Application Gateway och kryptering

  • 10 minuter

Att kryptera data som överförs är en viktig del i säkerheten för dina appar. Du kan köpa certifikat från en certifikatutfärdare och använda dem till att kryptera de meddelanden som skickas in och ut från dina servrar. Den här krypteringen hindrar obehöriga användare från att fånga upp och undersöka informationen i dessa meddelanden medan de överförs.

I leveransportalen är det viktigt med kryptering eftersom vi hanterar leverans av kundorder. Om någon kan komma åt de överförda data kan de visa känslig information, till exempel kundinformation eller finansiella kontodata.

Du kan skydda informationen med Azure Application Gateway. Med Application Gateway krypteras data som överförs i nätverket från användarna till programservrarna.

Application Gateway och dess fördelar

Azure Application Gateway är en programleveranskontrollant. Den innehåller funktioner som belastningsutjämning av HTTP-trafik, brandvägg för webbprogram och stöd för SSL-kryptering av dina data. Application Gateway stöder kryptering av trafik mellan användare och en programgateway och mellan programservrar och en programgateway.

A diagram representation of Application Gateway.

När du terminerar SSL-anslutningen vid programgatewayen avlastas de processorintensiva SSL-termineringsjobben från dina servrar. Dessutom behöver du inte installera certifikat eller konfigurera SSL på dina servrar.

Om du behöver kryptering från slutpunkt till slutpunkt kan Application Gateway dekryptera trafiken på gatewayen med hjälp av din privata nyckel. Sedan krypteras trafiken igen med den offentliga nyckeln för tjänsten som körs i serverdelspoolen.

Att exponera din webbplats eller webbapp via programgatewayen innebär också att du inte ansluter servrarna direkt till webben. Du exponerar bara port 80 eller 443 på programgatewayen. Dina webbservrar är inte direkt åtkomliga från Internet, vilket minskar din infrastrukturs attackyta.

Application Gateway-komponenter

Application Gateway består av flera komponenter. De viktigaste delarna för kryptering är klientdelsporten, lyssnaren och serverdelspoolen.

I följande bild ser du hur inkommande trafik från en klient till Application Gateway över SSL dekrypteras och sedan krypteras igen när den skickas till en server i serverdelspoolen.

Diagram of how messages are decrypted and re-encrypted in an end-to-end SSL configuration with Application Gateway.

Klientdelsport och lyssnare

Trafiken kommer till gatewayen via en klientdelsport. Du kan öppna många portar och Application Gateway kan ta emot meddelanden via valfri öppen port. En lyssnare är det första som trafiken möter när du går in i gatewayen via en port. Den är konfigurerad för att lyssna efter ett specifikt värdnamn och en specifik port på en specifik IP-adress. Lyssnaren kan använda ett SSL-certifikat till att dekryptera trafiken som kommer in till gatewayen. Lyssnaren använder sedan en regel som du definierar för att dirigera inkommande förfrågningar till en serverdelspool.

Serverdelspool

I serverdelspoolen finns dina appservrar. De här servrarna kan vara virtuella datorer, en VM-skalningsuppsättning eller appar som körs i Azure App Service. Inkommande begäranden kan belastningsutjämnas bland servrarna i poolen. Serverdelspoolen har en HTTP-inställning som refererar till ett certifikat som används till att autentisera servrarna i poolen. Gatewayen krypterar om trafiken med hjälp av det här certifikatet innan den skickas till någon av servrarna i serverdelspoolen.

Om du använder Azure App Service som värd för serverdelsprogrammet behöver du inte installera några certifikat i Application Gateway för att ansluta till serverdelspoolen. All kommunikation krypteras automatiskt. Application Gateway litar på servrarna eftersom de hanteras av Azure.

Testa dina kunskaper

1.

Vad finns det för fördelar med att använda Application Gateway till att skydda nätverkstrafiken som skickas till eller från dina appar?

2.

Vilket av följande kan inte placeras i serverdelspoolen för en programgateway?