保护您的资产,保护您的终点

要启动本文,我们需要及时回到2009年。在第一年期间,主要或几乎只关注平台 - AS-Service(PAAS),构建的应用程序对于互联网。这一概念也适用于核心服务,这些核心服务仍然大量使用,例如存储,数据库等必须有公共终点。

随着时间的推移,事情有所改善的策略已经改变了,而且在此期间,许多客户已经将其数据中心扩展到Azure - 基础设施 - AS-Service(IAAS)已成为一个基础要求。在IAAS的情况下,上述核心服务仅用于内部应用程序。这意味着端点不必再接触到互联网。但是,他们仍然是......在// Build 2017期间,微软宣布了锁定这些内部使用的核心服务并介绍了概念的可能性“虚拟网络服务端点”.

虚拟NetWok服务端点

The 虚拟网络服务端点 comes in very handy, as it allows to isolate connectivity to a resource from a defined subnet with the virtual network. Service Endpoints provide the following top three benefits:

  • 改进了安全性: 通过完全删除资源的公共Internet访问,仅允许来自所选虚拟网络的流量;
  • 最佳路由: 网络流量将始终通过Azure Backbone网络路由/连接,并且永远不会离开。
  • 简单设置: 没有额外的开销来维护端点,没有NAT或保留的公共IP。 Azure门户中的简单配置。

一如既往,还有一些局限性意识到。此功能仅支持通过ARM部署的虚拟网络 - 这不应该是最大的阻挡程序。但是,资源例如存储帐户将保留其公共IP。即使是交通仍将留在天空骨干网内。这可能会令人困惑......

此功能可用于以下Azure服务和地区(截至2018年8月,其中一些仍在公共预览中)。使用服务端点没有额外的费用:

  • 天蓝色的存储
  • Azure. SQL数据库
  • Azure. Cosmos DB.
  • Azure. SQL数据仓库
  • Azure. Service Bus.
  • Azure.活动中心
  • Azure. Key Vault.
  • PostgreSQL服务器的Azure数据库
  • MySQL Server的Azure数据库

该能力正在扩展到其他服务和地区。您可以看到公众的进度 Azure.路线图“Virtual Network”。我的Microsoft Congeague, Riccardo Pomato.,写了一篇关于您可能需要遵循的设置的文章。您还可以找到有关此功能的更多信息 Azure. Docs..

使用Azure防火墙更多的安全性

你可能已经听说过 Azure.防火墙(目前在预览中),基于云的网络安全服务,可保护虚拟网络资源。此服务跨订阅和虚拟网络工作,“simplifies”管理更广泛的部署。

Azure.防火墙允许通过源和目标IP地址,端口和协议集中创建允许或拒绝网络过滤规则。 Azure防火墙是完全有状态,以便可以区分合法数据包以获取不同类型的连接。跨多个订阅和虚拟网络强制执行并记录规则。您可能希望在公开提供服务后立即尝试。

那里’还有一件事…

服务端点非常快速地配置。但是,您必须意识到网络规则网络规则在所有网络协议上强制执行,包括REST和SMB。当强制执行网络规则时,甚至是AzCopy,Storage Explorer甚至Azure门户的工具需要显式访问。

如果您获得拒绝拒绝邮件,则必须将管理/客户端IP地址添加到防火墙以再次获得访问权限。

标签

相关文章

发表评论

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.