Azure Application Gateway и WAF: безопасность веб-приложений - Cloudspark

Azure Application Gateway ve WAF: Web Uygulama GÃ¼venliÄŸi

31 Мар 2026

Что такое Azure Application Gateway?

Azure Application Gateway — это балансировщик нагрузки уровня 7, обеспечивающий маршрутизацию на уровне приложений, терминацию SSL и функции Web Application Firewall (WAF). Он служит основной точкой входа для веб-трафика, поступающего в вашу среду Azure, проверяя каждый HTTP/HTTPS-запрос до того, как он достигнет ваших приложений.

В отличие от традиционных сетевых балансировщиков нагрузки, работающих на уровне 4, Application Gateway понимает семантику HTTP и может принимать интеллектуальные решения о маршрутизации на основе URL-путей, заголовков хоста и других атрибутов запроса.

Ключевые возможности

Маршрутизация на основе URL

Application Gateway может направлять трафик в различные пулы бэкендов на основе URL-шаблонов. Например, запросы /images/* могут направляться на оптимизированный бэкенд хранения изображений, а запросы /api/* — на ваши API-серверы.

Терминация SSL/TLS

Разгрузка обработки SSL на шлюз снижает вычислительную нагрузку на серверы бэкенда до 80%. Поддерживается сквозной SSL, разгрузка SSL и пользовательские политики SSL. Сертификаты можно централизованно управлять через интеграцию с Azure Key Vault.

Автоматическое масштабирование

SKU v2 поддерживает автоматическое масштабирование на основе паттернов трафика — от 0 до 125 экземпляров. В часы пиковой нагрузки шлюз автоматически добавляет ёмкость. В спокойные периоды масштабируется обратно, оптимизируя затраты.

Web Application Firewall (WAF)

WAF обеспечивает централизованную защиту от распространённых эксплойтов и уязвимостей. Основанный на наборе правил OWASP ModSecurity Core Rule Set (CRS 3.2), он защищает от SQL-инъекций, межсайтового скриптинга (XSS), инъекций команд и других угроз OWASP Top 10.

Политики WAF и пользовательские правила

Политики WAF обеспечивают гранулярный контроль над правилами безопасности. Вы можете создавать пользовательские правила, соответствующие определённым IP-диапазонам, геолокации, заголовкам запросов или содержимому тела. Правила ограничения скорости предотвращают злоупотребления, ограничивая запросы из определённых источников.

Режим обнаружения vs предотвращения

В режиме обнаружения WAF регистрирует все обнаружения угроз, не блокируя запросы — идеально для начального развёртывания. После настройки правил переключитесь в режим предотвращения, где вредоносные запросы активно блокируются.

Архитектурные паттерны

Для глобальных приложений разверните Application Gateway в нескольких регионах за Azure Traffic Manager. Application Gateway Ingress Controller нативно интегрируется с Azure Kubernetes Service, отслеживая ресурсы ingress и автоматически конфигурируя шлюз.

Оптимизация производительности

Connection draining обеспечивает плавное удаление экземпляров бэкенда при развёртывании. Поддержка HTTP/2 снижает задержки за счёт мультиплексирования. Привязка сессий на основе cookie поддерживает пользовательские сессии на одном сервере бэкенда.

Лучшие практики

Всегда используйте SKU v2 для автомасштабирования и зональной избыточности
Включите диагностическое журналирование и отправляйте логи в Log Analytics
Используйте управляемые правила как базовую линию и добавляйте исключения для ложных срабатываний
Интегрируйте Azure Key Vault для автоматического управления сертификатами
Развёртывайте в зонах доступности для SLA 99,99%

Ключевые возможности и функции

Следующие ключевые возможности делают эту технологию незаменимой для современной облачной инфраструктуры:

Layer 7 Load Balancing

URL path-based and host-based routing distributing traffic across backend pools with cookie-based session affinity and connection draining

Web Application Firewall

OWASP CRS 3.2 rule set blocking SQL injection, XSS, and command injection with per-rule customization and exclusion lists

SSL/TLS Termination

Centralized certificate management with Key Vault integration, end-to-end TLS re-encryption, and support for TLS 1.3 cipher suites

Autoscaling

V2 SKU automatically scales from 0 to 125 instances based on traffic patterns, eliminating capacity planning and reducing costs during low traffic

Private Link Integration

Backend connectivity through Private Endpoints, enabling Application Gateway to reach services in other VNets or even on-premises through ExpressRoute

Реальные сценарии использования

Организации из различных отраслей используют эту технологию в продакшен-средах:

Multi-Tenant SaaS

Host-based routing directs tenant1.app.com and tenant2.app.com to isolated backend pools while sharing a single Gateway instance

API Gateway Complement

Application Gateway handles TLS termination and WAF protection in front of Azure API Management, adding network-level security to API-level policies

Blue-Green Deployment

Backend pool weights enable gradual traffic shifting from blue to green environments with instant rollback capability

Compliance Gateway

WAF blocks common OWASP Top 10 attacks while custom rules enforce geographic restrictions and request body size limits for regulated workloads

Лучшие практики и рекомендации

На основе корпоративных внедрений и продакшен-опыта следующие рекомендации помогут максимизировать ценность:

Use WAF_v2 SKU with autoscaling in production — V1 SKU lacks critical features and is on deprecation path
Start WAF in Detection mode for 2 weeks to build rule exclusions before switching to Prevention mode
Integrate health probes with application-level checks (/health endpoint returning HTTP 200) rather than TCP-only checks
Enable access logs and WAF logs to Log Analytics — correlate blocked requests with legitimate traffic for false positive tuning
Use Key Vault references for SSL certificates with managed identity — avoid manual certificate deployment and renewal
Configure connection draining timeout (30-60 seconds) to prevent request failures during backend deployments

Часто задаваемые вопросы

What is the difference between Application Gateway and Azure Front Door?

Application Gateway is regional, deployed in your VNet for private backend connectivity. Front Door is global edge with anycast routing, built-in CDN, and DDoS protection. Use Application Gateway for regional apps with VNet requirements, Front Door for global multi-region applications.

How much does WAF cost?

WAF_v2 starts at ~$0.36/hour (~$260/month) base plus ~$0.008/capacity unit. A typical deployment processing 100 requests/second costs approximately $350-$500/month. The cost is significantly lower than third-party WAF appliances requiring dedicated VM infrastructure.

Can WAF protect against zero-day attacks?

WAF with Bot Protection and DRS 2.1 rule set includes behavioral-based detection that catches many zero-day patterns. For advanced protection, enable Microsoft Threat Intelligence feed and integrate with Microsoft Sentinel for custom detection rules.

Для отправки комментария вам необходимо авторизоваться.