Was ist Azure Application Gateway?
Azure Application Gateway ist ein Layer-7-Load-Balancer, der anwendungsbasiertes Routing, SSL-Terminierung und Web Application Firewall (WAF)-Funktionen bietet. Es dient als primärer Einstiegspunkt für den Webverkehr in Ihrer Azure-Umgebung und prüft jede HTTP/HTTPS-Anfrage, bevor sie Ihre Anwendungen erreicht.
Im Gegensatz zu herkömmlichen Netzwerk-Load-Balancern, die auf Layer 4 arbeiten, versteht Application Gateway HTTP-Semantik und kann intelligente Routing-Entscheidungen basierend auf URL-Pfaden, Host-Headern und anderen Anforderungsattributen treffen. Dies macht es ideal für moderne Microservices-Architekturen.
Wichtige Funktionen
URL-basiertes Routing
Application Gateway kann den Datenverkehr basierend auf URL-Mustern an verschiedene Backend-Pools weiterleiten. Beispielsweise können /images/*-Anfragen an ein optimiertes Bildspeicher-Backend geleitet werden, während /api/*-Anfragen an Ihre API-Server gehen.
SSL/TLS-Terminierung
Die Auslagerung der SSL-Verarbeitung auf das Gateway reduziert die Rechenbelastung der Backend-Server um bis zu 80%. Es unterstützt End-to-End-SSL, SSL-Offload und benutzerdefinierte SSL-Richtlinien. Zertifikate können zentral über die Azure Key Vault-Integration verwaltet werden, wobei Zertifikate automatisch vor Ablauf erneuert werden.
Automatische Skalierung
Die v2-SKU unterstützt automatische Skalierung basierend auf Verkehrsmustern und skaliert von 0 bis 125 Instanzen. Während Stoßzeiten fügt das Gateway automatisch Kapazität hinzu. In ruhigen Zeiten skaliert es zurück und optimiert die Kosten.
Web Application Firewall (WAF)
WAF bietet zentralisierten Schutz gegen häufige Exploits und Schwachstellen. Basierend auf dem OWASP ModSecurity Core Rule Set (CRS 3.2) schützt es vor SQL-Injection, Cross-Site-Scripting (XSS), Command-Injection, HTTP-Request-Smuggling und anderen OWASP-Top-10-Bedrohungen.
WAF-Richtlinien und benutzerdefinierte Regeln
WAF-Richtlinien ermöglichen granulare Kontrolle über Sicherheitsregeln. Sie können benutzerdefinierte Regeln erstellen, die bestimmte IP-Bereiche, Geolokalisierung, Anforderungsheader oder Body-Inhalte abgleichen. Die prioritätsbasierte Regelauswertung stellt sicher, dass Ihre geschäftsspezifischen Regeln vor generischen OWASP-Regeln ausgeführt werden.
Rate-Limiting-Regeln verhindern Missbrauch, indem Anfragen von bestimmten Quellen gedrosselt werden. Beispielsweise können Sie API-Endpunkte auf 100 Anfragen pro Minute pro IP-Adresse begrenzen.
Erkennungs- vs. Präventionsmodus
Im Erkennungsmodus protokolliert WAF alle Bedrohungserkennungen, ohne Anfragen zu blockieren — ideal für die Erstbereitstellung und Feinabstimmung. Sobald Sie von der Regelkonfiguration überzeugt sind, wechseln Sie in den Präventionsmodus, in dem bösartige Anfragen aktiv blockiert werden.
Architekturmuster
Multi-Region mit Traffic Manager
Für globale Anwendungen stellen Sie Application Gateway in mehreren Regionen hinter Azure Traffic Manager bereit. Jede Region hat ihr eigenes Application Gateway mit WAF, was sowohl regionales Load Balancing als auch globale Verkehrsverteilung bietet.
AKS Ingress Controller (AGIC)
Application Gateway Ingress Controller integriert sich nativ mit Azure Kubernetes Service. Der Controller überwacht Kubernetes-Ingress-Ressourcen und konfiguriert Application Gateway automatisch, wodurch es zum Einstiegspunkt für AKS-Workloads wird.
Leistungsoptimierung
Connection Draining gewährleistet das reibungslose Entfernen von Backend-Instanzen während Deployments. HTTP/2-Unterstützung reduziert die Latenz durch Multiplexing. Cookie-basierte Sitzungsaffinität hält Benutzersitzungen auf demselben Backend-Server. Health Probes überwachen standardmäßig alle 30 Sekunden die Backend-Gesundheit.
Kostenbetrachtung
Application Gateway v2-Preise umfassen fixe Stundenkosten plus Kapazitätseinheitsgebühren. Eine kleine Bereitstellung mit 2.000 gleichzeitigen Verbindungen und aktiviertem WAF kostet typischerweise zwischen 350-450 USD pro Monat.
Best Practices
- Verwenden Sie immer die v2-SKU für automatische Skalierung und Zonenredundanz
- Aktivieren Sie Diagnoseprotokollierung und senden Sie Logs an Log Analytics
- Verwenden Sie verwaltete Regeln als Baseline und fügen Sie benutzerdefinierte Ausschlüsse für Fehlalarme hinzu
- Integrieren Sie Azure Key Vault für automatisches Zertifikatsmanagement
- Stellen Sie über Verfügbarkeitszonen bereit für 99,99% SLA
Häufig gestellte Fragen
Was ist der Unterschied zwischen Application Gateway und Azure Front Door?
Application Gateway ist ein regionaler Dienst für Load Balancing innerhalb einer einzelnen Azure-Region. Azure Front Door ist ein globaler Dienst, der Edge-Level-Routing über mehrere Regionen bietet. Für Multi-Region-Bereitstellungen bieten Front Door + Application Gateway zusammen die umfassendste Lösung.
Wichtige Funktionen und Fähigkeiten
Die folgenden Kernfähigkeiten machen diese Technologie für moderne Cloud-Infrastrukturen unverzichtbar:
Layer 7 Load Balancing
URL path-based and host-based routing distributing traffic across backend pools with cookie-based session affinity and connection draining
Web Application Firewall
OWASP CRS 3.2 rule set blocking SQL injection, XSS, and command injection with per-rule customization and exclusion lists
SSL/TLS Termination
Centralized certificate management with Key Vault integration, end-to-end TLS re-encryption, and support for TLS 1.3 cipher suites
Autoscaling
V2 SKU automatically scales from 0 to 125 instances based on traffic patterns, eliminating capacity planning and reducing costs during low traffic
Private Link Integration
Backend connectivity through Private Endpoints, enabling Application Gateway to reach services in other VNets or even on-premises through ExpressRoute
Praxisbeispiele und Anwendungsfälle
Organisationen verschiedener Branchen setzen diese Technologie in Produktionsumgebungen ein:
Multi-Tenant SaaS
Host-based routing directs tenant1.app.com and tenant2.app.com to isolated backend pools while sharing a single Gateway instance
API Gateway Complement
Application Gateway handles TLS termination and WAF protection in front of Azure API Management, adding network-level security to API-level policies
Blue-Green Deployment
Backend pool weights enable gradual traffic shifting from blue to green environments with instant rollback capability
Compliance Gateway
WAF blocks common OWASP Top 10 attacks while custom rules enforce geographic restrictions and request body size limits for regulated workloads
Best Practices und Empfehlungen
Basierend auf Enterprise-Bereitstellungen und Produktionserfahrung helfen diese Empfehlungen, den Mehrwert zu maximieren:
- Use WAF_v2 SKU with autoscaling in production — V1 SKU lacks critical features and is on deprecation path
- Start WAF in Detection mode for 2 weeks to build rule exclusions before switching to Prevention mode
- Integrate health probes with application-level checks (/health endpoint returning HTTP 200) rather than TCP-only checks
- Enable access logs and WAF logs to Log Analytics — correlate blocked requests with legitimate traffic for false positive tuning
- Use Key Vault references for SSL certificates with managed identity — avoid manual certificate deployment and renewal
- Configure connection draining timeout (30-60 seconds) to prevent request failures during backend deployments
Häufig gestellte Fragen
What is the difference between Application Gateway and Azure Front Door?
Application Gateway is regional, deployed in your VNet for private backend connectivity. Front Door is global edge with anycast routing, built-in CDN, and DDoS protection. Use Application Gateway for regional apps with VNet requirements, Front Door for global multi-region applications.
How much does WAF cost?
WAF_v2 starts at ~$0.36/hour (~$260/month) base plus ~$0.008/capacity unit. A typical deployment processing 100 requests/second costs approximately $350-$500/month. The cost is significantly lower than third-party WAF appliances requiring dedicated VM infrastructure.
Can WAF protect against zero-day attacks?
WAF with Bot Protection and DRS 2.1 rule set includes behavioral-based detection that catches many zero-day patterns. For advanced protection, enable Microsoft Threat Intelligence feed and integrate with Microsoft Sentinel for custom detection rules.
