我在 Azure Blob Storage 上部署了一个 SPA webapp,其 URL 是公开的。例如https://example.z23.web.core.windows.net/
我想使用带有 WAF 的 Azure Front Door 来提高安全性。有没有办法阻止对 blob URL 的直接访问?我用谷歌搜索并找到了很多答案,其中之一就是在存储帐户网络配置中只允许AzureFrontDoor.BackendIP。我试过了,它奏效了。
但是,这种方法仍然存在漏洞,因为任何人都可以创建一个 Front Door 并指向我的 blob URL(如果他们碰巧以某种方式发现它)。
(这可能听起来很愚蠢):如果我继续使用此方法并随机命名我的存储帐户,例如,使用精简的随机 GUID。(https://6c4a89d5dba04b8fbe1ed7f.z23.web.core.windows.net/)这可以减少有人发现我的 URL 并绕过安全性的可能性吗?
Azure 推荐的另一种方法是检查X-Azure-FDID包含我的特定 Front Door 实例的 ID 的标头并丢弃不包含此标头的请求。我问我的开发人员这是否可以在 Vue webapp 上实现,他说我们需要在客户端运行的代码中包含 Front Door ID,因此无论如何都会将 ID 公开。(这不是堆栈溢出,但如果有人可以就此提出任何建议,那就太好了)
我发现的另一种方法是使用 Azure Front Door Premium SKU,它支持使用专用链接连接到存储帐户。这是完美的,但每月花费高达 165 美元。我宁愿将我的代码部署在 App Service 上,因为它本机只能限制来自 Front Door 的访问。
任何人都可以提出任何方法来实现这一目标吗?
谢谢。
检查 X-Azure-FDID 标头并结合 IP 限制是当前锁定此问题而不关闭专用链接路由的唯一方法。因此,您需要获取应用程序代码来验证这一点,因为您在 FD 和存储帐户之间没有任何其他内容。
虽然在您的客户端代码中使用它会暴露 ID,但这并不重要。IP 限制意味着您只允许来自 Front Door 实例的流量,并且攻击者无法在不同的 FD 实例上设置该 ID。