Gateway de Aplicação e encriptação

10 minutos

Encriptar os seus dados em circulação é um passo importante na proteção das suas aplicações. Pode comprar certificados a partir de uma autoridade de certificação e, em seguida, utilizá-los para encriptar as mensagens que entram e saem dos seus servidores. Essa criptografia impede que usuários não autorizados intercetem e examinem as informações nessas mensagens enquanto elas estão sendo transmitidas.

No portal de encomendas, a encriptação é importante, porque estamos a lidar com o envio de encomendas dos clientes. Se alguém puder acessar os dados transmitidos, poderá visualizar informações confidenciais, como detalhes de clientes ou dados de contas financeiras.

Para ajudar a proteger estes dados, pode utilizar o Gateway de Aplicação do Azure. Encripta os dados que transitam na rede, desde os utilizadores até aos servidores de aplicações.

O Gateway de Aplicação e os seus benefícios

O Gateway de Aplicação do Azure é um controlador de entrega de aplicações. Ele fornece recursos como balanceamento de carga de tráfego HTTP, firewall de aplicativo da Web e suporte para criptografia SSL de seus dados. O Application Gateway oferece suporte à criptografia de tráfego entre usuários e um gateway de aplicativo e entre servidores de aplicativos e um gateway de aplicativo.

A diagram representation of Application Gateway.

Quando terminar a ligação SSL no gateway de aplicação, retira dos seus servidores a carga de trabalho da terminação de SSL que utiliza intensivamente a CPU. Para além disso, não precisa de instalar certificados e de configurar SSL nos seus servidores.

Se você precisar de criptografia de ponta a ponta, o Application Gateway pode descriptografar o tráfego no gateway usando sua chave privada. Em seguida, ele criptografa novamente o tráfego com a chave pública do serviço em execução no pool de back-end.

Expor seu site ou aplicativo Web por meio do gateway de aplicativo também significa que você não conecta diretamente seus servidores à Web. Está a expor apenas a porta 80 ou a porta 443 no gateway de aplicação. Os seus servidores Web não estão diretamente acessíveis a partir da Internet, reduzindo a superfície de ataque da sua infraestrutura.

Componentes do Gateway de Aplicação

O Gateway de Aplicação tem vários componentes. Os elementos principais da encriptação são a porta de front-end, o serviço de escuta e o conjunto de back-end.

A seguinte imagem mostra a forma como o tráfego de entrada de um cliente para o Gateway de Aplicação através de SSL é desencriptado e, em seguida, encriptado novamente quando é enviado para um servidor no conjunto de back-end.

Diagram of how messages are decrypted and re-encrypted in an end-to-end SSL configuration with Application Gateway.

Porta de front-end e serviço de escuta

O tráfego entra no gateway através de uma porta de front-end. Pode abrir várias portas e o Gateway de Aplicação pode receber mensagens em qualquer uma destas portas. Um ouvinte é a primeira coisa que seu tráfego encontra ao entrar no gateway através de uma porta. Ele é configurado para ouvir um nome de host específico e uma porta específica em um endereço IP específico. O serviço de escuta pode utilizar um certificado SSL para desencriptar o tráfego que entra no gateway. Em seguida, o serviço de escuta utiliza uma regra definida por si para direcionar os pedidos recebidos para um conjunto de back-end.

Conjunto de back-end

O conjunto de back-end contém os seus servidores de aplicações. Estes servidores podem ser máquinas virtuais, um conjunto de dimensionamento de máquinas virtuais ou aplicações em execução no Serviço de Aplicações do Azure. O balanceamento de carga dos pedidos recebidos pode ser feito nos servidores existentes neste conjunto. O conjunto de back-end contém uma definição de HTTP que referencia um certificado utilizado para autenticar os servidores back-end. O gateway volta a encriptar o tráfego através deste certificado antes de o enviar para um dos seus servidores no conjunto de back-end.

Se você estiver usando o Serviço de Aplicativo do Azure para hospedar o aplicativo back-end, não precisará instalar nenhum certificado no Gateway de Aplicativo para se conectar ao pool de back-end. Todas as comunicações são encriptadas automaticamente. O Gateway de Aplicação confia nos servidores porque o Azure gere os mesmos.

Verifique o seu conhecimento

Quais são os benefícios de utilizar o Gateway de Aplicação para ajudar a proteger o tráfego recebido ou enviado pelas suas aplicações?

O Gateway de Aplicação pode implementar uma ligação SSL com os clientes. Não é necessário encriptar os dados enviados a partir do gateway para os servidores que executam a sua aplicação.

O Gateway de Aplicação pode implementar uma ligação SSL com os clientes. O Gateway de Aplicação também pode implementar uma ligação SSL com os servidores que executam a sua aplicação.

O Gateway de Aplicação não necessita de uma ligação SSL com os clientes. Toda a encriptação é efetuada pela ligação com os servidores que executam a sua aplicação.

O Gateway de Aplicação protege automaticamente as comunicações entre os clientes e os servidores que executam a sua aplicação. Não precisa de efetuar nenhuma configuração adicional.

Qual das seguintes opções não pode ser colocada no conjunto de back-end de um gateway de aplicação?

Serviço de Aplicações do Azure

Máquinas virtuais do Azure

BD do Cosmos para o Azure

Conjuntos de dimensionamento de máquinas virtuais do Azure