Bloqueando um Ambiente do Serviço de Aplicativo

O Ambiente do Serviço de Aplicativo (ASE) tem muitas dependências externas às quais ele requer acesso para funcionar corretamente. O ASE reside na Rede Virtual do Azure do cliente. Os clientes devem permitir o tráfego de dependência do ASE, que é um problema para os clientes que desejam bloquear toda a saída da rede virtual.

Há muitos pontos de extremidade de entrada que são usados para gerenciar um ASE. O tráfego de gerenciamento de entrada não pode ser enviado por meio de um dispositivo de firewall. Os endereços de origem para esse tráfego são conhecidos e publicados no documento Endereços de gerenciamento do Ambiente do Serviço de Aplicativo. Há também uma Marca de Serviço chamada AppServiceManagement, que pode ser usada com NSGs (Grupos de Segurança de Rede) para proteger o tráfego de entrada.

As dependências de saída do ASE são quase inteiramente definidas com FQDNs, que não têm endereços estáticos por trás delas. A falta de endereços estáticos significa que os Grupos de Segurança de Rede não podem ser usados para bloquear o tráfego de saída de um ASE. Os endereços mudam com frequência suficiente para que não seja possível configurar regras com base na resolução atual e usá-lo para criar NSGs.

A solução para proteger os endereços de saída está em usar um dispositivo de firewall que possa controlar o tráfego de saída com base em nomes de domínio. Firewall do Azure pode restringir o tráfego de HTTP e HTTPS de saída com base no FQDN de destino.

Arquitetura do sistema

A implantação de um ASE com o tráfego de saída passando por um dispositivo de firewall exige a alteração das rotas na sub-rede do ASE. As rotas operam em um nível de IP. Se você não tiver cuidado ao definir suas rotas, poderá forçar o tráfego de resposta TCP para a origem de outro endereço. Quando o endereço de resposta é diferente do tráfego de endereço para o qual o tráfego foi enviado, o problema é chamado de roteamento assimétrico e interrompe o TCP.

É preciso haver rotas definidas, de modo que o tráfego de entrada para o ASE possa responder da mesma maneira que o tráfego foi recebido. As rotas precisam ser definidas para solicitações de gerenciamento de entrada e solicitações de aplicativo de entrada.

O tráfego bidirecional em um ASE precisa obedecer às convenções a seguir

• O tráfego para SQL, Armazenamento e Hubs de Eventos do Azure não tem suporte com o uso de um dispositivo de firewall. Esse tráfego precisa ser enviado diretamente para esses serviços. A maneira de fazer isso acontecer é configurar pontos de extremidade de serviço para esses três serviços.
• As regras da tabela de rotas precisam ser definidas para enviar o tráfego de gerenciamento de entrada novamente do local de origem.
• As regras da tabela de rotas precisam ser definidas para enviar o tráfego do aplicativo de entrada novamente do local de origem.
• Todo o outro tráfego que sai do ASE pode ser enviado ao dispositivo de firewall com uma regra de tabela de rotas.

Como bloquear o tráfego de gerenciamento de entrada

Se sua sub-rede ASE ainda não tiver um NSG atribuído a ela, crie um. No NSG, defina a primeira regra para permitir o tráfego da Marca de Serviço chamada AppServiceManagement nas portas 454 e 455. A regra para permitir o acesso da marca AppServiceManagement é a única coisa que é necessária para que os IPs públicos gerenciem o ASE. Os endereços que estão atrás dessa Marca de Serviço são usados apenas para administrar o Serviço de Aplicativo do Azure. O tráfego de gerenciamento que flui por essas conexões é criptografado e protegido com certificados de autenticação. O tráfego típico nesse canal inclui itens como os comandos iniciados pelo cliente e as investigações de integridade.

Os ASEs que são criados por meio do portal com uma nova sub-rede são criados com um NSG que contém a regra de permissão para a marca AppServiceManagement.

O ASE também precisa permitir solicitações de entrada da marca do Load Balancer na porta 16001. As solicitações do Load Balancer na porta 16001 são verificações keep alive entre o Load Balancer e os front-ends do ASE. Se a porta 16001 estiver bloqueada, o ASE não estará íntegro.

Como configurar o Firewall do Azure com seu ASE

As etapas para bloquear a saída do ASE existente com o Firewall do Azure são:

1. Habilite os pontos de extremidade de serviço para SQL, Armazenamento e Hubs de Eventos em sua sub-rede do ASE. Para habilitar os pontos de extremidade de serviço, acesse o portal de rede > sub-redes e selecione Microsoft.EventHub, Microsoft.SQL e Microsoft.Storage no menu suspenso Pontos de extremidade de serviço. Quando você tiver pontos de extremidade de serviço habilitados para o SQL Azure, todas as dependências do SQL do Azure contidas nos aplicativos precisarão ser configuradas com pontos de extremidade de serviço também.

   

2. Crie uma sub-rede chamada AzureFirewallSubnet na rede virtual em que o ASE existe. Siga as instruções da documentação do Firewall do Azure para criar seu Firewall do Azure.

3. Na interface do usuário do Firewall do Azure > Regras > Coleção de regras de aplicativo, selecione Adicionar coleção de regras de aplicativo. Forneça um nome e uma prioridade e defina Permitir. Na seção Marcas de FQDN, forneça um nome, defina os endereços de origem como * e selecione a marca FQDN do Ambiente do Serviço de Aplicativo e o Windows Update.

   

4. Na interface do usuário do Firewall do Azure > Regras > Coleção de regras de rede, selecione Adicionar coleção de regras de rede. Forneça um nome e uma prioridade e defina Permitir. Na seção Regras em Endereços IP, forneça um nome, selecione um protocolo Qualquer um, defina * como Endereços de origem e destino e defina as portas como 123. Essa regra permite que o sistema execute a sincronização de relógio usando o NTP. Crie outra regra da mesma forma para a porta 12000 para ajudar na triagem dos problemas do sistema.

   

5. Na interface do usuário do Firewall do Azure > Regras > Coleção de regras de rede, selecione Adicionar coleção de regras de rede. Forneça um nome e uma prioridade e defina Permitir. Na seção Regras em Marcas de Serviço, forneça um nome, selecione um protocolo Qualquer um, defina * como Endereços de origem, selecione uma marca de serviço igual a AzureMonitor e defina as portas como 80 e 443. Essa regra permite que o sistema forneça ao Azure Monitor informações de integridade e métricas.

   

6. Crie uma tabela de rotas com uma rota para a marca de serviço AppServiceManagement com um próximo salto de Internet. Essa entrada da tabela de rotas é necessária para evitar problemas de roteamento assimétrico. Adicione uma rota da Solução de Virtualização à sua tabela de rotas para 0.0.0.0/0 com o próximo nó sendo seu endereço IP privado do Firewall do Azure. Você deve usar a marca de serviço em vez dos endereços IP para evitar a necessidade de atualizar a tabela de rotas quando os endereços de gerenciamento forem alterados. No entanto, se você precisar usar os endereços de gerenciamento, poderá baixar o arquivo de referência da marca de serviço para a nuvem que está usando nos endereços de gerenciamento do Ambiente do Serviço de Aplicativo e criar suas rotas a partir deles.

7. Atribua a tabela de rotas que você criou à sua sub-rede ASE.

Implantando o ASE atrás de um firewall

As etapas para implantar o ASE por trás de um firewall são as mesmas que configurar o ASE existente com um Firewall do Azure, exceto que você precisa criar sua sub-rede ASE e seguir as etapas anteriores. Para criar o ASE em uma sub-rede pré-existente, você precisa usar um modelo do Resource Manager, conforme descrito no documento sobre como Criar o ASE com um modelo do Resource Manager.

Tráfego de aplicativo

As etapas acima permitem que o ASE opere sem problemas. Você ainda precisará configurar tudo para acomodar as necessidades do seu aplicativo. Há dois problemas para aplicativos em um ASE configurado com o Firewall do Azure.

• As dependências de aplicativo precisam ser adicionadas ao Firewall do Azure ou à tabela de rotas.
• As rotas precisam ser criadas para o tráfego de aplicativo a fim de evitar problemas de roteamento assimétrico

Se seus aplicativos tiverem dependências, precisarão ser adicionados ao Firewall do Azure. Crie regras de aplicativo para permitir o tráfego HTTP/HTTPS e regras de Rede para todo o resto.

Quando souber do intervalo de endereços do qual o tráfego de solicitação do aplicativo vem, você pode adicioná-lo à tabela de rotas atribuída à sua sub-rede do ASE. Se o intervalo de endereços for grande ou não estiver especificado, você poderá usar um dispositivo de rede, como o Gateway de Aplicativo para fornecer um endereço para adicionar à sua tabela de rotas. Para obter detalhes sobre como configurar um Gateway de Aplicativo com seu ILB ASE, leia Como integrar seu ILB ASE a um Gateway de Aplicativo

Esse uso do Gateway de Aplicativo é apenas um exemplo de como configurar o sistema. Se você seguiu esse caminho, você precisa adicionar uma rota à tabela de rotas da sub-rede do ASE, de modo que o tráfego de resposta enviado ao Gateway de Aplicativo acesse-o diretamente.

Registrando em log

O Firewall do Azure pode enviar logs para o Armazenamento do Microsoft Azure, hubs de eventos ou logs do Azure Monitor. Para integrar seu aplicativo com qualquer destino compatível, acesse o portal do Firewall do Azure > Logs de Diagnóstico e habilite os logs para o destino desejado. Se você fizer a integração com os logs do Azure Monitor, poderá ver os logs de qualquer tráfego enviado para o Firewall do Azure. Para ver o tráfego que está sendo negado, abra o portal de espaços de trabalho do Log Analytics existentes > Logs e insira uma consulta como

AzureDiagnostics | where msg_s contains "Deny" | where TimeGenerated >= ago(1h)

A integração do Firewall do Azure com os logs do Azure Monitor é útil quando um aplicativo funciona pela primeira vez quando você não está ciente de todas as dependências do aplicativo. Saiba mais sobre os logs do Azure Monitor em Analisar dados de log no Azure Monitor.

Configurando o firewall de terceiros com seu ASE

As informações a seguir só são necessárias se você deseja configurar um dispositivo de firewall diferente do Firewall do Azure. Para Firewall do Azure consulte a seção acima.

Considere as seguintes dependências ao implantar um firewall de terceiros com seu ASE:

• Os serviços compatíveis com o Ponto de Extremidade de Serviço devem ser configurados com pontos de extremidade de serviço.
• As dependências de Endereço IP são para o tráfego não HTTP/S (tráfego TCP e UDP)
• Pontos de extremidade HTTP/HTTPS do FQDN podem ser colocados em seu dispositivo de firewall.
• Pontos de extremidade HTTP/HTTPS curinga são dependências que podem variar de acordo com seu ASE com base em muitos qualificadores.
• As dependências do Linux só serão uma preocupação se você estiver implantando aplicativos Linux em seu ASE. Se você não estiver implantando aplicativos Linux em seu ASE, esses endereços não precisarão ser adicionados ao firewall.

Dependências com capacidade de Ponto de Extremidade de Serviço

Dependências de endereço IP

Com um Firewall do Azure, você obtém automaticamente o seguinte configurado com as marcas FQDN.

Dependências de HTTP/HTTPS do FQDN

Dependências de HTTP/HTTPS de curinga

Dependências do Linux

Configurando um firewall com o ASE nas regiões do Gov (US)

Para os ASEs nas regiões US Gov, siga as instruções da seção Como configurar o Firewall do Azure com o seu ASE deste documento para configurar um Firewall do Azure com o ASE.

Quando você deseja usar um firewall de terceiros no US Gov, você precisa considerar as seguintes dependências:

• Os serviços compatíveis com o Ponto de Extremidade de Serviço devem ser configurados com pontos de extremidade de serviço.
• Pontos de extremidade HTTP/HTTPS do FQDN podem ser colocados em seu dispositivo de firewall.
• Pontos de extremidade HTTP/HTTPS curinga são dependências que podem variar de acordo com seu ASE com base em muitos qualificadores.

O Linux não está disponível em regiões do US Gov e, portanto, não está listado como uma configuração opcional.

Dependências com capacidade de Ponto de Extremidade de Serviço

Dependências de endereço IP

Dependências de HTTP/HTTPS do FQDN

Dependências de HTTP/HTTPS de curinga