我们有一个在 Azure 中运行的应用服务,它托管一个网站。我们最近对网站进行了安全审查,发现其中一项是以下端点已暴露。
https://<appName>.azurewebsites.net:8172/msdeploy.axd
建议应阻止此端点并使用白名单以允许有限访问(例如部署到 Azure 的构建机器)。我如何阻止这个端点?
问问题
239 次
2 回答
2
在与 Microsoft 支持讨论后,似乎启用了端口 8172 以向后兼容旧版本的 MsDeploy。该端口正在逐步淘汰,有时会开放,有时不会开放。
修复是让我们多次创建一个新的资源组、应用服务计划和应用服务,直到我们最终关闭了一个端口关闭的服务器。这令人沮丧,但最终它确实解决了这个问题。
于 2020-05-26T22:45:31.080 回答
1
你可以在Azure 应用服务访问限制中使用 IP 级别限制,以允许有限的 IP 地址或 VNet 访问你的应用服务。在这种情况下,它将适用于您的应用服务中的所有应用程序。
对于某些特定的端点访问控制,您可能需要在应用程序代码中使用访问授权对其进行控制。阅读教程:在 Azure 应用服务中对用户进行端到端的身份验证和授权以及管理对应用的访问。
或者,您选择使用应用程序网关与服务端点的集成。在这种情况下,您只希望最终用户可以访问前端。后端应该被锁定,所以它只能从前端调用。前端子网也支持 NSG,你可以限制具有 IP 和端口的最终用户访问你的前端,同时它会限制对你的端点的访问。有关更多详细信息,请参阅使用 VNet 和服务终结点保护后端应用服务 Web 应用。
希望这对您有所帮助。
于 2020-05-20T09:21:14.573 回答