Tengo 3 aplicaciones web de Azure que necesitan poder conectarse entre sí.
Uno que ejecuta el sitio web de FE, al que se debe acceder desde el exterior.
Los otros dos simplemente ejecuto servicios que utiliza el sitio FE. No es necesario que estén abiertos al acceso público y, por lo tanto, me gustaría restringirlo.
¿Cuál es la mejor manera de restringir el acceso público a las dos aplicaciones web, pero aún así permitir el acceso público al sitio FE?
Respuesta1
Para tener la aplicación web restringida al acceso público, debe implementarla en Azure vlan que no tiene acceso público y tiene un firewall entre Azure público y privado o simplemente restringir el acceso a nivel del servidor web. Este último no evita los ataques de Internet, mientras que el firewall sí lo hace.
Como solución más simple, puede restringir su aplicación web a nivel de servidor web mediante IP o autenticación.
Restringir el acceso por IP
Una posible opción es restringir el acceso a su aplicación mediante direcciones IP. Las direcciones IP se pueden agregar como una dirección IP permitida dentro delweb.configde su aplicación. Todas las demás direcciones IP recibirán una respuesta 403 Prohibida de Azure.
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
Restringir el acceso a usuarios específicos
Otra opción es restringir el acceso habilitando la autenticación en la aplicación web. Esto se puede hacer para varios proveedores de autenticación como: Azure Active Directory, Google, Facebook, Twitter y Microsoft. Los pasos siguientes le ayudarán con la configuración de Azure Active Directory como proveedor de autenticación.
- En Azure Portal, navegue hasta la hoja de la aplicación web.
- Haga clic en "Autenticación/Autorización" y seleccione "Activado". Activar esta opción le brindará varias opciones para proveedores de autenticación. Seleccionaremos Azure Active Directory.
- Debido a que no existe una aplicación preconfigurada seleccione la opción “Express”. Esta opción registrará la aplicación Enterprise dentro de Azure Active Directory para nosotros o le permitirá seleccionar una existente.
- Al hacer clic en "Guardar" en esta hoja se registrará la aplicación en Azure Active Directory. Tenga en cuenta que debe tener la función adecuada en Azure AD para poder registrar la aplicación (administrador global o administrador de aplicaciones en la nube). Si no lo tiene, deberá solicitar el registro al administrador de inquilinos.
- Para otorgar a los usuarios acceso a la aplicación, abra la hoja de Azure Active Directory dentro del Portal de Azure y seleccione Aplicaciones empresariales.
- En la hoja Aplicaciones empresariales, seleccione "Todas las aplicaciones" para ver una lista de todas las aplicaciones registradas en Azure Active Directory. De esta lista seleccione la aplicación. Esto abrirá la hoja de la aplicación específica.
- En la hoja, seleccione "Usuarios y grupos". En la hoja "Usuarios y grupos" se muestran todos los usuarios a los que se les concede acceso a la aplicación. Desde aquí puedes agregar usuarios para darles acceso.