Служба приложений Azure - как заблокировать MsDeploy.axd на порту 8172

Question

Служба приложений Azure - как заблокировать MsDeploy.axd на порту 8172

У нас есть служба приложений, работающая в Azure, на которой размещен веб-сайт. Недавно мы провели обзор безопасности на веб-сайте, и одним из обнаруженных элементов было то, что конечная точка, указанная ниже, была раскрыта.

https://<appName>.azurewebsites.net:8172/msdeploy.axd

Рекомендуется заблокировать эту конечную точку и использовать белый список, чтобы разрешить ограниченный доступ (например, машина сборки, которая развертывается в Azure). Как мне заблокировать эту конечную точку?

4

azure azure-web-app-service azure-web-sites azure-appservice

Источник

user2535758 20 май '20 в 07:24

2 ответа

Решение

Вы можете использовать ограничение уровня IP в ограничениях доступа к службе приложений Azure, чтобы разрешить ограниченный IP-адрес или доступ к виртуальной сети к службе вашего приложения. В этом случае он будет работать со всеми приложениями в вашей службе приложений.

Для управления доступом к какой-то конкретной конечной точке, возможно, вам нужно управлять с помощью авторизации доступа в коде вашего приложения. Прочтите руководство: сквозная проверка подлинности и авторизация пользователей в службе приложений Azure и управление доступом к приложениям.

В качестве альтернативы вы можете использовать интеграцию шлюза приложений с конечными точками службы. В этом случае вы хотите, чтобы конечным пользователям был доступен только внешний интерфейс. Бэкэнд должен быть заблокирован, чтобы его можно было вызывать только из внешнего интерфейса. Также внешняя подсеть поддерживает NSG, вы можете ограничить конечных пользователей IP-адресом и портом для доступа к вашему интерфейсу, в то же время это ограничит доступ к вашей конечной точке. Дополнительные сведения см. В разделе Защита веб-приложений серверной службы приложений с помощью виртуальных сетей и конечных точек служб.

Надеюсь, это тебе поможет.

1

Источник

user9833314 20 май '20 в 12:21

Другие вопросы по тегам azure azure-web-app-service azure-web-sites azure-appservice

user2535758 27 май '20 в 01:45 2020-05-27 01:45 · Accepted Answer · 2020-05-27 01:45

После обсуждений со службой поддержки Microsoft выяснилось, что порт 8172 включен для обратной совместимости со старыми версиями MsDeploy. Этот порт постепенно сокращается, и иногда он будет открыт, а не в другое время.

Исправление заключалось в том, чтобы мы создавали новую группу ресурсов, план службы приложений и службы приложений несколько раз, пока мы не закончили сервер, на котором был закрыт порт. Это было неприятно, но в конечном итоге проблема решилась.