¿Es posible restringir el acceso a Azure WebRole a una lista de rangos de IP? Vi que hay una serie de artículos que explican cómo configurar el firewall para acceder a una instancia de SQL Azure, pero ¿qué pasa con los WebRoles/WorkerRoles?Windows Azure: restringir la ira de la dirección IP para acceder a WebRole
Gracias, Luc
no he hecho personalmente esto en Azure todavía, pero has necesitado simplemente utilizando la función de seguridad IIS7 IP a través the system.webServer/security/ipSecurity configuration element?
Desde la versión V1.3 del SDK (y ahora V1.4), el soporte total de IIS y las tareas de inicio han estado disponibles para ayudar a resolver este problema.
He blog acerca de este http://blog.bareweb.eu/2011/04/restricting-access-by-ip-in-azure-web-role-v1-4/
Puede utilizar ipsecurity en web.config, pero también hay que hacer algún trabajo en relación con la instalación del módulo IPSec en IIS.
Saludos Andy
Esta respuesta es bastante obsoleta ahora; consulte la respuesta de Henri a continuación para obtener una solución más actualizada y fácil. –
Microsoft proporciona la receta para hacer esto en este mes de mayo 2012 El artículo http://msdn.microsoft.com/en-us/library/windowsazure/jj154098.aspx.
Puede restringir el acceso a Windows Azure papel web a un conjunto de direcciones IP específicas mediante la modificación de su archivo web.config IIS y la creación de un archivo de comandos que abre la sección de ipsecurity del archivo ApplicationHost.config.
Desde Azure SDK 2.4 ha habido una posibilidad de utilizar lista de control de acceso (ACL) para aplicar las restricciones de IP para sus servicios en la nube. Escribí un post sobre esto: http://www.henrihietala.fi/apply-ip-restrictions-for-azure-cloud-service/
Simplemente añadir la ACL en su ServiceConfiguration.Cloud.cscfg:
<?xml version="1.0" encoding="utf-8"?>
<ServiceConfiguration serviceName="MyWebRole.Azure" xmlns="http://schemas.microsoft.com/ServiceHosting/2008/10/ServiceConfiguration" osFamily="4" osVersion="*" schemaVersion="2014-06.2.4">
<Role name="MyWebRole">
...
</Role>
<NetworkConfiguration>
<AccessControls>
<AccessControl name="ipRestrictions">
<Rule action="permit" description="allowed-edu" order="100" remoteSubnet="137.133.228.111/32" />
<Rule action="permit" description="allowed-test" order="101" remoteSubnet="168.61.66.2/32" />
<Rule action="permit" description="allowed-prod" order="102" remoteSubnet="168.61.66.131/32" />
<Rule action="deny" description="Others" order="800" remoteSubnet="0.0.0.0/0" />
</AccessControl>
</AccessControls>
<EndpointAcls>
<EndpointAcl role="MyWebRole" endPoint="Endpoint1" accessControl="ipRestrictions" />
<EndpointAcl role="MyWebRole" endPoint="HttpsIn" accessControl="ipRestrictions" />
</EndpointAcls>
</NetworkConfiguration>
</ServiceConfiguration>
tener cuidado con los atributos de la regla. Su implementación fallará si ha especificado el mismo número de pedido o descripción dos veces o si la dirección IP en remoteSubnet es incorrecta.
¿Alguna vez encontró más documentación oficial? Me gustaría saber cuál es el resultado esperado de esto (es decir, el estado regresa) –
Gracias por la pronta respuesta, Drew. El moderador en esta publicación indica "ipSecurity no funciona actualmente en Windows Azure". http://social.msdn.microsoft.com/Forums/en-US/windowsazure/thread/c197f725-503e-4a44-abce-ea99c741758d/ Y el uso del archivo de configuración no funcionará para mí, ya que quiero ¡agregue/elimine rangos de IP sin tener que volver a desplegar todo el paquete! Este es un cheque que debe ejecutarse antes de que el tráfico llegue a la aplicación. No puedo creer que se esté dejando de lado una característica tan importante, ya que no puedo ver una aplicación LOB que no quiera restringir el tráfico. Luc – Azure
Ah, lo siento, debería haber investigado más antes de sugerirlo. Bueno, al menos está aquí por el bien de la posteridad y esperamos ayudar a las personas que ven este tema a entender que * no * es una opción. –