Jędrzej Boguszyński

Zatrudnij mnie!

Wiele firm hostuje swoje aplikacje w chmurze Azure, udostępniając je klientom za pomocą publicznych punktów końcowych (endpointów), takich jak standardowy adres URL. Azure jest do tego zadania świetnie przystosowany, jednak wystawienie usług „na świat” zawsze wiąże się z ryzykiem.

Internet jest pełen botów i hakerów, którzy tylko czekają, by „poszturchać” nasze systemy. Ich cel jest prosty: znalezienie luki i uzyskanie nieautoryzowanego dostępu do danych, które są obecnie najcenniejszym towarem na czarnym rynku. Jak zatem skutecznie ochronić się przed tymi zagrożeniami?

Bezpieczeństwo na poziomie zasobu

Konfiguracja firewalla bezpośrednio na poziomie zasobu Azure (gdy aplikacja jest hostowana jako PaaS) to najprostszy sposób na zabezpieczenie naszych usług. Trzeba jednak pamiętać, że są to mechanizmy bardzo podstawowe.

Firewall PaaS pozwala nam na stworzenie whitelist adresów IP. Dzięki temu tylko ruch z zaufanych źródeł jest akceptowany, a każda próba połączenia z adresu spoza listy zostaje automatycznie odrzucona.

Jeśli jednak chcemy pójść o krok dalej i całkowicie wyeliminować ekspozycję na publiczny internet, możemy zablokować komunikację publiczną i zezwolić na ruch wyłącznie poprzez:

  • Service Endpoints: Pozwalają na bezpieczne połączenie usługi bezpośrednio z wybraną siecią wirtualną (VNET).
  • Private Endpoints: To najbardziej zaawansowana opcja, w której nasza usługa otrzymuje prywatny adres IP wewnątrz konkretnej sieci VNET, stając się niewidoczną dla użytkowników spoza tej sieci.

Jeżeli nasza aplikacja jest wdrożona w modelu IaaS (np. na maszynach wirtualnych), podstawowym narzędziem ochrony są Network Security Groups (NSG). Możemy je traktować jako firewall warstwy sieciowej, który weryfikuje ruch na poziomie podsieci (subnet) lub konkretnej karty sieciowej zasobu.

Dzięki NSG możemy precyzyjnie kontrolować dostęp, definiując reguły oparte na:

  • Adresie IP (źródłowym i docelowym),
  • Porcie (np. dopuszczenie ruchu tylko na port 443 dla HTTPS),
  • Protokole (TCP, UDP lub ICMP).

Application Gateway

Application Gateway to kolejny sposób na wzmocnienie ochrony. Choć samo rozwiązanie służy głównie do zarządzania ruchem i zapewniania wysokiej dostępności, posiada funkcje, które realnie podnoszą poziom bezpieczeństwa:

  • Terminacja SSL/TLS: Load balancer może przejąć na siebie proces deszyfrowania ruchu. Dzięki temu certyfikaty są zarządzane centralnie, a serwery aplikacyjne wewnątrz sieci mogą komunikować się bezpieczniej lub być odciążone od procesów kryptograficznych.
  • Ukrycie architektury (IP Masking): Klient łączy się z adresem Load Balancera, a nie bezpośrednio z serwerem aplikacji. To sprawia, że hakerowi trudniej jest namierzyć konkretne zasoby wewnątrz Twojej sieci.
  • Web Application Firewall (WAF): W przypadku usługi Azure Application Gateway, możemy zintegrować ją z modułem WAF. To tutaj przechodzimy do ochrony w 7. warstwie modelu OSI, która potrafi blokować ataki typu SQL Injection czy Cross-Site Scripting (XSS).

Azure firewall

Azure Firewall to zaawansowana, natywna usługa bezpieczeństwa działająca w modelu PaaS. Choć użytkownik widzi go jako pojedynczy zasób, pod spodem opiera się on na skalowalnych zestawach maszyn wirtualnych (VM Scale Sets) oraz sieciowych Load Balancerach.

Po wdrożeniu Azure Firewall w naszej architekturze, konieczna jest odpowiednia konfiguracja sieci (np. poprzez tabele routingu), aby cały ruch wchodzący i wychodzący był kierowany właśnie przez ten centralny punkt.

Kluczowe możliwości Azure Firewall:

  • Reguły NAT (DNAT): Możemy przypisać usłudze publiczny adres IP i za pomocą reguł NAT precyzyjnie kierować ruch do konkretnych aplikacji wewnątrz sieci.
  • Ochrona wielowarstwowa: Pozwala na tworzenie reguł firewall zarówno w warstwie sieciowej, jak i aplikacyjnej.
  • Inspekcja TLS (SSL Decryption): Firewall potrafi deszyfrować i monitorować ruch szyfrowany, co pozwala na wykrycie zagrożeń ukrytych wewnątrz sesji SSL.
  • Integracja z Microsoft Defender: Dzięki połączeniu z bazami Threat Intelligence, firewall w czasie rzeczywistym blokuje ruch z adresów IP i domen uznanych za niebezpieczne.

Warto wiedzieć: Azure Firewall jest rozwiązaniem wysoce skalowalnym. Należy jednak pamiętać, że wraz ze wzrostem natężenia ruchu system automatycznie uruchamia dodatkowe instancje VM w tle, co może generować dodatkowe koszty.

Azure Front Door

Azure Front Door (AFD) to usługa typu CDN (Content Delivery Network) działająca globalnie, która służy do błyskawicznego dostarczania aplikacji użytkownikom na całym świecie. Dzięki technologii Anycast, adres publiczny przypisany do naszej aplikacji jest rozgłaszany we wszystkich regionach Azure. Oznacza to, że klient łącząc się z systemem, zawsze trafia do punktu (PoP – Point of Presence) położonego najbliżej niego. Gwarantuje to najkrótszą trasę sieciową, a co za tym idzie – minimalne opóźnienia.

Dodatkowo AFD oferuje mechanizmy cachowania najczęściej serwowanych danych, co znacząco przyspiesza ładowanie strony i odciąża nasze serwery źródłowe.

Bezpieczeństwo w skali globalnej:

Pod kątem security, Azure Front Door oferuje możliwości zbliżone do Application Gateway, ale w skali globalnej:

  • Zintegrowany WAF: Pozwala na filtrowanie ruchu w 7. warstwie modelu OSI już na brzegu sieci, zanim ruch w ogóle dotrze do Twojej infrastruktury.
  • SKU Premium: Wybierając wyższy pakiet, zyskujemy dostęp do ponad 1000 predefiniowanych reguł (Managed Rules) przygotowanych przez Microsoft. Są one stale aktualizowane, aby chronić aplikacje przed najnowszymi i najczęstszymi typami ataków (np. OWASP Top 10).
  • Ochrona przed DDoS: AFD posiada wbudowaną, natywną ochronę przed atakami typu Distributed Denial of Service.

Ochrona infrastruktury hybrydowej

Warto również wspomnieć, że opisane wcześniej narzędzia – takie jak Application Gateway, Azure Firewall czy Azure Front Door – nie ograniczają się wyłącznie do ochrony zasobów w chmurze. Mogą one służyć jako tarcza dla Twojej lokalnej infrastruktury (on-premises).

Jeśli Twoja sieć firmowa jest zintegrowana z Azure (np. poprzez Site-to-Site VPN), możesz skonfigurować architekturę tak, aby ruch przychodzący trafiał najpierw do bezpiecznych punktów końcowych w Azure. Po przejściu przez inspekcję WAF lub reguły Azure Firewall, ruch jest bezpiecznie przesyłany do Twoich lokalnych serwerów.

Dzięki temu rozwiązaniu Twoje aplikacje on-prem zyskują:

  • Globalną ochronę przed atakami DDoS i botami.
  • Zaawansowane filtrowanie ruchu (WAF).
  • Możliwość rezygnacji z utrzymywania drogich i skomplikowanych fizycznych urządzeń typu firewall na rzecz skalowalnych rozwiązań chmurowych.

Search Here

Categories

Archives

Pages

Social Media