서로 연결할 수 있어야 하는 3개의 Azure 웹앱이 있습니다.
FE 웹사이트를 운영하는 웹사이트 - 외부에서 접속해야 합니다.
나머지 두 개는 FE 사이트에서 사용하는 서비스를 실행하고 있습니다. 대중이 접근할 수 있도록 공개할 필요는 없으므로 이를 제한하고 싶습니다.
두 웹앱에 대한 공개 액세스를 제한하면서도 FE 사이트에 대한 공개 액세스를 허용하는 가장 좋은 방법은 무엇입니까?
답변1
웹앱을 공용 액세스로 제한하려면 공용 액세스가 없고 공용 Azure와 개인 Azure 사이에 방화벽이 있는 Azure VLAN에 배포하거나 웹 서버 수준에서 액세스를 제한해야 합니다. 방화벽은 인터넷 공격을 방지하지만 후자는 인터넷 공격을 방지하지 못합니다.
가장 간단한 솔루션으로 IP 또는 인증을 통해 웹 서버 수준에서 웹 앱을 제한할 수 있습니다.
IP로 액세스 제한
가능한 옵션은 IP 주소로 애플리케이션에 대한 액세스를 제한하는 것입니다. IP 주소는 허용된 IP 주소로 추가될 수 있습니다.웹.구성귀하의 신청서. 다른 모든 IP 주소는 Azure로부터 403 Forbidden 응답을 받습니다.
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
특정 사용자에 대한 액세스 제한
또 다른 옵션은 웹 애플리케이션에서 인증을 활성화하여 액세스를 제한하는 것입니다. 이는 Azure Active Directory, Google, Facebook, Twitter 및 Microsoft와 같은 여러 인증 공급자에 대해 수행할 수 있습니다. 아래 단계는 Azure Active Directory를 인증 공급자로 구성하는 데 도움이 됩니다.
- Azure Portal에서 웹 애플리케이션의 블레이드로 이동합니다.
- "인증/인증"을 클릭하고 "켜기"를 선택하세요. 이 옵션을 활성화하면 인증 공급자에 대한 여러 옵션이 제공됩니다. Azure Active Directory를 선택하겠습니다.
- 사전 구성된 애플리케이션이 없으므로 "Express" 옵션을 선택합니다. 이 옵션을 사용하면 Azure Active Directory 내에 엔터프라이즈 애플리케이션을 등록하거나 기존 애플리케이션을 선택할 수 있습니다.
- 이 블레이드에서 "저장"을 클릭하면 Azure Active Directory 내에 애플리케이션이 등록됩니다. 애플리케이션(전역 관리자 또는 클라우드 애플리케이션 관리자)을 등록하려면 Azure AD에서 적절한 역할이 있어야 합니다. 해당 계정이 없으면 테넌트 관리자에게 등록을 요청해야 합니다.
- 사용자에게 애플리케이션에 대한 액세스 권한을 부여하려면 Azure Portal 내에서 Azure Active Directory 블레이드를 열고 엔터프라이즈 애플리케이션을 선택합니다.
- 엔터프라이즈 애플리케이션 블레이드에서 "모든 애플리케이션"을 선택하여 Azure Active Directory 내에 등록된 모든 애플리케이션 목록을 확인합니다. 이 목록에서 애플리케이션을 선택합니다. 그러면 특정 응용 프로그램의 블레이드가 열립니다.
- 블레이드에서 "사용자 및 그룹"을 선택합니다. "사용자 및 그룹" 블레이드에는 애플리케이션에 대한 액세스 권한이 부여된 모든 사용자가 표시됩니다. 여기에서 사용자를 추가하여 액세스 권한을 부여할 수 있습니다.