none
Zugriff auf App Service auf bestimmte IPs beschränken (Whitelist) ohne Rückgabe von 403 Fehlercode RRS feed

  • Frage

  • Ich habe einen Azure App Service, der hinter einem Akamai WAF versteckt werden soll.

    Hierzu habe eine eine Liste von IPs, die nur noch darauf zugreifen können sollen. Im Azure Portal habe ich nun beim App Service unter "Networking" die "Access Restrictions" ausgewählt, und hier die Liste der IPs eingetragen.

    Prinzipiell ist der Service jetzt nur noch von diesen IPs erreichbar. Allerdings, wenn eine andere IP darauf zugreifen will, wird vom App Service ein 403 Fehler zurückgegeben "Error 403 - This web app is stopped.".

    Meine Anforderung ist aber, dass der Block auf Netzwerkebene erfolgen soll, nicht auf Application Ebene. Die nicht gewhitelisteten IPs sollen einfach gar keine Antwort vom Service bekommen.

    Wie sind denn da meine Möglichkeiten, dass in Azure umzusetzen?

    Freitag, 7. Februar 2020 07:52

Alle Antworten

  • Hi,

    warum soll das in Azure gemacht werden. Die richtige Stelle dafür ist die Firewall, also in deinem Fall wohl eher die Akamai WAF!?


    Gruß, Stefan
    Microsoft MVP - Visual Developer ASP/ASP.NET (2001-2018)
    https://www.asp-solutions.de/ - IT Beratung, Softwareentwicklung, Remotesupport

    Freitag, 7. Februar 2020 08:17
    Moderator
  • Aber dann komme ich doch immer noch über appservicename.azurewebsites.net auf den Service.

    Dieser Punkt soll unterbunden werden.

    Nachtrag:
    Oder andersrum gefragt: Wie kann ich in Azure eine Firewall auf einem App Service einrichten, sodass Zugriffe nur für eine Whitelist von IPs zugelassen werden, alle anderen Zugriffe auf Netzwerkebene unterbunden werden. Der App Service soll nur von bestimmten IPs erreichbar sein, andere IPs sollen gar keine Antwort erhalten.

    Bei den "Access Restrictions" antwortet er immer noch mit einem 403, das ist aber unerwünscht.


    Rainer Ziller


    • Bearbeitet Malyngo Freitag, 7. Februar 2020 09:41 Nachtrag
    Freitag, 7. Februar 2020 09:25
  • Hallo Rainer,

    wenn der Zugriff generell hinter der Akaimai WAF versteckt werden soll, darf es keinen anderweitigen Zugriff über appservicename.azurewebsites.net geben. Daher verstehe ich das Problem nicht so wirklich.

    Ansonsten kannst Du dir die WAF auch gleich sparen, die ist dann sowohl unnötig als auch sinnfrei.

    Azure selbst bietet auch verschiedene Arten von Firewalls. Die zu konfigurieren ist teils allerdings alles andere als trivial.

      Sperren einer App Service-Umgebung

      Konfigurieren einer Web Application Firewall (WAF) für eine App Service-Umgebung

    Das wichtige hierbei für dich wäre wohl das hier:


    Gruß, Stefan
    Microsoft MVP - Visual Developer ASP/ASP.NET (2001-2018)
    https://www.asp-solutions.de/ - IT Beratung, Softwareentwicklung, Remotesupport

    Freitag, 7. Februar 2020 10:38
    Moderator
  • Hallo Rainer,

    wenn der Zugriff generell hinter der Akaimai WAF versteckt werden soll, darf es keinen anderweitigen Zugriff über appservicename.azurewebsites.net geben. Daher verstehe ich das Problem nicht so wirklich.

    Wahrscheinlich bin ich einfach nur dämlich, und das ist supereasy, aber genau das ist mein Problem:

    Wie kann ich den Zugriff über appservicename.azurewebsites.net unterbinden?
    Ich glaube, ich brauche da jetzt eine Erklärung, als wäre ich vier Jahre alt. Ich finde da einfach keine einfache Möglichkeit.

    Ganz ehrlich, ich hatte mir das eigentlich so vorgestellt: Wenn ich in Azure zum Beispiel so eine "Azure Front Door with Web Application Firewall" direkt am App Service anlege, dann unterbindet der die Hintertür über appservicename.azurewebsites.net direkt. Macht er aber nicht, und die ganzen How-Tos verlieren da kein Wort drüber, als wäre das keine Sache. Insofern muss das ja eigentlich supereinfach sein, und ich übersehe irgendwo die verdammte Checkbox.


    Rainer Ziller

    Freitag, 7. Februar 2020 11:11
  • Nach meiner bisherigen Recherche glaube ich gerade, dass ich eine ILB-ASE einrichten muss: https://docs.microsoft.com/de-de/azure/app-service/environment/create-ilb-ase#configure-an-ilb-ase-with-a-waf-device

    Kostenpunkt: 880€ im Monat. Das kann doch nicht ernsthaft erforderlich sein, um so etwas in Azure umzusetzen?

    Ich muss hier gerade irgendwie in ganz dummen Suchwörtern gefangen sein. Für die Anforderung: App Service nur über WAF erreichbar und nicht direkt muss es doch wirklich einen einfachen Ansatz geben!


    Rainer Ziller

    Freitag, 7. Februar 2020 13:05