我有一个托管在Azure上的API。 让我们称之为 myapi.azurewebsites.net。 子域 myapi 尚未公开共享,其任何终结点也未公开共享。 但是,我看到来自亚马逊网络服务和数字海洋的流量到达 https://myapi.azurewebsites.net/api/widgets/version 格式的特定端点。
如何发现此终结点? 该 API 仅在我的组织内部由一个非常小的开发团队使用。 因此,没有人可以扫描流量以发现端点 URL 的应用程序或网站。
发布Microsoft数据中心范围(AWS,GCP和其他公共云范围也是如此(。 对手知道这些范围并不断探测它们。 您可以采取一些措施来缓解。 在测试时限制访问的最便宜方法是为 Web 应用启用 Azure AD 身份验证。 还可以在 Web 应用中实现 IP 限制。 成本更高的选项包括将 Web 应用放在具有 WAF 的应用网关后面,或创建应用服务环境,可在其中通过网络安全组 (NSG( 限制访问。