Tráfego seguro para as origens do Azure Front Door

2025-09-25

Importante

O Azure Front Door (clássico) será desativado em 31 de março de 2027. Para evitar qualquer interrupção do serviço, é importante que você migre seus perfis do Azure Front Door (clássico) para a camada Azure Front Door Standard ou Premium até março de 2027. Para obter mais informações, confira Desativação do Azure Front Door (clássico).

Os recursos do Azure Front Door funcionam melhor quando o tráfego flui apenas pelo Front Door. É necessário configurar sua origem para bloquear tráfegos que não foram enviados pelo Front Door. Caso contrário, eles poderão ignorar o firewall do aplicativo Web do Front Door, a Proteção contra DDoS e outros recursos de segurança.

Abordagem	Camadas com suporte
Link Privado	Premium
Identidades gerenciadas	Standard, Premium
Filtragem de endereço IP	Clássico, Standard, Premium
Identificador do Front Door	Clássico, Standard, Premium

Observação

Neste artigo, uma Origem e um grupo de origem se referem ao back-end e ao pool de back-end da configuração do Azure Front Door (clássico).

O Front Door fornece diversas abordagens de restrição do tráfego de origem.

Origens habilitadas para Link Privado

Ao usar a camada premium do Azure Front Door, você pode usar o Link Privado para enviar tráfego para sua origem. Saiba mais sobre as origens do Link Privado.

É necessário configurar a origem para não permitir tráfegos que não venham do Link Privado. A maneira de restringir o tráfego depende do tipo de origem do Link Privado usado:

O Serviço de Aplicativo do Azure e o Azure Functions desabilitam automaticamente o acesso por meio de pontos de extremidade de Internet públicos ao usar o Link Privado. Para obter mais informações, confira Uso de Pontos de Extremidade Privados para o Aplicativo Web do Azure.
O Armazenamento do Azure fornece um firewall que pode ser usado para negar o tráfego da Internet. Para saber mais, consulte Configurar Redes Virtuais e Firewalls de Armazenamento do Azure.
Os balanceadores de carga internos com o serviço de Link Privado do Azure não são roteáveis publicamente. Também é possível configurar grupos de segurança de rede para garantir que o acesso à rede virtual pela Internet não seja permitido.

Identidades gerenciadas

As identidades gerenciadas fornecidas pelo Microsoft Entra ID permitem que sua instância do Front Door acesse com segurança outros recursos protegidos do Microsoft Entra, como o Armazenamento de Blobs do Azure, sem a necessidade de gerenciar credenciais. Depois de habilitar a identidade gerenciada para o Front Door e conceder à identidade gerenciada as permissões necessárias para a sua origem, o Front Door usará a identidade gerenciada para obter um token de acesso do Microsoft Entra ID para acessar o recurso especificado. Depois de obter o token com êxito, o Front Door definirá o valor do token no cabeçalho de autorização usando o esquema Bearer e encaminhará a solicitação para a origem. O Front Door armazena o token em cache até que ele expire. Para obter mais informações, confira usar identidades gerenciadas para autenticar nas origens (versão prévia).

Origens baseadas em endereço IP público

Ao usar as origens baseadas em endereço IP público, há duas abordagens que devem ser usadas juntas para garantir que o tráfego flua pela instância do Front Door:

Configure a filtragem de endereços IP para garantir que as solicitações para a origem sejam aceitas somente dos intervalos de endereços IP do Front Door.
Configure o aplicativo para verificar o valor do cabeçalho X-Azure-FDID, que o Front Door anexa a todas as solicitações que são feitas à origem, e certifique-se de que o valor corresponda ao identificador do Front Door.

Filtragem de endereço IP

Configure a filtragem de endereço IP das origens para aceitar tráfegos somente do espaço de endereços IP de back-end do Azure Front Door e dos serviços de infraestrutura do Azure.

A marca de serviço AzureFrontDoor.Backend fornece uma lista dos endereços IP usados pelo Front Door para se conectar às origens. É possível usar essa marca de serviço nas regras do grupo de segurança de rede. Também é possível baixar o conjunto de dados de Intervalos de IP e marcas de serviço do Azure, que é atualizado regularmente com os endereços IP mais recentes.

Também é recomendado permitir o tráfego dos serviços de infraestrutura básica do Azure por meio dos endereços IP de host virtualizado 168.63.129.16 e 169.254.169.254.

Aviso

O espaço de endereços IP do Front Door muda regularmente. Certifique-se de usar a marca de serviço AzureFrontDoor.Backend em vez de endereços IP de hard-coding.

Identificador do Front Door

A filtragem de endereços IP por si só não é suficiente para proteger o tráfego para a origem, pois outros clientes do Azure usam os mesmos endereços IP. Também é necessário configurar a origem para garantir que o tráfego tenha origem no seu perfil do Front Door.

O Azure gera um identificador exclusivo para cada perfil do Front Door. É possível encontrar o identificador no portal do Azure procurando o valor da ID do Front Door na página “Visão geral” do perfil.

Quando o Front Door faz uma solicitação à origem, ele adiciona o cabeçalho de solicitação X-Azure-FDID. A origem deve inspecionar o cabeçalho das solicitações recebidas e rejeitar aquelas em que o valor não corresponde ao identificador do perfil do Front Door.

Configuração de exemplo

Os exemplos a seguir mostram como proteger diferentes tipos de origens.

É possível usar as restrições de acesso do Serviço de Aplicativo para realizar a filtragem de endereços IP, bem como a filtragem de cabeçalhos. O recurso é fornecido pela plataforma e não é necessário alterar o aplicativo ou host.

O Gateway de Aplicativo é implantado na rede virtual. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permitir o tráfego de entrada nas portas 80 e 443 da marca de serviço Internet.

Use uma regra personalizada do WAF (Firewall de Aplicativo Web) para verificar o valor do X-Azure-FDID cabeçalho. Para mais informações, consulte Criar e usar regras personalizadas do Firewall de Aplicativo Web v2 no Gateway de Aplicativo.

Para configurar o roteamento de tráfego no AKS (Serviço de Kubernetes do Azure) com o Gateway de Aplicativo para Contêineres, configure uma regra HTTPRoute para corresponder ao tráfego de entrada do Azure Front Door usando o cabeçalho X-Azure-FDID.

apiVersion: gateway.networking.k8s.io/v1
kind: HTTPRoute
metadata:
  name: http-route
  namespace: {namespace}
spec:
  parentRefs:
  - name: {gateway-name}
  rules:
  - matches:
    - headers:
      - type: Exact
        name: X-Azure-FDID
        value: "xxxxxxxx-xxxx-xxxx-xxxx-xxx"
    backendRefs:
    - name: {backend-name}
      port: {port}

Ao executar os IIS (Serviços de Informações da Internet) da Microsoft em uma máquina virtual hospedada no Azure, é necessário criar um grupo de segurança de rede na rede virtual que hospeda a máquina virtual. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permitir o tráfego de entrada nas portas 80 e 443 da marca de serviço Internet.

Use um arquivo de configuração do IIS como no exemplo a seguir para inspecionar o cabeçalho X-Azure-FDID em suas solicitações recebidas:

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
  <system.webServer>
    <rewrite>
      <rules>
        <rule name="Filter_X-Azure-FDID" patternSyntax="Wildcard" stopProcessing="true">
          <match url="*" />
          <conditions>
            <add input="{HTTP_X_AZURE_FDID}" pattern="xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" negate="true" />
          </conditions>
          <action type="AbortRequest" />
        </rule>
      </rules>
    </rewrite>
  </system.webServer>
</configuration>

Ao executar o AKS com um controlador de entrada NGINX, é necessário criar um grupo de segurança de rede na rede virtual que hospeda o cluster do AKS. Configure uma regra de grupo de segurança de rede para permitir o acesso de entrada nas portas 80 e 443 da marca de serviço AzureFrontDoor.Backend e não permitir o tráfego de entrada nas portas 80 e 443 da marca de serviço Internet.

Use um arquivo de configuração de entrada do Kubernetes, como no exemplo a seguir, para inspecionar o cabeçalho X-Azure-FDID das solicitações recebidas:

apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: frontdoor-ingress
  annotations:
  kubernetes.io/ingress.class: nginx
  nginx.ingress.kubernetes.io/enable-modsecurity: "true"
  nginx.ingress.kubernetes.io/modsecurity-snippet: |
    SecRuleEngine On
    SecRule &REQUEST_HEADERS:X-Azure-FDID \"@eq 0\"  \"log,deny,id:106,status:403,msg:\'Front Door ID not present\'\"
    SecRule REQUEST_HEADERS:X-Azure-FDID \"@rx ^(?!xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx).*$\"  \"log,deny,id:107,status:403,msg:\'Wrong Front Door ID\'\"
spec:
  #section omitted on purpose

Saiba como configurar um perfil WAF no Front Door.
Saiba como criar um Front Door.
Saiba como o Front Door funciona.

Comentários

Esta página foi útil?