iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 8
3
Security

麻瓜不敗!白魔法藍天煉金術系列 第 8

[Day 08] 技能解封初始篇章-防網站惡攻的天行者(Azure FrontDoor)

  • 分享至 

  • xImage
  •  

前言回顧

技能解封初始篇章-對空對地的坦克巨塔(Azure Firewall)
https://ithelp.ithome.com.tw/upload/images/20190908/20025481zr6afutGYz.jpg

已領取技能符石

https://ithelp.ithome.com.tw/upload/images/20190912/200254818HJ9L9yBD7.jpg

解封技能樹(Start)

https://ithelp.ithome.com.tw/upload/images/20190912/20025481La80j79dzM.png

適合的勇者?

曾經遭逢資安事件打擊者。

資安事件觀望者。

資安探索者。

IT過路人。

資安潛水幫。

資安擺渡人。*

https://ithelp.ithome.com.tw/upload/images/20190907/20025481886Opddny2.jpg

學完可以帶走甚麼?

種下資安的芽在自己心中讓資安意識更強大。

自己的資安生涯規劃師。

帶走心中的這棵樹,把樹傳出去。

你也可以是小小資安擺渡人。

單挑資安認證更有信心。

https://ithelp.ithome.com.tw/upload/images/20190907/20025481k086P7e0kc.jpg

英普洛斯 VS 安達利爾

https://ithelp.ithome.com.tw/upload/images/20190908/20025481ZiZm5nafqX.jpg

休戰之際-傳奇煉金警戒之牆

英普洛斯在某處海域中意外發現了一只發光體,近距離觀看發現是一顆暗金符文寶石,立馬拿回去讓天使秘士做鑑定赫然發現原來這是百年難得一見的傳奇素材,經過整整三個月的煉金,合成了這道能劃破天際的神盾,我們通稱叫它是"警戒之牆"。警戒之牆解析回到人類聽得懂的代名詞"前門"

Azure FrontDoor 結合了原來流量管理服務與應用程式防火牆特性於一身,除了能提供最佳效能和全域容錯移轉來得到高可用性外,同時也是管理監視網路流量的全域路由。透過 FrontDoor 可以把全球消費用戶讓企業應用系統網站觸及至全世界。而 FrontDoor 也同時能在 L7 Http/s 上運作,並用任一通訊協定搭配 TCP 和 Microsoft 網路來改善全球連線能力。

補充上述:
針對完整 Azure 受控的負載平衡解決方案。如你要找 DNS 全域路由,且無 TLS 協定終止 SSL Offload 或每一 Http/s 的要求,則可參考 Traffic Manager。
如需區域內主機間的負載平衡,則可針對網站應用程式閘道上網路負載平衡服務做流量監視保護。在依照每個不同環境特性來做整合。

FrontDoor 有以下功能特色︰

  • 加快應用程式效能
  • 智慧健康探查、監視後端服務可用性
  • URL 路由
  • 多網站裝載
  • 應用程式後端保留用戶工作階段
  • 應用層安全
  • URL 重導向
  • 支援 IPv6 與 HTTP/2 流量

Front Door WAF 是這次服務中的要角**"WAF"** 可部署在 Azure 各地資料中心上,啟用網站應用程式防火牆檢查每個網路傳入的要求。防止惡意攻擊來源、禁止接近進入你自家的虛擬網路內,供大規模的整體保護,而不會犧牲效能。 WAF 原則可輕易地連結到你的訂用帳戶中任何前端設定檔和新的規則,只需要幾分鐘的更新生效時間來大幅降低瞬息萬變的威脅風險。
https://ithelp.ithome.com.tw/upload/images/20190913/20025481quPQKDFIpF.png

Front Door WAF 支援模式:

  • 偵測模式:執行過程中 WAF 不會監視之外其他動作並透過要求比對其相符規則來寫入紀錄。可透過 Front Door 記錄診斷來作為事後偵查的依據。
  • 防止模式:執行過程中,WAF 會在判別比對規則,如果找到相符項目則會評估其他規則,來做你所設置的下一步動作。 而同時一樣是擁有 WAF 診斷要求的偵查紀錄。
    1. 允許:要求通過 WAF 並轉送至後端服務。無任何優先序規則可封鎖此項要求。
    2. 封鎖: 要求封鎖,WAF 傳送至用戶端回應,但要求轉送到後端的需求被 Drop。
    3. 記錄: 要求 WAF 記錄,持續監視評估其優先序低的規則。
    4. 重導向:WAF要求重新導向至指定的 URI。

Front Door WAF 預設威脅阻擋的規則範疇清單如下:

  • 跨網站指令碼
  • Java 攻擊
  • PHP 插入式攻擊
  • 遠端命令執行
  • 遠端檔案執行插入
  • SQL 插入式攻擊保護
  • 通訊協定攻擊

補充小知識:
目前所有 FrontDoor 預設皆啟用 HTTP/2 支援。用戶無須採取任何動作。
HTTP/2 是 HTTP/1.1 的重大修訂版。主要供更快 Web 效能、更短回應時間及更好的用戶體驗,但仍保留常用 HTTP 方法、狀態碼和語意。雖然 HTTP/2 設計來搭配 HTTP/S 之用,但許多用戶端瀏覽器僅支援透過 TLS 來用 HTTP/2。

  • 多工和並行 - 當使用 HTTP 1.1 期間提出多個資源要求需要多個 TCP 連線,造成重複提領資源的情況,造每個連線都有其相關聯的效能負荷。而 HTTP/2 允許在單一 TCP 連線可要求多個資源。
  • 標頭壓縮 - 將提供的資源來壓縮 HTTP 的標頭以大幅縮短網路時間。
  • 資料流相依性 - 可讓用戶端向伺服器表示哪個資源最優先。

Front Door 目前有四種流量路由方法:(很像Traffic Manager 還多了地理區判別與子網路路由但沒有工作階段同質)
延遲 - 至敏感度範圍中可接受的最低延遲後端。 基本上用戶要求會根據網路延遲傳送至就近端服務。
優先序 - 當用戶想針對所有流量,可優先指派給不同後端,並提供備用方案,以防發生主要或備份後端無法使用的情況。
加權 - 當您想要平均還是根據權數係數將流量分散到一組後端時,可以將權數指派給不同的後端。
工作階段同質性 - 當使用者工作階段仍在使用中且後端執行個體仍根據健康狀態探查回報狀況良好,將來自使用者的後續要求傳送至相同後端時,您可以為前端主機或網域設定工作階段同質性。

補充上個月的雷,配合開發商驗證網站透過 Front Door 保護這段完成後但因不在預算範疇內故作罷,打算移除有兩個問題點:

  1. Front Door 與 Front Door WAF 這兩組服務看似分開但有關聯,所以當時先把 Front Door 移除後造成裡面受保護的資源仍舊關聯著導致無法移除,這還算小事就記得 Front Door 名稱要取的跟移除前一樣在重新綁定一次 WAF 內的資源做關聯,完成後就可以把 WAF 內的規則移除掉。
  2. 上述解決但弔詭的是裡面所綁定受到保護的資源一樣無法移除咬住(但重點是 GUI 上是顯示移除成功,然後資源還是存在),最終是原廠後台開立到他們二線處理掉才行。

實作工坊

而光說不練怎麼行,實驗環境中會把持續關注的你/妳帶到小弟我的 wordpress.com內容涵蓋如下:

  1. Azure FrontDoor 成本計價。
  2. Azure FrontDoor Q&A。
  3. 簡易實作體驗。
    技能解封初始篇章-防網站惡攻的天行者(WAF)

上屆鐵人主題

如果有興趣對您有幫助也請多多支持,歡迎給小弟建議或互相交流!

Google Cloud 勇者的試煉

玩轉 Azure 於指尖隨心所欲


上一篇
[Day 07] 技能解封初始篇章-對空對地的坦克巨塔(Azure Firewall)
下一篇
[Day 09] 技能解封初始篇章-非法隱身存取(O365 & Azure Cloud App Security)
系列文
麻瓜不敗!白魔法藍天煉金術30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言