. Лично я считаю, что WAF с Azure App Service (мультитенантным) должен отвечать вашим потребностям.

У нас все это задокументировано здесь:

https://docs.microsoft.com/en-us/azure/application-gateway/application-gateway-web-app-overview

https://docs.microsoft.com/en-us/azure/application-gateway/configure-web-app-portal