保护您的资产,保护您的端点

要开始本文,我们需要追溯到2009年Azure的开始。在第一年中,主要或几乎唯一的关注点是平台即服务(PaaS),即构建的应用程序上网。这个概念也适用于核心服务,这些核心服务如今仍在大量使用,例如必须由公共端点提供的存储,数据库等。

随着时间的推移,事物的改进策略已经改变,与此同时,许多客户已将其数据中心扩展到Azure –基础架构即服务(IaaS)已成为一项基本要求。对于IaaS,上述那些核心服务仅用于内部应用程序。这意味着端点不必再暴露于互联网了。但是,它们仍然是……在// build 2017年期间,Microsoft宣布可以锁定那些内部使用的核心服务,并引入了“虚拟网络服务端点”.

虚拟Netwok服务端点

The 虚拟网络服务端点 comes in very handy, as it allows to isolate connectivity to a resource from a defined subnet with the virtual network. Service Endpoints provide the following top three benefits:

  • 增强的安全性: 通过完全取消对资源的公共Internet访问,将仅允许来自选定虚拟网络的流量;
  • 最佳路由: 网络流量将始终通过Azure骨干网进行路由/连接,并且永远不会离开。
  • 简单设置: 维护端点,没有NAT或保留的公用IP都没有额外的开销。 蔚蓝门户中的简单配置。

与往常一样,还有一些限制要注意。此功能仅支持通过ARM部署的虚拟网络-不应成为最大的障碍。但是,资源(例如存储帐户)将保留其公共IP。甚至流量也将始终停留在Azure骨干网中。这可能会令人困惑……

此功能适用于以下Azure服务和区域(截至2018年8月,其中一些仍处于公共预览状态)。使用服务端点不收取额外费用:

  • 蔚蓝存储
  • 蔚蓝 SQL数据库
  • 蔚蓝 Cosmos数据库
  • 蔚蓝 SQL数据仓库
  • 蔚蓝服务总线
  • 蔚蓝事件中心
  • 蔚蓝密钥保管库
  • PostgreSQL服务器的Azure数据库
  • 适用于MySQL服务器的Azure数据库

该功能正在扩展到其他服务和区域。您可以在公共场合看到进度 的Azure路线图“Virtual Network”。我的微软同事 里卡多·波马托(Riccardo Pomato),写了一篇有关您可能要遵循的设置的文章。您也可以在以下网址中找到有关此功能的更多信息: 蔚蓝文档.

使用Azure防火墙提高安全性

您可能听说过 蔚蓝防火墙(当前处于预览状态),这是一种基于云的网络安全服务,用于保护虚拟网络资源。此服务可跨订阅和虚拟网络使用,“simplifies”进行更广泛部署的管理。

蔚蓝防火墙允许根据源和目标IP地址,端口和协议集中创建允许或拒绝网络筛选规则。 蔚蓝防火墙是完全有状态的,因此它可以区分不同连接类型的合法数据包。跨多个订阅和虚拟网络强制执行和记录规则。您可能希望在服务公开发布后立即尝试。

那里’只是一件事情…

服务端点的配置非常迅速。但是,您必须知道网络规则网络规则在所有网络协议(包括REST和SMB)上都得到了实施。强制执行网络规则时,诸如AZCopy,Storage Explorer甚至Azure门户之类的工具都需要显式访问。

如果收到拒绝访问消息,则必须将管理/客户端IP地址添加到防火墙以再次获得访问权限。

标签

相关文章

发表评论

该网站使用Akismet减少垃圾邮件。 了解如何处理您的评论数据.