我们在托管网站的Azure中运行了一个应用程序服务。我们最近在网站上进行了安全审查,发现的一项内容是暴露了以下端点。
https://<appName>.azurewebsites.net:8172/msdeploy.axd
建议该端点应被阻止,并使用白名单来允许有限的访问(例如,部署到Azure的生成计算机)。如何阻止此终点?
您可以在Azure App Service access restrictions中使用IP级别限制,以允许有限的IP地址或VNet访问您的应用程序服务。在这种情况下,它将对您的应用程序服务中的所有应用程序都有效。
对于某些特定的端点访问控制,也许您需要在应用程序代码中使用访问授权来控制它。读取Tutorial: Authenticate and authorize users end-to-end in Azure App Service和Managing access to apps。
或者,您选择使用Application Gateway integration with service endpoints。在这种情况下,您只希望前端可供最终用户访问。后端应锁定,因此只能从前端调用。同样是前端子网support NSG,您可以使用IP和端口限制最终用户访问您的前端,与此同时,它将限制对端点的访问。有关更多详细信息,请参见Securing Back-end App Service Web Apps with VNets and Service Endpoints。
希望对您有帮助。