Microsoft Cloud Dealer: ใช้ Azure Front Door เพื่อเร่งการใช้งานเว็บทั่วโลกและการป้องกัน WAF
เมื่อเว็บแอปพลิเคชันของคุณเปิดตัวสู่ตลาดโลกปัญหาที่น่าปวดหัวและเป็นจริงตามมา: ผู้ใช้ในยุโรปบ่นว่าหน้าเว็บโหลดเหมือนเต่าคลานผู้ใช้ในอเมริกาพบการโจมตี DDoS อย่างกะทันหันซึ่งทำให้เว็บไซต์เป็นอัมพาตและทีมงานในเอเชียฉันนอนดึกทุกวันเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยของเลเยอร์แอปพลิเคชันต่างๆ (Layer 7)
ในอดีตคุณอาจต้องโยนสถาปัตยกรรมที่ซับซ้อนทั้งชุด: ซื้อ CDN ทั่วโลกจำนวนมากปรับใช้ไฟร์วอลล์ทางกายภาพที่มีราคาแพงและกำหนดค่าการจัดสรรภาระงานข้ามภูมิภาคที่ซับซ้อน (GSLB)
แต่ในระบบนิเวศของ Azure มีบริการที่เรียกว่า "Ultimate Almighty King"-
Azure Front Door (AFD)
。มันใส่
Global Content Acceleration (CDN), Global Load Balancing, Network Security Protection (WAF) และการกำหนดเส้นทางเลเยอร์แอปพลิเคชัน
ผสมผสานกันอย่างลงตัวบทแนะนำเชิงลึกของวันนี้จะพาคุณไปตั้งแต่เริ่มต้นและใส่ "เสื้อเกราะกันกระสุนแบบเร่งความเร็วทั่วโลก" สำหรับเว็บแอปพลิเคชันของคุณ
แนวคิดหลัก: Azure Front Door คืออะไร?
คุณสามารถคิดว่า Azure Front Door เป็นผู้จัดการล็อบบี้อัจฉริยะที่ Microsoft นำไปใช้งานบนขอบโลกสำหรับคุณ
Microsoft มีเครือข่ายกระดูกสันหลังใยแก้วนำแสงเฉพาะขนาดใหญ่มากทั่วโลกและได้ติดตั้งโหนดขอบ Anycast ในหลายร้อยเมืองทั่วโลก
[ผู้ใช้ทั่วโลก] ────> Azure Edge Node (AFD) ที่ใกล้เขาที่สุด ─── (Microsoft Fiber Core Network) ───> [เซิร์ฟเวอร์ไซต์ต้นทางของคุณ]
│
(ดำเนินการที่นี่)
┌─────────────────────────────────────────────────────────────────────────────────────────────────────────
▼ ▼
[การป้องกันความปลอดภัย WAF] [แคชเนื้อหาแบบคงที่]
เมื่อผู้ใช้ทั่วโลกเข้าเยี่ยมชมเว็บไซต์ของคุณ:
การเข้าถึงที่ใกล้ที่สุด: การรับส่งข้อมูลจะไม่ถูกกำหนดเส้นทางอย่างช้าๆบนเครือข่ายสาธารณะแต่จะเข้าสู่โหนดขอบของ Microsoft ที่ใกล้ที่สุดกับผู้ใช้โดยตรงผ่านเทคโนโลยี Anycast
ทางหลวง: หลังจากเข้าสู่โหนดขอบการจราจรจะไปที่ "รถไฟความเร็วสูง" ภายในของ Microsoft (เครือข่ายกระดูกสันหลังใยแก้วนำแสงที่เป็นกรรมสิทธิ์) และตรงไปยังเซิร์ฟเวอร์ต้นทางของคุณ (ไม่ว่าแหล่งที่มาจะอยู่ที่ใดก็ไม่จำเป็นต้องอยู่บน Azure)
การกรองความปลอดภัย: ที่โหนดขอบ WAF(Web Application Firewall) จะสกัดกั้นการโจมตีของแฮ็กเกอร์ใน0.001วินาทีก่อนที่การรับส่งข้อมูลจะเข้าถึงเซิร์ฟเวอร์ของคุณ
ประการที่สองขั้นตอนแรก: สร้างตัวอย่าง Azure Front Door
ขั้นแรกให้ลงชื่อเข้าใช้ Azure Portal (Azure Portal) และพิมพ์ในแถบค้นหา
"Front D
ด้าน"
คลิก "สร้าง"
ไมโครซอฟท์มีสองรุ่น:
Standard (รุ่นมาตรฐาน)
และ
Premium (พรีเมี่ยม)
。
💡แนะนำให้เลือก Premium สำหรับสภาพแวดล้อมการผลิตเนื่องจากเวอร์ชันขั้นสูงรวมถึงการป้องกันหุ่นยนต์ที่เป็นอันตราย (Bot) ชุดกฎการโฮสต์ WAF ชั้นนำของอุตสาหกรรม (Microsoft Default Rule Set) และฟังก์ชันการวิเคราะห์ความปลอดภัยที่มีประสิทธิภาพมากขึ้น
1.การกำหนดค่าพื้นฐาน
กลุ่มทรัพยากร: เลือกหรือสร้างกลุ่มทรัพยากรใหม่เช่น Global-Web-RG 。
ชื่อปลายทาง: นี่คือชื่อโดเมนสาธารณะที่ AFD กำหนดให้คุณโดยอัตโนมัติเช่น my-global-app-xxxx.azurefd.net (คุณสามารถผูกชื่อโดเมนอิสระของคุณเองได้ในภายหลัง)
2.กำหนดค่าสถานีต้นทาง (Origin)
ไซต์ต้นทางคือเซิร์ฟเวอร์ส่วนหลังที่คุณเรียกใช้เว็บไซต์จริงๆ
ประเภทแหล่งที่มา: รองรับบริการแอพเครื่องเสมือน IP สาธารณะภายใน Azure และแม้แต่ Alibaba Cloud, Tencent Cloud หรือเซิร์ฟเวอร์ห้องคอมพิวเตอร์ที่สร้างขึ้นเองในสภาพแวดล้อมที่ไม่ใช่ Azure
ชื่อโฮสต์: ป้อน IP จริงหรือชื่อโดเมนสาธารณะของเซิร์ฟเวอร์ไซต์ต้นทางของคุณ
พอร์ต HTTPS: เริ่มต้น443 (แนะนำให้ใช้ช่องเข้ารหัส HTTPS ตลอด)
3.การกำหนดค่ากฎการกำหนดเส้นทาง (Routing Rule)
โปรโตคอลการส่งต่อ: ขอแนะนำให้เลือก "เฉพาะ HTTPS" หรือตั้งค่า "เปลี่ยนเส้นทาง HTTP ไปยัง HTTPS"
แคช: เปิดด้วยวิธีนี้ทรัพยากรแบบคงที่เช่นรูปภาพ CSS และ JS ของเว็บไซต์ของคุณจะถูกแคชโดยตรงที่โหนดขอบทั่วโลกและผู้ใช้จะ "รับสินค้า" โดยตรงจากเครื่องเมื่อเข้าถึงและไซต์ต้นทางจะไม่มีแรงกดดันใดๆ
คลิก "ดูการสร้าง" รอ2-3นาทีเครือข่ายการเร่งความเร็วทั่วโลกของคุณจะเริ่มต้น
3.ขั้นตอนที่สอง: ปรับใช้เสื้อเกราะกันกระสุน WAF (anti-SQL injection และ XSS)
เป็นเรื่องดีที่เว็บไซต์จะทำงานได้เร็วแต่ก่อนอื่นคุณต้องอยู่รอดตอนนี้เรามาใส่เสื้อโค้ท WAF(Web Application Firewall) สำหรับ Front Door กันเถอะ
ในพอร์ทัล Azure ให้ค้นหาและเข้าสู่ "นโยบายไฟร์วอลล์ของเว็บแอปพลิเคชัน (WAF Policies)"
คลิกที่ "สร้าง" "กลยุทธ์สำหรับ" ต้องเลือก "Azure Front Door"
เชื่อมโยงปลายทาง: เลือกอินสแตนซ์ Front Door และเส้นทางที่สอดคล้องกันที่คุณเพิ่งสร้างขึ้น
1.เปิดกฎการจัดการแบบรวมทุกอย่างอย่างเป็นทางการ (Managed Rules)
เข้าสู่หน้านโยบาย WAF
"กฎการจัดการ (Managed rules)"
แท็บ:
โดยค่าเริ่มต้น Azure จะตรวจสอบล่าสุดโดยอัตโนมัติ
Microsof
T_DefaultRuleSet (DRS)
。ชุดกฎนี้เป็นสาระสำคัญของผู้เชี่ยวชาญด้านความปลอดภัยของ Microsoft จากการโจมตีทางไซเบอร์หลายล้านล้านครั้งทั่วโลกทุกวันพร้อมใช้งานนอกกรอบและสกัดกั้นพฤติกรรมที่มีความเสี่ยงสูงต่อไปนี้โดยอัตโนมัติ:
SQL injection (SQLi): พยายามขโมยสิทธิ์ฐานข้อมูลของคุณผ่านแบบฟอร์ม
สคริปต์ข้ามไซต์ (XSS): ฉีดสคริปต์ที่เป็นอันตรายลงในหน้าเว็บของคุณเพื่อแขวนม้า
การเรียกใช้รหัสระยะไกล (RCE): ใช้ช่องโหว่ของเซิร์ฟเวอร์เพื่อดำเนินการคำสั่งลับๆโดยตรง
2.สกัดกั้นสัตว์เลื้อยคลานที่เป็นอันตรายและหุ่นยนต์ (Bot Protection)
คลิก "เพิ่มชุดกฎที่มีการจัดการ" และตรวจสอบ
Microsoft_BotManagerRuleSet
。
สามารถระบุได้ว่าโปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหาที่เป็นมิตร (เช่น Googlebot, Bingbot) ซึ่งเป็นซอฟต์แวร์จับตั๋วที่เป็นอันตรายผู้ส่งสแปมจำนวนมากหรือหุ่นยนต์ที่เป็นอันตรายที่ปัดการรับส่งข้อมูลและบล็อกโดยตรงในแนวหน้า
3.กฎที่กำหนดเอง (Custom Rules): การลงโทษที่แม่นยำ
บางครั้งกฎการโฮสต์มีความหลากหลายเกินไปและคุณต้องการความเป็นส่วนตัวคลิก
"กฎที่กำหนดเอง"
-> "เพิ่มกฎที่กำหนดเอง"
🛠️ สถานการณ์จริง: บล็อก IP หรือส่วน IP ที่เป็นอันตรายของประเทศ/ภูมิภาคที่เป็นอันตรายโดยสิ้นเชิงชื่อกฎ: BlockMaliciousGeo การดำเนินการ: ปฏิเสธ (Deny) ประเภทการจับคู่: Geo-location ค่าที่ตรงกัน: ตรวจสอบประเทศหรือพื้นที่เฉพาะที่คุณโจมตีไลบรารีบ่อยครั้งหลังจากบันทึกแล้วการเข้าถึงที่เป็นอันตรายทั้งหมดในพื้นที่จะได้รับข้อผิดพลาดในการปฏิเสธ403ครั้งใหญ่ที่โหนดขอบของ Microsoft และคุณจะไม่สามารถสัมผัสได้ว่าประตูเซิร์ฟเวอร์ของคุณเปิดอยู่ที่ใด
4.ขั้นตอนที่สาม: การทดสอบการต่อสู้จริงและการตรวจสอบผล
หลังจากการกำหนดค่าเสร็จสิ้นให้รอประมาณ5นาทีเพื่อให้การซิงโครไนซ์การกำหนดเส้นทางและกลยุทธ์ทั่วโลกเสร็จสมบูรณ์ต่อไปเราจะทดสอบเหมือนแฮ็กเกอร์จริงและผู้ใช้ทั่วโลกจริง
1.ตรวจสอบผลการเร่งความเร็วทั่วโลก
เปิดเครื่องมือทดสอบความเร็ว Ping/เว็บไซต์แบบหลายโหนดทั่วโลก (เช่น ITDOG หรือ Pingdom) ป้อนชื่อโดเมนที่กำหนดไว้สำหรับ Front Door ของคุณ
คุณจะประหลาดใจที่พบว่าไม่ว่าจะเป็นนิวยอร์กลอนดอนโตเกียวหรือแฟรงก์เฟิร์ตความล่าช้าทั่วโลกกลายเป็น "สีเขียว" ที่สวยงามมาก (โดยปกติจะอยู่ระหว่างไม่กี่มิลลิวินาทีถึงหลายสิบมิลลิวินาที)
เหตุผล: ผู้ใช้จับมือกับโหนดขอบโดยตรงจากเครือข่ายกระดูกสันหลังของ Microsoft
2.หลอกแฮกเกอร์: ทริกเกอร์ WAF สกัดกั้น
เราเปิดตัวการจำลองการโจมตีการฉีด SQL บนเว็บไซต์ของคุณในเบราว์เซอร์
ด้านหลังชื่อโดเมน Front Door ของคุณเพียงแค่สะกดพารามิเตอร์ที่เป็นอันตรายด้วยคุณสมบัติการฉีด SQL:
[ht
Tps: // my-global-app-xxxx.azurefd.net/index.html? Id = 1] (ht
Tps: // my-
Global-app-xxxx.azurefd.net/index.html? Id = 1)'AND '1' = '1
ในขณะที่คุณกด Enter คุณจะไม่เห็นหน้าเว็บของคุณแต่จะเห็นข้อความเตือนความจำ:
HTTP Error 403. The request is blocked.
ไปที่บันทึก Azure Monitor และคุณจะเห็นได้อย่างชัดเจน: คำขอจาก IP เครือข่ายสาธารณะปัจจุบันของคุณเนื่องจากมีการเรียกใช้
SQLi
กฎที่โหนดขอบถูกยิงอย่างหมดจดโดย WAF headshot เซิร์ฟเวอร์ไซต์ต้นทางของคุณไม่รู้ด้วยซ้ำว่ามีคนลวนลาม
5.ขั้นสูงขั้นสูง: การกำหนดค่าการกู้คืนภัยพิบัติทั่วโลกของสถานีหลายแหล่ง (Active-Active)
หากคุณแข็งแกร่งคุณได้ปรับใช้เว็บเซิร์ฟเวอร์ที่เหมือนกันทุกประการในสหรัฐอเมริกาและฮ่องกง Front Door สามารถช่วยคุณได้โดยตรง
การเตรียมพร้อมรับมือกับภัยพิบัติสองเท่าทั่วโลก
。
ป้อน "Origin groups" ของ AFD ของคุณ
เพิ่มเซิร์ฟเวอร์ทั้งสองในสหรัฐอเมริกาตะวันตกและฮ่องกง
การตรวจสอบสุขภาพ: การตั้งค่าการส่งคำขอ HTTPS ทุก30วินาทีเพื่อตรวจสอบสถานีต้นทางยังมีชีวิตอยู่
ผลกระทบ: เมื่อผู้ใช้ในยุโรปเยี่ยมชม AFD จะนำทางการรับส่งข้อมูลไปยังห้องคอมพิวเตอร์ที่ใกล้ที่สุดในสหรัฐอเมริกาและตะวันตกโดยอัตโนมัติเมื่อผู้ใช้ชาวเอเชียเยี่ยมชมพวกเขาจะไปที่ห้องคอมพิวเตอร์ในฮ่องกงโดยอัตโนมัติเมื่อห้องคอมพิวเตอร์ในฮ่องกงถูกระงับเนื่องจากไฟฟ้าดับหรือความล้มเหลวอย่างกะทันหันการตรวจจับสุขภาพของ AFD จะถูกค้นพบภายในไม่กี่วินาทีและการรับส่งข้อมูลทั้งหมดจะเปลี่ยนไปยังห้องคอมพิวเตอร์ทางตะวันตกของสหรัฐอเมริกาทันทีนอกจากผู้ใช้ทั่วโลกจะรู้สึกช้าลงเล็กน้อยธุรกิจจะไม่หยุดชะงักเลย!
หลีกเลี่ยงหลุมและสรุป
ในขณะที่เพลิดเพลินไปกับความเร็วและความปลอดภัยที่มาจาก Azure Front Door อย่าลืมคำนึงถึงการดำเนินการตกแต่งที่สำคัญสองประการต่อไปนี้:
การล็อกความปลอดภัยของไซต์ต้นทาง (ข้อจำกัด IP): หลังจากปรับใช้ AFD แล้วอย่าลืมไปที่เซิร์ฟเวอร์ต้นทาง (หรือไฟร์วอลล์) ของคุณเพื่อตั้งค่า: อนุญาตให้เข้าถึง IP จากแท็กบริการ Azure Front Door (Service Tag: AzureFrontDoor.Backend) เท่านั้น! มิฉะนั้นหากแฮกเกอร์ทราบ IP ที่แท้จริงของไซต์ต้นทางของคุณและข้าม Front Door โดยตรงเพื่อเข้าถึงไซต์ต้นทางของคุณ WAF ของคุณจะไร้ประโยชน์
WAF Detection Mode: เมื่อกฎการโฮสต์ WAF ถูกเปิดขึ้นขอแนะนำให้ตั้งค่าโหมดนโยบายเป็น "Detection" ก่อนและสังเกตบันทึกสองสามวันหลังจากยืนยันว่าคำขอของผู้ใช้ปกติไม่ได้ถูกฆ่าโดยไม่ได้ตั้งใจ (การเตือนที่ผิดพลาด) ให้เปลี่ยนเป็นโหมด "Prevention" เพื่อสกัดกั้นอย่างสมบูรณ์
สรุป:
Azure Front Door เป็นเว็บระดับโลกที่ทันสมัย
อาวุธที่แน่นอนสำหรับสถาปัตยกรรมทำให้การเพิ่มประสิทธิภาพเครือข่ายทั่วโลกที่ซับซ้อนเดิมและการรักษาความปลอดภัยเครือข่ายขั้นสูงง่ายขึ้นเป็นการ์ดการกำหนดค่าที่ชัดเจนหลายใบบนคลาวด์ด้วยการใช้แอปพลิเคชันของคุณจะสามารถบรรลุ "ความเร็วทั่วโลกและมั่นคงเหมือนภูเขาไท่" ได้อย่างแท้จริง
