Отключить внешний IP-адрес для службы приложений Azure
Помогите мне защитить доступ к APP Services (Api APP) в Azure извне. Мне нужно отключить внешний IP. У меня есть веб-приложение, которое должно быть доступно для всех, и API-приложение, которое должно быть доступно для WEB, но недоступно для других.
Спасибо, Николай
2 ответа
Вы не можете действительно отключить внешний IP-адрес веб-приложения. Существует несколько способов защитить приложение API.
Первый способ - защитить его с помощью аутентификации Azure AD Bearer Token. Проверьте этот образец здесь: https://azure.microsoft.com/en-us/documentation/articles/active-directory-devquickstarts-webapi-dotnet/
После защиты вы можете использовать ADAL в своем коде, чтобы получить токен для вызова API.
Здесь, однако, я бы поднял вопрос - как вы думаете, как ваше веб-приложение будет взаимодействовать с веб-API? С помощью JavaScript в браузере или из кода. Потому что если вы вызываете свой веб-API из JavaScript в браузере, тогда ваш вопрос не имеет смысла! Потому что эффективно каждому пользователю потребуется доступ к вашему API, чтобы JavaScript мог сделать вызов!
Другой способ - создать среду службы приложений для вашего API (довольно дорого для того, чего вы хотите достичь). Затем вы можете поместить эту среду службы приложений в подсеть виртуальной сети. Вы помещаете свое веб-приложение в другой план обслуживания веб-приложений и подключаете его к той же виртуальной сети. Затем вы определяете такую группу безопасности сети, что вы разрешаете только внутренний доступ к вашей среде службы приложений.
В конце я действительно сомневаюсь, что вы хотите отключить доступ к Интернету для вашего веб-API. Вы просто хотите защитить его, а фильтрация IP-адресов - не лучший способ защиты веб-API.
В дополнение к уже предложенному токену-носителю AD можно использовать сертификат клиента или простой общий секретный ключ с использованием базовой аутентификации HTTP.