У меня есть три веб-приложения Azure, которые должны иметь возможность подключаться друг к другу.
Один из них управляет веб-сайтом FE, к которому необходим доступ извне.
Другие два я просто запускаю сервисы, которые использует сайт FE. Нет необходимости, чтобы они были открыты для публичного доступа, и поэтому я хотел бы ограничить это.
Каков наилучший способ ограничить публичный доступ к двум веб-приложениям, но при этом разрешить публичный доступ к сайту FE?
решение1
Чтобы ограничить публичный доступ к веб-приложению, вам следует либо развернуть его в Azure vlan, который не имеет публичного доступа и имеет брандмауэр между публичным и частным Azure, либо просто ограничить доступ на уровне веб-сервера. Последнее не защищает вас от интернет-атак, в отличие от брандмауэра.
В качестве самого простого решения вы можете ограничить свое веб-приложение на уровне веб-сервера по IP-адресу или аутентификации.
Ограничить доступ по IP
Возможный вариант — ограничить доступ к вашему приложению по IP-адресам. IP-адреса могут быть добавлены в качестве разрешенных IP-адресов ввеб-конфигурациявашего приложения. Все остальные IP-адреса получат ответ 403 Forbidden от Azure.
<system.webServer>
<security>
<ipSecurity allowUnlisted="false">
<clear />
<add ipAddress="83.116.19.53"/> <!-- block one IP -->
<add ipAddress="83.116.119.0" subnetMask="255.255.255.0"/> <!--block network 83.116.119.0 to 83.116.119.255-->
</ipSecurity>
</security>
</system.webServer>
Ограничить доступ для определенных пользователей
Другой вариант — ограничить доступ, включив аутентификацию в веб-приложении. Это можно сделать для нескольких поставщиков аутентификации, таких как: Azure Active Directory, Google, Facebook, Twitter и Microsoft. Следующие шаги помогут вам с настройкой Azure Active Directory в качестве поставщика аутентификации.
- На портале Azure перейдите на вкладку веб-приложения.
- Нажмите «Аутентификация/Авторизация» и выберите «Вкл». Активация этой опции предоставит вам несколько вариантов поставщиков аутентификации. Мы выберем Azure Active Directory.
- Поскольку нет предварительно настроенного приложения, выберите опцию «Экспресс». Эта опция зарегистрирует корпоративное приложение в Azure Active Directory для нас или позволит вам выбрать существующее.
- Нажатие «Сохранить» в этой колонке зарегистрирует приложение в Azure Active Directory. Обратите внимание, что для регистрации приложения вам необходимо иметь соответствующую роль в Azure AD (глобальный администратор или администратор облачного приложения). Если у вас ее нет, вам нужно будет запросить регистрацию у администратора клиента.
- Чтобы предоставить пользователям доступ к приложению, откройте колонку Azure Active Directory на портале Azure и выберите Корпоративные приложения.
- В колонке Enterprise Applications выберите «All Applications», чтобы увидеть список всех приложений, зарегистрированных в Azure Active Directory. Выберите приложение из этого списка. Откроется колонка определенного приложения.
- В лезвии выберите «Пользователи и группы». В лезвии «Пользователи и группы» отображаются все пользователи, которым предоставлен доступ к приложению. Отсюда вы можете добавить пользователей, чтобы предоставить им доступ.