Azure Networkについて 6 アプリケーション保護/配信サービス

ApplicationGateway

■LB 負荷分散サービス
Azureを学んでいく上でサービスが複数ありLBに関しても混乱する

大きく分けてL4/L7なのか、リージョン内なのかリージョン外も含めてなのかというかたちでざっくり把握する必要がある

下記に大きくまとまっているので一読する価値あり

負荷分散のオプション - Azure Architecture Center
Azure 負荷分散サービスと、複数のコンピューティング リソース間でトラフィックを分散するために 1 つを選択する際の考慮事項について説明します。
learn.microsoft.com

●リージョン内
・L4  LoadBalancer

Azure Load Balancer の概要 - Azure Load Balancer
Azure Load Balancer の機能、アーキテクチャ、実装の概要について説明します。 サービスの動作とクラウドでの使用方法について学習します。
learn.microsoft.com

・L7  ApplicationGateway

Azure Application Gateway とは
Azure Application Gateway を使用してアプリケーションに対する Web トラフィックを管理する方法について説明します。
learn.microsoft.com

※ただし、リージョン間LBがプレビュー中(2023/1/27時点)

リージョン間のロード バランサー - Azure Load Balancer
Azure Load Balancer のリージョン間ロード バランサー階層の概要。
learn.microsoft.com

●リージョン外
・L4 TrafficManager

Azure の Traffic Manager
この記事では、Azure Traffic Manager の概要を示します。 実際のアプリケーションのユーザー トラフィックを負荷分散するための選択肢として適切かどうかを見極めましょう。
learn.microsoft.com

・L7 FrontDoor

Azure Front Door
この記事では、Azure Front Door の概要を示します。
learn.microsoft.com

■LoadBlancerのハマりポイント
内部向けのStandard LBは明示的にSNAT設定をいれないとインターネットに接続ができない
ただし、Basic LBはNATしてなくてもネット接続が可能
フローティングIPの使い方は確認したほうが良い

Azure Load Balancer のフローティング IP の構成
Azure Load Balancer のフローティング IP の概要。
learn.microsoft.com

■ApplicationGateway補足
・バックエンド通信の暗号化機能有

Azure Application Gateway でのエンド ツー エンド TLS の有効化
この記事では、Application Gateway によるエンド ツー エンド TLS のサポートの概要を示します。
learn.microsoft.com

・ApplicationGatewayとAzure Firewallとの組み合わせは多くのオプションがある

ファイアウォール、仮想ネットワーク用の App Gateway - Azure Example Scenarios
仮想ネットワークで Azure Firewall と Azure Application Gateway のセキュリティを使用するためのオプションとベスト プラクティスについて説明します。
learn.microsoft.com

ファイアウォール、仮想ネットワーク用の App Gateway - Azure Example Scenarios
仮想ネットワークで Azure Firewall と Azure Application Gateway のセキュリティを使用するためのオプションとベスト プラクティスについて説明します。
learn.microsoft.com

ファイアウォール、仮想ネットワーク用の App Gateway - Azure Example Scenarios
仮想ネットワークで Azure Firewall と Azure Application Gateway のセキュリティを使用するためのオプションとベスト プラクティスについて説明します。
learn.microsoft.com

■Azure WAF
WAF機能は
・ApplicationGateway
・AzureFrontDoor
・Azure CDN(プレビュー)

3つあるがまずは

◇ApplicationGateway  サイトレベルでのWAF

Azure Application Gateway 上の Azure Web アプリケーション ファイアウォールとは - Azure Web Application Firewall
この記事では、Application Gateway 上の Web アプリケーション ファイアウォール (WAF) の概要を説明します
learn.microsoft.com

◇Azure Front Door ネットワークエッジレベル

Azure Front Door の Azure Web アプリケーション ファイアウォールとは
Azure Front Door の Azure Web アプリケーション ファイアウォールが悪意のある攻撃から Web アプリケーションを保護する方法を学習します。
learn.microsoft.com

□補足 OWASP TOPTEN
WAFは国際ウェブセキュリティ標準機構の OWASP TOPTENとして定義されているリスク対して対応するのが基本らしい (知らなかった・・・)

OWASP Top Ten | OWASP Foundation
The OWASP Top 10 is the reference standard for the most critical web application security risks. Adopting the OWASP Top 10 is perhaps the most effective first s...
owasp.org

どうやらApplication GatewayはCRCというルールを利用して、AzureFrontDoorはDRSという
CRCをベースにMSがカスタマイズしたものを利用するらしい

CRS Documentation
CRS Documentation
coreruleset.org
Azure Web Application Firewall DRS ルール グループとルール
この記事では、Azure Web Application Firewall の DRS ルール グループとルールについて説明します。
learn.microsoft.com

CRCはユーザが個別でチューニング、DRSはMSがチューニングしてくれる
MSが独自に定義している

MSが個別に定義しているCVEはブラックボックスなのでチューニングにこまるらしい

Azure Web Application Firewall DRS ルール グループとルール
この記事では、Azure Web Application Firewall の DRS ルール グループとルールについて説明します。
learn.microsoft.com

コメント

タイトルとURLをコピーしました