マイクロソフトのクラウドディーラー: Azure frontdoorを使用して、Webアプリケーションのグローバルな加速とWAF保護を実現します

あなたのWebアプリケーションが世界市場に進出したとき、一連の頭痛の現実的な問題が相次いでいる: ヨーロッパのユーザーは、Webページが亀のようにロードされ、アメリカのユーザーは突然DDoS攻撃に遭遇してサイトが麻痺したと不平を言っているアジアのチームは毎日夜更かしして様々なアプリケーション層 (Layer 7) のセキュリティホールを修復している。

以前は、世界的なCDNを購入し、高価な物理ファイアウォールを導入し、複雑な地域間負荷分散 (GSLB) を構成するという複雑な枠組みを振り回す必要があったかもしれません。

Azureの生態には「究極の全能王」と呼ばれるサービスがあります

Azure frontdoor (AFD)

。それは

グローバルコンテンツ加速(CDN)、グローバル負荷分散、ネットワークセキュリティ保護 (WAF) 、アプリケーション層ルーティング

完璧に組み合わせました。今日のこの深いチュートリアルでは、ゼロから始めて、手でWebアプリケーションのために「世界的に防弾チョッキを加速する」ことができます。

一、コアコンセプト: Azure frontdoorとは?

Azure frontdoorを、マイクロソフトがグローバルエッジ (Edge) に導入している超スマートなロビーマネージャーと考えることができます。

マイクロソフトは世界に極めて巨大な専用光ファイババックボーン網を持っており、世界の数百の都市に任意の放送 (Anycast) エッジノードを配置している。

[全世界各地のユーザー] -- --> 彼に一番近いAzureエッジノード (AFD) --

│

(ここで行います)

-- -- -- -- -- -- -- -- -- -- -- --

▼ ▼

【WAFセキュリティガード】【静的コンテンツキャッシュ】

世界中のユーザーがあなたのウェブサイトにアクセスしたとき:

最寄りのアクセス: トラフィックはパブリックネットワーク上でゆっくりとルーティングされるのではなく、Anycast技術を介して、秒レベルでユーザーに最も近いマイクロソフトのエッジノードに入る。

高速道路: エッジノードに入ると、トラフィックはマイクロソフト内部の「高速鉄道」 (独自の光ファイババックボーン網) を通って、あなたのソースサーバ (ソースがどこに立っていてもazureでも必要ありません)。

セキュリティフィルタ: エッジノードでは、WAF(Webアプリケーションファイアウォール) は、トラフィックがサーバに触れる前の0.001秒でハッカー攻撃をブロックします。

二、第一段階: Azure frontdoorインスタンスの作成

まず、Azureポータル (Azure Portal) にログインし、検索バーに入力します

「フロントD

Oor」

、「作成」をクリックします。

マイクロソフトは2つのバージョンを提供しています:

Standard (標準版)

そして

プレミアム

。

💡選定提案: 生産環境はPremiumを選択することを強く推奨する。上級版には、悪意のあるロボット (Bot) に対する保護、業界トップのWAF管理ルールセット (Microsoft Default Rule Set) 、より強力なセキュリティ分析機能が含まれているからです。

1. 基本設定

リソースグループ: グローバル-Web-RGなどのリソースグループを選択または新規作成します。

エンドポイント名 (Endpoint): これはAFDが自動的にあなたに割り当てたパブリックドメイン名です。例えば、my-global-app-xxxx.azurefd.netです。

2.ソースステーションの設定 (Origin)

ソースは、あなたが実際にwebサイトを実行しているバックエンドサーバです。

ソースタイプ (Origin type): Azure内部のApp Service、仮想マシン、パブリックIP、さらにはAzure環境以外の阿里雲、腾讯雲、または独自の機械室サーバをサポートします。

ホスト名: ソースサーバの実際のIPまたはパブリックドメイン名を入力します。

HTTPSポート: デフォルト443 (HTTPS暗号化チャネルを使用することを推奨)。

3.ルーティングルールの設定

転送プロトコル: 「HTTPSのみ」をチェックするか、「HTTPをHTTPSにリダイレクト」を設定することをお勧めします。

キャッシュ: オンにします。このように、あなたのサイトの画像、CSS、JSなどの静的なリソースは、グローバルなエッジノードに直接キャッシュされ、ユーザーがアクセスしたときにローカルから直接「商品を受け取る」ことができ、ソースステーションは完全にゼロ圧力になっています。

「作成を見る」をクリックして、2 ~ 3分待つと、あなたのグローバルな加速ネットワークが初期化されます。

三、第二段階: WAF防弾チョッキの導入 (SQL注入とXSS防止)

サイトが速く走るのはいいことだが、まず生きなければならない。フロントドアのためにWAF(Webアプリケーションファイアウォール) のコートを着ましょう。

Azureポータルで、検索して「Webアプリケーションのファイアウォールポリシー (WAF Policies) 」に進みます。

「作成」をクリックし、「ポリシーの適用」で「Azure Front Door」を選択する必要があります。

関連付けられたエンドポイント: 作成したばかりのフロント・ドア・インスタンスと対応するルートを選択します。

1.公式パッケージ管理ルールをオンにする

WAFポリシーページの

「管理ルール」

タブ:

デフォルトでは、Azureは自動的に最新のものにチェックを入れます

Microsof

T_710trleset (DRS)

。このルールセットはマイクロソフトのセキュリティ専門家が世界で毎日数兆回のサイバー攻撃に基づいて抽出した精華である。開梱後すぐに、次のハイリスク行為を自動的に傍受します

SQL注入(SQLi): フォームからデータベース権限を盗もうとしています。

クロスサイトスクリプト (XSS): あなたのページに悪意のあるスクリプトを挿入します。

リモートコード実行 (RCE): サーバの脆弱性を利用して、バックドアのコマンドを直接実行します。

2.悪意のある爬虫類とロボットを傍受する

「管理ルールセットを追加」をクリックし、チェックを入れます

Microsoft _ botmanager ruleset

。

友好的な検索エンジン爬虫類 (例えばGooglebot、Bingbot) と、悪意のあるチケットソフト、スパムの同報配信機、トラフィックを印刷する悪意のあるロボットを識別することができる一線で直接遮断します。

3.カスタムルール: 正確な制裁

管理ルールがあまりにも共通している場合があります。パーソナライズしたいと思います。クリック

「カスタムルール」

-> 「カスタムルールを追加」。

🛠実戦シーン: ある悪意のある国/地域のIPまたは悪意のあるIPセグメントを完全に黒ルール名: BlockMaliciousGeo操作: 拒否 (Deny)。マッチタイプ: 地理位置(Geo-location)。マッチ値: あなたに対して頻繁に衝突倉庫攻撃を発動する国または特定の地域にチェックを入れます。保存すると、この地域の悪意のあるアクセスはマイクロソフトのエッジノードで大きな403拒否エラーが発生し、あなたのサーバのドアがどこに開いているかさえ分からない。

四、第三段階: 実戦テストと効果検証

構成が完了したら、約5分待ってグローバルルーティングとポリシーの同期が完了します。次に、実写ハッカーや実際のグローバルユーザーのようにテストします。

1.グローバル加速効果の検証

世界のマルチノードPing/webサイト速度テストツール (ITDOGやPingdomなど) を開き、フロントドアの割り当てドメイン名を入力します。

驚いたことに、ニューヨーク、ロンドン、東京、フランクフルト世界各地の遅れは美しい「緑」になった (通常は数ミリ秒から数十ミリ秒の間)。

原因: ユーザーはローカルで直接握手をした。

2.ハッカーのふりをする: WAFブロックをトリガーする

私たちはブラウザであなたのサイトに模擬的なSQL注入攻撃を始めた。

あなたのフロントドアドメイン名の後ろに、SQL注入特性を持つ悪意のあるパラメータを付けてください

[ht

Tps: // my-global-app-xxxx.azurefd.net/index.html?id=1] (ht

Tps: // my-

Global-app-xxxx.azurefd.net/index.html?id=1) 'AND' 1 '=' 1

Enterキーを押した瞬間、あなたは絶対にあなたのページを見ることはありませんが、冷たいヒントが表示されます:

HTTP Error 403. The request is blocked.

Azure monitorログで見ると、現在のパブリックネットワークIPからの要求がトリガーされたことがわかります

SQLi

ルールは、エッジノードでWAFによってきれいに爆発した。あなたのソースサーバーは誰かがそれをからかったことさえ知らない。

五、高度な高度: 多源駅のグローバル災害対策 (アクティブ-アクティブ) を構成する

もしあなたの実力が十分であれば、美西(East US) と香港(East Asia) にはそれぞれ同じWebサーバが配置されています。フロントドアは直接実現できます。

全世界二重活災害準備

。

AFDの「ソースグループ」に入ります。

美西と香港の2台のサーバーを追加します。

ヘルス・プローブ (Health Probes): 30秒ごとにHTTPS要求を送信して、ソース・ステーションが生きていないことをチェックするように設定します。

効果: ヨーロッパのユーザーが訪問したとき、AFDは自動的に流量をより近い美西室に誘導するアジアのユーザーが訪問すると、自動的に香港の機械室に向かいます。香港の機械室が停電や突発的な故障でハングアップすると、AFDの健康探知は数秒以内に発見され、瞬時に全量の流量を美西機械室にシームレスに切り替える。グローバルユーザーは感覚が少し遅くなっただけでなく、業務が全く中断されない!

ピットよけとまとめ

Azure Front Doorによるスピードとセキュリティを楽しむときは、次の2つの重要な最後のアクションを覚えておいてください

ソース・ステーション・セキュリティ・ロック (IP制限): AFDを導入した後、必ずソース・ステーション・サーバ (またはファイアウォール) に設定してください。Azure frontwindowサービス・タグ (Service Tag: azureFrontDoor.Backend) のIPアクセス! そうでなければ、ハッカーがあなたのソースサイトの本当のIPを知って、直接フロントドアを迂回してあなたのソースサイトにアクセスすると、あなたのWAFはダミーになります。

WAFデバッグ先進みモード: WAF管理ルールをオンにしたばかりの場合は、ポリシーモードを「検出」に設定して、数日のログを観察することをお勧めします。正常なユーザーの要求を誤って殺していないことを確認した後、それを「予防 (Prevention) 」モードに切り替えて完全に傍受する。

まとめ:

Azure frontdoorは現代化グローバルWebです

アーキテクチャの絶対的なツール。複雑に絡み合っていたグローバルネットワークの最適化と高度なネットワークセキュリティをクラウドのいくつかの明確な構成カードに簡略化した。それを使えば、あなたの応用は本当に「世界的な速達、安定した泰山」を実現できる。