Twee aanbevelingen
In het derde deel van deze ASC-blogserie zal ik de applicatieaanbevelingen behandelen. In feite slechts zijn er maar twee aanbevelingen in deze categorie:
1. Een web-applicatie firewall toevoegen
2. Finaliseren van de algehele applicatiebescherming
Web-applicatie firewall toevoegen
Het volgende plan van aanpak kan worden doorgevoerd om te voldoen aan deze ASC-aanbeveling:
- Maak een resource group aan waar de applicatiegateway al wordt ingezet, of kies tijdens de implementatie je eigen resource group
- Creëer een netwerkbeveiligingsgroep (network security group, NSG). Deze wordt ingesteld op het nieuwe speciale subnet voor de web-applicatie firewall. Vergeet niet de poorten 80 en/of 443 te openen
- Voeg een speciaal subnet toe in het VNet voor de web-applicatie firewall. Voeg daarna de NSG toe die je zojuist hebt aangemaakt
- Maak een nieuwe application gateway aan, waarna je de volgende stappen doorloopt:
- Kies de WAF-laag
- Kies de SKU-grootte (middelgroot of groot; kan achteraf aangepast worden)
- Kies het aantal gebeurtenissen (kan eveneens achteraf aangepast worden)
- Kies het abonnement
- Selecteer de resource group die je eerder hebt aangemaakt, of je eigen resource group
- Vervolgens selecteer jede locatie
- Daarna selecteer je op tabblad nummer 2 het VNet waarin je het subnet hebt aangemaakt en selecteer dat subnet
- Creëer een nieuw openbaar IP-adres of kies een bestaand IP-adres (WAF ondersteunt enkel dynamische publieke IP-adressen)
- Kies de Listener-configuratie (HTTP/HTTPS) en de poort. Als je voor HTTPS hebt gekozen, moet je een PFX uploaden. Verdere Listeners kunnen ook later nog aangemaakt worden
- Kies de firewall status (in-/uitgeschakeld) en de firewall modus (detectie/preventie). Ook deze instellingen kunnen achteraf worden aangepast
- Nadat de web-applicatie firewall aangemaakt is, moet je het private IP-adres van de virtuele machine aan de backend configuratie toevoegen.
Je hebt nu een tweede toegangspunt gecreëerd voor de publieke dienst van de virtuele machine. Op deze manier kun je je publieke dienst testen. Nadat de nieuwe configuratie is goedgekeurd, kun je de DNS voor de publieke dienst wijzigen. Vervolgens verwijder je de poortconfiguratie (80/443) uit de publieke IP van de virtuele machine en de NSG.
Finaliseren van de algehele applicatiebescherming
Deze aanbeveling houdt in dat je je dataverkeer nu via de nieuw aangemaakte en ingestelde web-applicatie firewall laat lopen. Dit kun je dus doen door de DNS te updaten voor de applicatie die achter het publieke IP-adres ligt.