¿Qué es Azure Application Gateway?
Azure Application Gateway es un equilibrador de carga de Capa 7 que proporciona enrutamiento a nivel de aplicación, terminación SSL y capacidades de Web Application Firewall (WAF). Sirve como punto de entrada principal para el tráfico web que fluye hacia su entorno Azure, inspeccionando cada solicitud HTTP/HTTPS antes de que llegue a sus aplicaciones.
A diferencia de los equilibradores de carga de red tradicionales que operan en la Capa 4, Application Gateway comprende la semántica HTTP y puede tomar decisiones de enrutamiento inteligentes basadas en rutas URL, encabezados de host y otros atributos de solicitud.
Características principales
Enrutamiento basado en URL
Application Gateway puede dirigir el tráfico a diferentes grupos de backend según los patrones de URL. Por ejemplo, las solicitudes /images/* pueden ir a un backend de almacenamiento de imágenes optimizado, mientras que las solicitudes /api/* se enrutan a sus servidores API.
Terminación SSL/TLS
La descarga del procesamiento SSL al gateway reduce la carga computacional en los servidores backend hasta un 80%. Admite SSL de extremo a extremo, descarga SSL y políticas SSL personalizadas. Los certificados se pueden administrar centralmente mediante la integración con Azure Key Vault.
Escalado automático
El SKU v2 admite el escalado automático basado en patrones de tráfico, escalando de 0 a 125 instancias. Durante las horas pico, el gateway agrega capacidad automáticamente. Durante los períodos tranquilos, se reduce para optimizar costos.
Web Application Firewall (WAF)
WAF proporciona protección centralizada contra exploits y vulnerabilidades comunes. Basado en el conjunto de reglas OWASP ModSecurity Core Rule Set (CRS 3.2), defiende contra inyección SQL, cross-site scripting (XSS), inyección de comandos y otras amenazas OWASP Top 10.
Políticas WAF y reglas personalizadas
Las políticas WAF permiten un control granular sobre las reglas de seguridad. Puede crear reglas personalizadas que coincidan con rangos de IP específicos, geolocalización, encabezados de solicitud o contenido del cuerpo. Las reglas de limitación de velocidad previenen el abuso al limitar las solicitudes de fuentes específicas.
Modo detección vs prevención
En modo detección, WAF registra todas las detecciones de amenazas sin bloquear solicitudes — ideal para el despliegue inicial. Una vez confiado en la configuración de reglas, cambie al modo prevención donde las solicitudes maliciosas se bloquean activamente.
Patrones de arquitectura
Para aplicaciones globales, implemente Application Gateway en múltiples regiones detrás de Azure Traffic Manager. El controlador de ingreso AGIC se integra nativamente con Azure Kubernetes Service, monitoreando recursos de ingreso de Kubernetes y configurando automáticamente Application Gateway.
Optimización del rendimiento
El drenaje de conexiones asegura la eliminación gradual de instancias backend durante las implementaciones. El soporte HTTP/2 reduce la latencia mediante multiplexación. La afinidad de sesión basada en cookies mantiene las sesiones de usuario en el mismo servidor backend.
Mejores prácticas
- Use siempre el SKU v2 para escalado automático y redundancia de zona
- Habilite el registro de diagnóstico y envíe logs a Log Analytics
- Use reglas administradas como línea base y agregue exclusiones personalizadas para falsos positivos
- Integre Azure Key Vault para la gestión automática de certificados
- Implemente en zonas de disponibilidad para un SLA del 99.99%
Características y Capacidades Clave
Las siguientes capacidades fundamentales hacen que esta tecnología sea esencial para la infraestructura cloud moderna:
Layer 7 Load Balancing
URL path-based and host-based routing distributing traffic across backend pools with cookie-based session affinity and connection draining
Web Application Firewall
OWASP CRS 3.2 rule set blocking SQL injection, XSS, and command injection with per-rule customization and exclusion lists
SSL/TLS Termination
Centralized certificate management with Key Vault integration, end-to-end TLS re-encryption, and support for TLS 1.3 cipher suites
Autoscaling
V2 SKU automatically scales from 0 to 125 instances based on traffic patterns, eliminating capacity planning and reducing costs during low traffic
Private Link Integration
Backend connectivity through Private Endpoints, enabling Application Gateway to reach services in other VNets or even on-premises through ExpressRoute
Casos de Uso del Mundo Real
Organizaciones de diversas industrias aprovechan esta tecnología en entornos de producción:
Multi-Tenant SaaS
Host-based routing directs tenant1.app.com and tenant2.app.com to isolated backend pools while sharing a single Gateway instance
API Gateway Complement
Application Gateway handles TLS termination and WAF protection in front of Azure API Management, adding network-level security to API-level policies
Blue-Green Deployment
Backend pool weights enable gradual traffic shifting from blue to green environments with instant rollback capability
Compliance Gateway
WAF blocks common OWASP Top 10 attacks while custom rules enforce geographic restrictions and request body size limits for regulated workloads
Mejores Prácticas y Recomendaciones
Basadas en despliegues empresariales y experiencia en producción, estas recomendaciones le ayudarán a maximizar el valor:
- Use WAF_v2 SKU with autoscaling in production — V1 SKU lacks critical features and is on deprecation path
- Start WAF in Detection mode for 2 weeks to build rule exclusions before switching to Prevention mode
- Integrate health probes with application-level checks (/health endpoint returning HTTP 200) rather than TCP-only checks
- Enable access logs and WAF logs to Log Analytics — correlate blocked requests with legitimate traffic for false positive tuning
- Use Key Vault references for SSL certificates with managed identity — avoid manual certificate deployment and renewal
- Configure connection draining timeout (30-60 seconds) to prevent request failures during backend deployments
Preguntas Frecuentes
What is the difference between Application Gateway and Azure Front Door?
Application Gateway is regional, deployed in your VNet for private backend connectivity. Front Door is global edge with anycast routing, built-in CDN, and DDoS protection. Use Application Gateway for regional apps with VNet requirements, Front Door for global multi-region applications.
How much does WAF cost?
WAF_v2 starts at ~$0.36/hour (~$260/month) base plus ~$0.008/capacity unit. A typical deployment processing 100 requests/second costs approximately $350-$500/month. The cost is significantly lower than third-party WAF appliances requiring dedicated VM infrastructure.
Can WAF protect against zero-day attacks?
WAF with Bot Protection and DRS 2.1 rule set includes behavioral-based detection that catches many zero-day patterns. For advanced protection, enable Microsoft Threat Intelligence feed and integrate with Microsoft Sentinel for custom detection rules.
