înregistrare Logare
Puncte:1
kudlatiger avatar Server

De ce este necesar VNET pentru serviciile PaaS?

drapel br
kudlatiger

Am mai jos configurarea în Azur cloud de unde aplicația web obține secrete Seif de chei așa cum se arată mai jos. Politicile de identitate și acces gestionate sunt activate

introduceți descrierea imaginii aici

Cu toate acestea, echipa noastră de securitate ne recomandă Restricționați accesul la rețea la Azure Key Vault utilizând firewall-uri și rețele virtuale.

Pot crea VNET și pot restricționa accesul. Cu toate acestea, ce anume va face acest VNET deoarece este un orfelinat. (așa cum se arată mai jos). Am pierdut ceva?

introduceți descrierea imaginii aici

81
0 + 0
Puncte:2
Assil avatar Server
drapel gb
Assil

Și eu am avut aceeași întrebare și am împărtășit aceeași îngrijorare. Răspunsul scurt la întrebarea dvs. âce anume va face acest VNET deoarece este un orfelinat.â Nu este nimic

Răspunsul detaliat al @Ken W MSFT este detaliat, valoros și perfect. Și asta știai deja.

Echipa dvs. de securitate este condusă de faptul că politicile încorporate Microsoft și liniile de bază de securitate pentru seiful de chei Azure și benchmark-ul Azure Security recomandă să nu ajungeți niciodată la AKV de pe internetul public și, prin urmare, să ajungeți la el NUMAI printr-o legătură privată sau un punct final al serviciului, așa cum este explicat în detaliile de mai sus, dar toate presupune că aveți un VNET și VM IaaS, care este NU cazul tau.

Este nevoie de cineva care să privească o viziune mai largă și să nu urmeze recomandările orbește, fără să înțeleagă ce înseamnă ele.

Spun că, deși sunt deschis să greșesc și să greșesc, dar am văzut astfel de dileme pentru că am lucrat și am trăit în ambele lumi ca arhitect de soluții cloud și arhitect de securitate în cloud.

Deci, pentru a vă îndeplini cerințele de securitate, puteți face una dintre cele două opțiuni:

  1. Schimbați-vă aplicația PaaS în IaaS, aveți o VM într-o subrețea într-o VNET și faceți configurațiile proprietăților așa cum s-a explicat mai sus.

  2. Promovați planul de găzduire la izolat și integrați-vă aplicația Serviți cu VNET și aveți acces la VNET la alte resurse AKV

așa cum se arată în aceasta legătură

Iată ghidul pentru securitate pe care le recomandă echipa de securitate. dar este mult mai costisitoare decât soluția ta.

Îndrumări: Când utilizați App Service în nivelul de preț izolat, numit și App Service Environment (ASE), puteți implementa direct într-o subrețea din rețeaua virtuală Azure. Utilizați grupuri de securitate de rețea pentru a vă securiza mediul Azure App Service, blocând traficul de intrare și de ieșire către resursele din rețeaua virtuală sau pentru a restricționa accesul la aplicații dintr-un mediu de serviciu App. În mod implicit, grupurile de securitate de rețea includ o regulă de refuzare implicită la cea mai mică prioritate și vă solicită să adăugați reguli de autorizare explicite. Adăugați reguli de autorizare pentru grupul dvs. de securitate a rețelei pe baza unei abordări de rețea cu cel mai puțin privilegiat. Mașinile virtuale subiacente care sunt utilizate pentru a găzdui App Service Environment nu sunt direct accesibile deoarece sunt într-un abonament gestionat de Microsoft. Protejați un mediu de serviciu de aplicații prin direcționarea traficului printr-un firewall pentru aplicații web (WAF) activat Azure Application Gateway. Utilizați punctele finale de serviciu împreună cu Application Gateway pentru a securiza traficul de publicare de intrare către aplicația dvs.

introduceți descrierea imaginii aici

0 + 0
kudlatiger avatar
drapel br
kudlatiger
ai nimerit-o. +1
1
Răspunde
Puncte:1
Ken W MSFT avatar Server
drapel gb
Ken W MSFT

Adăugând Key Vault la un VNET, puteți aplica o regulă NSG. Acest lucru vă va permite să blocați în mod eficient accesul la Internet. După cum știm, securitatea cibernetică are o abordare stratificată și acesta este un alt nivel. În mod implicit, Key Vault are Politici de acces, dar acestea nu sunt activate și blochează accesul doar la nivel de identitate. Nu știu ce necesită securitatea dvs., dar am de-a face cu clienți din industrii reglementate și blocarea accesului la nivel de rețea este foarte frecventă.

Există două moduri de a injecta servicii PaaS într-o rețea virtuală în Azure.

Puncte finale de serviciu

Punctul final al serviciului de rețea virtuală (VNet) oferă conectivitate sigură și directă la serviciile Azure printr-o rută optimizată prin rețeaua principală Azure. Punctele finale vă permit să vă securizați resursele critice ale serviciului Azure numai pentru rețelele dvs. virtuale. Service Endpoints permite adreselor IP private din rețeaua virtuală să ajungă la punctul final al unui serviciu Azure fără a avea nevoie de o adresă IP publică pe rețea virtuală.

Diagrama punctului final al serviciului

Link privat

Azure Private Link vă permite să accesați serviciile Azure PaaS (de exemplu, Azure Storage și SQL Database) și serviciile Azure găzduite de clienți/parteneri printr-un punct final privat din rețeaua dvs. virtuală.

Traficul dintre rețeaua virtuală și serviciu circulă prin rețeaua Microsoft. Expunerea serviciului dvs. la internetul public nu mai este necesară. Vă puteți crea propriul serviciu de link privat în rețeaua virtuală și îl puteți livra clienților dvs. Configurarea și consumul folosind Azure Private Link sunt consecvente în toate serviciile Azure PaaS, deținute de clienți și partenerilor partajați.

0 + 0
kudlatiger avatar
drapel br
kudlatiger
Sunt de acord cu privire la securitate. Înțeleg beneficiile VNET. Întrebarea mea a fost despre modul în care aceste servicii sunt interconectate. practic, o diagramă de rețea ar ajuta.
0
Răspunde
drapel br
Greg W
În exemplul dvs., puteți atașa un serviciu de aplicație la VNET. De asemenea, conectați Key Vault la VNET prin Private Link, apoi App Service se va conecta la Key Vault prin VNET.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.