Score:1

Server

เหตุใดจึงต้องใช้ VNET สำหรับบริการ PaaS

kudlatiger

26/6/23 13:14

ฉันมีการตั้งค่าด้านล่างใน อาซัวร์ คลาวด์ที่ซึ่งเว็บแอปได้รับความลับจาก ที่เก็บกุญแจ ดังที่แสดงด้านล่าง มีการเปิดใช้งานนโยบายข้อมูลประจำตัวและการเข้าถึงที่มีการจัดการ

อย่างไรก็ตาม ทีมรักษาความปลอดภัยของเราแนะนำให้เรา จำกัดการเข้าถึงเครือข่าย Azure Key Vault โดยใช้ไฟร์วอลล์และ Vnets.

ฉันสามารถสร้าง VNET และจำกัดการเข้าถึงได้ อย่างไรก็ตาม VNET นี้จะทำอะไรกันแน่เพราะเป็นสถานเลี้ยงเด็กกำพร้า (ดังรูปด้านล่าง). ฉันพลาดอะไรไปรึเปล่า?

0 + 0

Score:2

Server

Assil

11/7/23 16:46

ฉันมีคำถามเดียวกันและแบ่งปันข้อกังวลเดียวกัน คำตอบสั้นๆ สำหรับคำถามของคุณ âVNET นี้จะทำอะไรกันแน่เพราะเป็นสถานเลี้ยงเด็กกำพร้าâ ไม่มีอะไร

คำตอบโดยละเอียดโดย @Ken W MSFT มีรายละเอียด มีคุณค่า และสมบูรณ์แบบ และคุณรู้อยู่แล้วว่า

ทีมรักษาความปลอดภัยของคุณขับเคลื่อนด้วยข้อเท็จจริงที่ว่านโยบายในตัวของ Microsoft และพื้นฐานความปลอดภัยสำหรับชุดเก็บคีย์ Azure และเกณฑ์มาตรฐานความปลอดภัย Azure ล้วนแนะนำว่าคุณไม่เคยเข้าถึง AKV จากอินเทอร์เน็ตสาธารณะ ดังนั้นจึงเข้าถึงได้โดยใช้ลิงก์ส่วนตัวหรือจุดสิ้นสุดบริการเท่านั้นตามที่อธิบายไว้ใน รายละเอียดข้างต้น แต่ทั้งหมดถือว่าคุณมี VNET และ VM IaaS ซึ่งก็คือ ไม่ กรณีของคุณ

มันต้องการคนที่มองในมุมมองที่กว้างขึ้นและไม่ทำตามคำแนะนำอย่างสุ่มสี่สุ่มห้าโดยไม่เข้าใจความหมาย

ฉันบอกว่าแม้ว่าฉันจะยอมรับผิดและท้าทาย แต่ฉันก็เห็นปัญหาดังกล่าวเพราะฉันทำงานและใช้ชีวิตในทั้งสองโลกในฐานะ Cloud Solution Architect และ Cloud Security Architect

ดังนั้น เพื่อให้เป็นไปตามข้อกำหนดด้านความปลอดภัยของคุณ คุณสามารถทำได้หนึ่งในสองตัวเลือก:

เปลี่ยนแอปพลิเคชัน PaaS ของคุณเป็น IaaS มี VM ในเครือข่ายย่อยใน VNET และทำการกำหนดค่าคุณสมบัติตามที่อธิบายไว้ข้างต้น
โปรโมตแผนการโฮสต์เพื่อแยกและรวมแอพของคุณ บริการด้วย VNET และให้ VNET เข้าถึงทรัพยากรอื่นๆ ของ AKV

ดังที่แสดงไว้ในนี้ ลิงค์

นี่คือคำแนะนำสำหรับการรักษาความปลอดภัยที่ทีมรักษาความปลอดภัยของคุณแนะนำ แต่มันมีราคาสูงกว่าโซลูชันของคุณมาก

คำแนะนำ: เมื่อใช้บริการแอพในระดับราคาแยก หรือที่เรียกว่า App Service Environment (ASE) คุณสามารถปรับใช้โดยตรงในซับเน็ตภายใน Azure Virtual Network ของคุณ ใช้กลุ่มความปลอดภัยเครือข่ายเพื่อรักษาความปลอดภัย Azure App Service Environment ของคุณโดยการบล็อกทราฟฟิกขาเข้าและขาออกไปยังทรัพยากรในเครือข่ายเสมือนของคุณ หรือเพื่อจำกัดการเข้าถึงแอปใน App Service Environment ตามค่าเริ่มต้น กลุ่มความปลอดภัยเครือข่ายจะรวมกฎการปฏิเสธโดยปริยายที่ลำดับความสำคัญต่ำสุด และกำหนดให้คุณเพิ่มกฎการอนุญาตที่ชัดเจน เพิ่มกฎการอนุญาตสำหรับกลุ่มความปลอดภัยเครือข่ายของคุณตามแนวทางเครือข่ายที่มีสิทธิพิเศษน้อยที่สุด เครื่องเสมือนพื้นฐานที่ใช้ในการโฮสต์ App Service Environment ไม่สามารถเข้าถึงได้โดยตรงเนื่องจากอยู่ในการสมัครใช้งานที่จัดการโดย Microsoft ปกป้องสภาพแวดล้อม App Service โดยกำหนดเส้นทางทราฟฟิกผ่าน Web Application Firewall (WAF) ที่เปิดใช้งาน Azure Application Gateway ใช้ตำแหน่งข้อมูลบริการร่วมกับ Application Gateway เพื่อรักษาความปลอดภัยการรับส่งข้อมูลการเผยแพร่ขาเข้าไปยังแอปของคุณ

0 + 0

kudlatiger

15/7/23 05:55

คุณตอกมัน +1

ตอบกลับ

Score:1

Server

Ken W MSFT

27/6/23 00:23

การเพิ่ม Key Vault ให้กับ VNET ทำให้คุณสามารถใช้กฎ NSG ได้ ซึ่งจะช่วยให้คุณสามารถบล็อกการเข้าถึงอินเทอร์เน็ตได้อย่างมีประสิทธิภาพ ดังที่เราทราบกันดีว่าความปลอดภัยในโลกไซเบอร์ใช้วิธีการแบบหลายชั้นและนี่คืออีกชั้นหนึ่ง ตามค่าเริ่มต้น Key Vault จะมีนโยบายการเข้าถึงแต่ไม่ได้เปิดใช้ และบล็อกการเข้าถึงในระดับข้อมูลประจำตัวเท่านั้น ฉันไม่รู้ว่าการรักษาความปลอดภัยของคุณต้องการอะไร แต่ฉันจัดการกับลูกค้าในอุตสาหกรรมที่มีการควบคุม และการบล็อกการเข้าถึงในระดับเครือข่ายเป็นเรื่องปกติมาก

มีสองวิธีในการแทรกบริการ PaaS ลงใน Vnet ใน Azure

จุดสิ้นสุดของบริการ

ตำแหน่งข้อมูลบริการ Virtual Network (VNet) ให้การเชื่อมต่อที่ปลอดภัยและตรงไปยังบริการ Azure ผ่านเส้นทางที่ปรับให้เหมาะสมผ่านเครือข่ายหลัก Azure อุปกรณ์ปลายทางช่วยให้คุณรักษาความปลอดภัยของทรัพยากรบริการ Azure ที่สำคัญให้กับเครือข่ายเสมือนของคุณเท่านั้น จุดสิ้นสุดบริการช่วยให้ที่อยู่ IP ส่วนตัวใน VNet ไปถึงจุดสิ้นสุดของบริการ Azure โดยไม่จำเป็นต้องมีที่อยู่ IP สาธารณะบน VNet

ลิงค์ส่วนตัว

Azure Private Link ช่วยให้คุณเข้าถึง Azure PaaS Services (เช่น Azure Storage และ SQL Database) และบริการที่ลูกค้าเป็นเจ้าของ/คู่ค้าที่โฮสต์บน Azure ผ่านตำแหน่งข้อมูลส่วนตัวในเครือข่ายเสมือนของคุณ

การรับส่งข้อมูลระหว่างเครือข่ายเสมือนของคุณและบริการจะเดินทางผ่านเครือข่ายแกนหลักของ Microsoft การเปิดเผยบริการของคุณต่ออินเทอร์เน็ตสาธารณะนั้นไม่จำเป็นอีกต่อไป คุณสามารถสร้างบริการลิงค์ส่วนตัวของคุณเองในเครือข่ายเสมือนและส่งมอบให้กับลูกค้าของคุณ การตั้งค่าและการใช้งานโดยใช้ Azure Private Link นั้นสอดคล้องกันใน Azure PaaS บริการที่ลูกค้าเป็นเจ้าของ และบริการของพาร์ทเนอร์ที่ใช้ร่วมกัน

0 + 0

kudlatiger

27/6/23 01:54

ฉันเห็นด้วยกับเรื่องความปลอดภัย ฉันเข้าใจถึงประโยชน์ของ VNET คำถามของฉันคือบริการเหล่านี้เชื่อมต่อกันอย่างไร โดยพื้นฐานแล้วแผนภาพเครือข่ายจะช่วยได้

ตอบกลับ

Greg W

27/6/23 04:27

ในตัวอย่างของคุณ คุณสามารถแนบ App Service เข้ากับ VNET นอกจากนี้ ให้เชื่อมต่อ Key Vault กับ VNET ผ่าน Private Link จากนั้น App Service จะเชื่อมต่อกับ Key Vault ผ่าน VNET

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Why VNET required for PaaS services?

TH: เหตุใดจึงต้องใช้ VNET สำหรับบริการ PaaS

RO: De ce este necesar VNET pentru serviciile PaaS?

RU: Почему для услуг PaaS требуется виртуальная сеть?

VI: Tại sao cần có VNET cho các dịch vụ PaaS?

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา