В группе безопасности сети Azure рекомендуется ли запрещать весь трафик перед правилами «AllowVnetInbound» и «AllowAzureLoadBalancerInbound»?

Mike Sherrill 'Cat Recall'

17.10.2022, 14:09

Этот набор правил для входящих подключений группы сетевой безопасности Azure был взят из блога с рекомендациями.

Я понимаю, что это означает, что нет Любые путь для Любые сетевой трафик для прохождения правила «DropAll» и достижения правила «AllowVNetInbound». Я правильно понимаю?

Я могу представить себе несколько случаев, когда вам может понадобиться запретить весь входящий трафик из виртуальной сети, но я не могу представить, почему это считается передовой практикой. (Я понимаю лучшая практика значить всегда делайте это, если нет серьезной веской причины не делать этого..) Что мне здесь не хватает?

966

1 + 0

группа сетевой безопасности

Рейтинг:3

Server

Sam Cogan

17.10.2022, 16:03

Единственная реальная причина сделать это - если вы хотите убедиться, что вы полностью контролируете правила, регулирующие поток трафика, и не используете по умолчанию встроенные правила. В показанном вами сценарии трафик внутри виртуальной сети запрещен, так как правило «AllowVnetInboundTraffic» заблокировано. Затем вам нужно будет явно определить любые правила, которые вы хотите разрешить для трафика между компьютерами в одной (или одноранговой) виртуальной сети, если вы применяете это правило к подсети.

0 + 0

Admin

Этот вопрос на других языках:

EN: In an Azure network security group, is denying all traffic before the "AllowVnetInbound" and "AllowAzureLoadBalancerInbound" rules good practice?

TH: ในกลุ่มความปลอดภัยเครือข่าย Azure ปฏิเสธการรับส่งข้อมูลทั้งหมดก่อนกฎ "AllowVnetInbound" และ "AllowAzureLoadBalancerInbound" หรือไม่

RO: Într-un grup de securitate de rețea Azure, refuzul întregului trafic înainte de regulile „AllowVnetInbound” și „AllowAzureLoadBalancerInbound” este o bună practică?

RU: В группе безопасности сети Azure рекомендуется ли запрещать весь трафик перед правилами «AllowVnetInbound» и «AllowAzureLoadBalancerInbound»?

VI: Trong nhóm bảo mật mạng Azure, việc từ chối tất cả lưu lượng truy cập trước các quy tắc "AllowVnetInbound" và "AllowAzureLoadBalancerInbound" có phải là phương pháp hay không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.