Azure Application Gateway ve WAF: Web Uygulama Güvenliği
Azure
Emre Yılmaz

Qu’est-ce qu’Azure Application Gateway ?

Azure Application Gateway est un équilibreur de charge de niveau 7 qui offre le routage au niveau applicatif, la terminaison SSL et des fonctionnalités de pare-feu d’applications web (WAF). Il sert de point d’entrée principal pour le trafic web entrant dans votre environnement Azure, inspectant chaque requête HTTP/HTTPS avant qu’elle n’atteigne vos applications.

Contrairement aux équilibreurs de charge réseau traditionnels qui opèrent au niveau 4, Application Gateway comprend la sémantique HTTP et peut prendre des décisions de routage intelligentes basées sur les chemins URL, les en-têtes d’hôte et d’autres attributs de requête.

Fonctionnalités principales

Routage basé sur les URL

Application Gateway peut diriger le trafic vers différents pools backend en fonction des modèles d’URL. Par exemple, les requêtes /images/* peuvent être dirigées vers un backend de stockage d’images optimisé, tandis que les requêtes /api/* sont routées vers vos serveurs API.

Terminaison SSL/TLS

Le déchargement du traitement SSL vers la passerelle réduit la charge de calcul sur les serveurs backend jusqu’à 80%. Elle prend en charge le SSL de bout en bout, le déchargement SSL et les politiques SSL personnalisées. Les certificats peuvent être gérés de manière centralisée via l’intégration avec Azure Key Vault.

Mise à l’échelle automatique

La référence SKU v2 prend en charge la mise à l’échelle automatique basée sur les modèles de trafic, passant de 0 à 125 instances. Pendant les heures de pointe, la passerelle ajoute automatiquement de la capacité. En période calme, elle réduit sa capacité pour optimiser les coûts.

Web Application Firewall (WAF)

Le WAF fournit une protection centralisée contre les exploits et vulnérabilités courants. Basé sur l’ensemble de règles OWASP ModSecurity Core Rule Set (CRS 3.2), il protège contre l’injection SQL, le cross-site scripting (XSS), l’injection de commandes et d’autres menaces OWASP Top 10.

Politiques WAF et règles personnalisées

Les politiques WAF permettent un contrôle granulaire des règles de sécurité. Vous pouvez créer des règles personnalisées qui filtrent sur des plages IP spécifiques, la géolocalisation, les en-têtes de requête ou le contenu du corps. Les règles de limitation de débit empêchent les abus en limitant les requêtes provenant de sources spécifiques.

Mode détection vs prévention

En mode détection, le WAF journalise toutes les détections de menaces sans bloquer les requêtes — idéal pour le déploiement initial. Une fois confiant dans la configuration des règles, passez en mode prévention où les requêtes malveillantes sont activement bloquées.

Modèles d’architecture

Multi-région avec Traffic Manager

Pour les applications globales, déployez Application Gateway dans plusieurs régions derrière Azure Traffic Manager. Chaque région dispose de son propre Application Gateway avec WAF, offrant à la fois l’équilibrage de charge régional et la distribution globale du trafic.

Contrôleur d’entrée AKS (AGIC)

Le contrôleur d’entrée Application Gateway s’intègre nativement avec Azure Kubernetes Service. Le contrôleur surveille les ressources d’entrée Kubernetes et configure automatiquement Application Gateway comme point d’entrée pour les charges de travail AKS.

Optimisation des performances

Le drainage de connexion assure le retrait progressif des instances backend lors des déploiements. La prise en charge HTTP/2 réduit la latence grâce au multiplexage. L’affinité de session basée sur les cookies maintient les sessions utilisateur sur le même serveur backend.

Considérations tarifaires

La tarification d’Application Gateway v2 comprend un coût horaire fixe plus des frais d’unité de capacité. Un petit déploiement desservant 2 000 connexions simultanées avec WAF activé coûte généralement entre 350 et 450 dollars par mois.

Bonnes pratiques

  • Utilisez toujours le SKU v2 pour la mise à l’échelle automatique et la redondance de zone
  • Activez la journalisation des diagnostics et envoyez les logs vers Log Analytics
  • Utilisez les règles gérées comme référence et ajoutez des exclusions personnalisées pour les faux positifs
  • Intégrez Azure Key Vault pour la gestion automatique des certificats
  • Déployez sur les zones de disponibilité pour un SLA de 99,99%

Fonctionnalités et Capacités Clés

Les capacités fondamentales suivantes rendent cette technologie essentielle pour les infrastructures cloud modernes :

Layer 7 Load Balancing

URL path-based and host-based routing distributing traffic across backend pools with cookie-based session affinity and connection draining

Web Application Firewall

OWASP CRS 3.2 rule set blocking SQL injection, XSS, and command injection with per-rule customization and exclusion lists

SSL/TLS Termination

Centralized certificate management with Key Vault integration, end-to-end TLS re-encryption, and support for TLS 1.3 cipher suites

Autoscaling

V2 SKU automatically scales from 0 to 125 instances based on traffic patterns, eliminating capacity planning and reducing costs during low traffic

Private Link Integration

Backend connectivity through Private Endpoints, enabling Application Gateway to reach services in other VNets or even on-premises through ExpressRoute

Cas d’Utilisation Concrets

Des organisations de divers secteurs utilisent cette technologie dans des environnements de production :

Multi-Tenant SaaS

Host-based routing directs tenant1.app.com and tenant2.app.com to isolated backend pools while sharing a single Gateway instance

API Gateway Complement

Application Gateway handles TLS termination and WAF protection in front of Azure API Management, adding network-level security to API-level policies

Blue-Green Deployment

Backend pool weights enable gradual traffic shifting from blue to green environments with instant rollback capability

Compliance Gateway

WAF blocks common OWASP Top 10 attacks while custom rules enforce geographic restrictions and request body size limits for regulated workloads

Bonnes Pratiques et Recommandations

Sur la base de déploiements en entreprise et d’expérience en production, ces recommandations vous aideront à maximiser la valeur :

  • Use WAF_v2 SKU with autoscaling in production — V1 SKU lacks critical features and is on deprecation path
  • Start WAF in Detection mode for 2 weeks to build rule exclusions before switching to Prevention mode
  • Integrate health probes with application-level checks (/health endpoint returning HTTP 200) rather than TCP-only checks
  • Enable access logs and WAF logs to Log Analytics — correlate blocked requests with legitimate traffic for false positive tuning
  • Use Key Vault references for SSL certificates with managed identity — avoid manual certificate deployment and renewal
  • Configure connection draining timeout (30-60 seconds) to prevent request failures during backend deployments

Questions Fréquemment Posées

What is the difference between Application Gateway and Azure Front Door?

Application Gateway is regional, deployed in your VNet for private backend connectivity. Front Door is global edge with anycast routing, built-in CDN, and DDoS protection. Use Application Gateway for regional apps with VNet requirements, Front Door for global multi-region applications.

How much does WAF cost?

WAF_v2 starts at ~$0.36/hour (~$260/month) base plus ~$0.008/capacity unit. A typical deployment processing 100 requests/second costs approximately $350-$500/month. The cost is significantly lower than third-party WAF appliances requiring dedicated VM infrastructure.

Can WAF protect against zero-day attacks?

WAF with Bot Protection and DRS 2.1 rule set includes behavioral-based detection that catches many zero-day patterns. For advanced protection, enable Microsoft Threat Intelligence feed and integrate with Microsoft Sentinel for custom detection rules.

Benzer İçerikler

Vous devez vous connecter pour publier un commentaire.
🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español