Score:1

เหตุใดจึงต้องใช้ VNET สำหรับบริการ PaaS

ธง br

ฉันมีการตั้งค่าด้านล่างใน อาซัวร์ คลาวด์ที่ซึ่งเว็บแอปได้รับความลับจาก ที่เก็บกุญแจ ดังที่แสดงด้านล่าง มีการเปิดใช้งานนโยบายข้อมูลประจำตัวและการเข้าถึงที่มีการจัดการ

ป้อนคำอธิบายรูปภาพที่นี่

อย่างไรก็ตาม ทีมรักษาความปลอดภัยของเราแนะนำให้เรา จำกัดการเข้าถึงเครือข่าย Azure Key Vault โดยใช้ไฟร์วอลล์และ Vnets.

ฉันสามารถสร้าง VNET และจำกัดการเข้าถึงได้ อย่างไรก็ตาม VNET นี้จะทำอะไรกันแน่เพราะเป็นสถานเลี้ยงเด็กกำพร้า (ดังรูปด้านล่าง). ฉันพลาดอะไรไปรึเปล่า?

ป้อนคำอธิบายรูปภาพที่นี่

Score:2
ธง gb

ฉันมีคำถามเดียวกันและแบ่งปันข้อกังวลเดียวกัน คำตอบสั้นๆ สำหรับคำถามของคุณ âVNET นี้จะทำอะไรกันแน่เพราะเป็นสถานเลี้ยงเด็กกำพร้าâ ไม่มีอะไร

คำตอบโดยละเอียดโดย @Ken W MSFT มีรายละเอียด มีคุณค่า และสมบูรณ์แบบ และคุณรู้อยู่แล้วว่า

ทีมรักษาความปลอดภัยของคุณขับเคลื่อนด้วยข้อเท็จจริงที่ว่านโยบายในตัวของ Microsoft และพื้นฐานความปลอดภัยสำหรับชุดเก็บคีย์ Azure และเกณฑ์มาตรฐานความปลอดภัย Azure ล้วนแนะนำว่าคุณไม่เคยเข้าถึง AKV จากอินเทอร์เน็ตสาธารณะ ดังนั้นจึงเข้าถึงได้โดยใช้ลิงก์ส่วนตัวหรือจุดสิ้นสุดบริการเท่านั้นตามที่อธิบายไว้ใน รายละเอียดข้างต้น แต่ทั้งหมดถือว่าคุณมี VNET และ VM IaaS ซึ่งก็คือ ไม่ กรณีของคุณ

มันต้องการคนที่มองในมุมมองที่กว้างขึ้นและไม่ทำตามคำแนะนำอย่างสุ่มสี่สุ่มห้าโดยไม่เข้าใจความหมาย

ฉันบอกว่าแม้ว่าฉันจะยอมรับผิดและท้าทาย แต่ฉันก็เห็นปัญหาดังกล่าวเพราะฉันทำงานและใช้ชีวิตในทั้งสองโลกในฐานะ Cloud Solution Architect และ Cloud Security Architect

ดังนั้น เพื่อให้เป็นไปตามข้อกำหนดด้านความปลอดภัยของคุณ คุณสามารถทำได้หนึ่งในสองตัวเลือก:

  1. เปลี่ยนแอปพลิเคชัน PaaS ของคุณเป็น IaaS มี VM ในเครือข่ายย่อยใน VNET และทำการกำหนดค่าคุณสมบัติตามที่อธิบายไว้ข้างต้น

  2. โปรโมตแผนการโฮสต์เพื่อแยกและรวมแอพของคุณ บริการด้วย VNET และให้ VNET เข้าถึงทรัพยากรอื่นๆ ของ AKV

ดังที่แสดงไว้ในนี้ ลิงค์

นี่คือคำแนะนำสำหรับการรักษาความปลอดภัยที่ทีมรักษาความปลอดภัยของคุณแนะนำ แต่มันมีราคาสูงกว่าโซลูชันของคุณมาก

คำแนะนำ: เมื่อใช้บริการแอพในระดับราคาแยก หรือที่เรียกว่า App Service Environment (ASE) คุณสามารถปรับใช้โดยตรงในซับเน็ตภายใน Azure Virtual Network ของคุณ ใช้กลุ่มความปลอดภัยเครือข่ายเพื่อรักษาความปลอดภัย Azure App Service Environment ของคุณโดยการบล็อกทราฟฟิกขาเข้าและขาออกไปยังทรัพยากรในเครือข่ายเสมือนของคุณ หรือเพื่อจำกัดการเข้าถึงแอปใน App Service Environment ตามค่าเริ่มต้น กลุ่มความปลอดภัยเครือข่ายจะรวมกฎการปฏิเสธโดยปริยายที่ลำดับความสำคัญต่ำสุด และกำหนดให้คุณเพิ่มกฎการอนุญาตที่ชัดเจน เพิ่มกฎการอนุญาตสำหรับกลุ่มความปลอดภัยเครือข่ายของคุณตามแนวทางเครือข่ายที่มีสิทธิพิเศษน้อยที่สุด เครื่องเสมือนพื้นฐานที่ใช้ในการโฮสต์ App Service Environment ไม่สามารถเข้าถึงได้โดยตรงเนื่องจากอยู่ในการสมัครใช้งานที่จัดการโดย Microsoft ปกป้องสภาพแวดล้อม App Service โดยกำหนดเส้นทางทราฟฟิกผ่าน Web Application Firewall (WAF) ที่เปิดใช้งาน Azure Application Gateway ใช้ตำแหน่งข้อมูลบริการร่วมกับ Application Gateway เพื่อรักษาความปลอดภัยการรับส่งข้อมูลการเผยแพร่ขาเข้าไปยังแอปของคุณ

ป้อนคำอธิบายรูปภาพที่นี่

kudlatiger avatar
br flag
คุณตอกมัน +1
Score:1
ธง gb

การเพิ่ม Key Vault ให้กับ VNET ทำให้คุณสามารถใช้กฎ NSG ได้ ซึ่งจะช่วยให้คุณสามารถบล็อกการเข้าถึงอินเทอร์เน็ตได้อย่างมีประสิทธิภาพ ดังที่เราทราบกันดีว่าความปลอดภัยในโลกไซเบอร์ใช้วิธีการแบบหลายชั้นและนี่คืออีกชั้นหนึ่ง ตามค่าเริ่มต้น Key Vault จะมีนโยบายการเข้าถึงแต่ไม่ได้เปิดใช้ และบล็อกการเข้าถึงในระดับข้อมูลประจำตัวเท่านั้น ฉันไม่รู้ว่าการรักษาความปลอดภัยของคุณต้องการอะไร แต่ฉันจัดการกับลูกค้าในอุตสาหกรรมที่มีการควบคุม และการบล็อกการเข้าถึงในระดับเครือข่ายเป็นเรื่องปกติมาก

มีสองวิธีในการแทรกบริการ PaaS ลงใน Vnet ใน Azure

จุดสิ้นสุดของบริการ

ตำแหน่งข้อมูลบริการ Virtual Network (VNet) ให้การเชื่อมต่อที่ปลอดภัยและตรงไปยังบริการ Azure ผ่านเส้นทางที่ปรับให้เหมาะสมผ่านเครือข่ายหลัก Azure อุปกรณ์ปลายทางช่วยให้คุณรักษาความปลอดภัยของทรัพยากรบริการ Azure ที่สำคัญให้กับเครือข่ายเสมือนของคุณเท่านั้น จุดสิ้นสุดบริการช่วยให้ที่อยู่ IP ส่วนตัวใน VNet ไปถึงจุดสิ้นสุดของบริการ Azure โดยไม่จำเป็นต้องมีที่อยู่ IP สาธารณะบน VNet

แผนผังจุดสิ้นสุดของบริการ

ลิงค์ส่วนตัว

Azure Private Link ช่วยให้คุณเข้าถึง Azure PaaS Services (เช่น Azure Storage และ SQL Database) และบริการที่ลูกค้าเป็นเจ้าของ/คู่ค้าที่โฮสต์บน Azure ผ่านตำแหน่งข้อมูลส่วนตัวในเครือข่ายเสมือนของคุณ

การรับส่งข้อมูลระหว่างเครือข่ายเสมือนของคุณและบริการจะเดินทางผ่านเครือข่ายแกนหลักของ Microsoft การเปิดเผยบริการของคุณต่ออินเทอร์เน็ตสาธารณะนั้นไม่จำเป็นอีกต่อไป คุณสามารถสร้างบริการลิงค์ส่วนตัวของคุณเองในเครือข่ายเสมือนและส่งมอบให้กับลูกค้าของคุณ การตั้งค่าและการใช้งานโดยใช้ Azure Private Link นั้นสอดคล้องกันใน Azure PaaS บริการที่ลูกค้าเป็นเจ้าของ และบริการของพาร์ทเนอร์ที่ใช้ร่วมกัน

kudlatiger avatar
br flag
ฉันเห็นด้วยกับเรื่องความปลอดภัย ฉันเข้าใจถึงประโยชน์ของ VNET คำถามของฉันคือบริการเหล่านี้เชื่อมต่อกันอย่างไร โดยพื้นฐานแล้วแผนภาพเครือข่ายจะช่วยได้
br flag
ในตัวอย่างของคุณ คุณสามารถแนบ App Service เข้ากับ VNET นอกจากนี้ ให้เชื่อมต่อ Key Vault กับ VNET ผ่าน Private Link จากนั้น App Service จะเชื่อมต่อกับ Key Vault ผ่าน VNET

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา