我在 Azure Blob Storage 上部署了一个 SPA webapp,其 URL 是公开的。例如https://example.z23.web.core.windows.net/
我想使用带有 WAF 的 Azure Front Door 来提高安全性。有没有办法阻止对 blob URL 的直接访问?我用谷歌搜索并找到了很多答案,其中之一就是在存储帐户网络配置中只允许AzureFrontDoor.BackendIP。我试过了,它奏效了。
但是,这种方法仍然存在漏洞,因为任何人都可以创建一个 Front Door 并指向我的 blob URL(如果他们碰巧以某种方式发现它)。
(这可能听起来很愚蠢):如果我继续使用此方法并随机命名我的存储帐户,例如,使用精简的随机 GUID。(https://6c4a89d5dba04b8fbe1ed7f.z23.web.core.windows.net/)这可以减少有人发现我的 URL 并绕过安全性的可能性吗?
Azure 推荐的另一种方法是检查X-Azure-FDID包含我的特定 Front Door 实例的 ID 的标头并丢弃不包含此标头的请求。我问我的开发人员这是否可以在 Vue webapp 上实现,他说我们需要在客户端运行的代码中包含 Front Door ID,因此无论如何都会将 ID 公开。(这不是堆栈溢出,但如果有人可以就此提出任何建议,那就太好了)
我发现的另一种方法是使用 Azure Front Door Premium SKU,它支持使用专用链接连接到存储帐户。这是完美的,但每月花费高达 165 美元。我宁愿将我的代码部署在 App Service 上,因为它本机只能限制来自 Front Door 的访问。
任何人都可以提出任何方法来实现这一目标吗?
谢谢。