Как я могу защитить сайт / функцию Azure от WWW?

Question

Как я могу защитить сайт / функцию Azure от WWW?

У нас есть микросервисная система на основе API, в которой общедоступный шлюз API (.NET Nancy API, работающий на веб-сайте Azure) вызывает микросервисные API (различные технологии) для возврата данных.

В настоящее время API-интерфейсами с микрообслуживанием являются либо веб-сайты Azure, либо функции Azure (триггер HTTP), что означает, что они имеют общедоступную конечную точку, а HTTP открыт для общего доступа. (например, https://my-microservice.azurewebsites.net/)

Есть ли способ заблокировать это так, чтобы только шлюз API мог звонить в него?

Я читал о DIPR, но похоже, что он основан на общедоступном IPv4-адресе (я не думаю, что мы можем получить статический IP для шлюза API?).

В настоящее время мы заставляем микросервисные API требовать аутентификации через токены-носители (используя сервер аутентификации IdSrv), но в идеале я бы хотел защитить API на сетевом уровне, а затем удалить зависимость токена /IdSrv. Можем ли мы использовать VNET?

Как другие люди решают это? Как, например, мы можем заблокировать веб-сайт Azure от общего доступа?

ТИА.

3

azure azure-functions azure-web-sites azure-security

Источник

user321946 15 май '17 в 01:20

1 ответ

Другие вопросы по тегам azure azure-functions azure-web-sites azure-security

user1384539 15 май '17 в 02:04 2017-05-15 02:04 · Answer 1 · 2017-05-15 02:04

Вам следует использовать виртуальную сеть Azure и создавать правила для входящего / исходящего трафика (действительны для стандартных / премиальных сервисных планов приложений): https://docs.microsoft.com/en-us/azure/app-service-web/web-sites-integrate-with-vnet

Для этого также имеется среда службы приложений Azure, однако для нее требуется план обслуживания приложений премиум-класса: https://docs.microsoft.com/en-us/azure/app-service-web/app-service-app-service-environment-intro