Tenho três webapps do Azure que precisam ser capazes de se conectar entre si.
Um que administra o site da FE - que precisa ser acessado de fora.
Os outros dois apenas executam serviços que o site FE usa. Não há necessidade de que estes sejam abertos ao acesso público e, portanto, gostaria de restringir isso.
Qual é a melhor maneira de restringir o acesso público aos dois webapps, mas ainda permitir o acesso público ao site da FE?
Responder1
Para restringir o aplicativo Web ao acesso público, você deve implantá-lo no Azure vlan que não tem acesso público e possui um firewall entre o Azure público e privado ou apenas restringir o acesso no nível do servidor web. Este último não impede ataques da Internet, ao contrário do firewall.
Como a solução mais simples, você pode restringir seu aplicativo da web no nível do servidor da web por IP ou por autenticação.
Restringir acesso por IP
Uma opção possível é restringir o acesso à sua aplicação por endereços IP. Os endereços IP podem ser adicionados como um endereço IP permitido dentro doweb.configda sua aplicação. Todos os outros endereços IP receberão uma resposta 403 Forbidden do Azure.
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
Restringir o acesso para usuários específicos
Outra opção é restringir o acesso habilitando a autenticação no aplicativo web. Isso pode ser feito para vários provedores de autenticação como: Azure Active Directory, Google, Facebook, Twitter e Microsoft. As etapas abaixo irão ajudá-lo com a configuração do Azure Active Directory como provedor de autenticação.
- No Portal do Azure, navegue até a lâmina do aplicativo Web.
- Clique em “Autenticação/Autorização” e selecione “Ativar”. Ativar esta opção lhe dará diversas opções para Provedores de Autenticação. Selecionaremos Azure Active Directory.
- Como não existe um aplicativo pré-configurado selecione a opção “Express”. Esta opção registrará o aplicativo Enterprise no Azure Active Directory para nós ou permitirá que você selecione um aplicativo existente.
- Clicar em “Salvar” nesta folha registrará o aplicativo no Azure Active Directory. Observe que você precisa ter uma função adequada no Azure AD para poder registrar o aplicativo (administrador global ou administrador de aplicativos em nuvem). Se você não tiver, precisará solicitar o registro ao administrador do inquilino.
- Para conceder aos usuários acesso ao aplicativo, abra a folha do Azure Active Directory no Portal do Azure e selecione Aplicativos Empresariais.
- Na folha Aplicativos Corporativos, selecione “Todos os Aplicativos” para ver uma lista de todos os aplicativos registrados no Azure Active Directory. Nesta lista selecione o aplicativo. Isso abrirá a lâmina do aplicativo específico.
- Na folha selecione “Usuários e Grupos”. Na folha “Usuários e Grupos” são mostrados todos os usuários que têm acesso ao aplicativo. A partir daqui você pode adicionar usuários para conceder-lhes acesso.