Регистрация Войти
Рейтинг:1
kudlatiger avatar Server

Почему для услуг PaaS требуется виртуальная сеть?

флаг br
kudlatiger

У меня есть настройка ниже в Лазурный облако, откуда веб-приложение получает секреты Хранилище ключей как показано ниже. Политики управляемой идентификации и доступа включены

введите описание изображения здесь

Тем не менее, наша служба безопасности рекомендует нас Ограничение сетевого доступа к Azure Key Vault с помощью брандмауэров и виртуальных сетей.

Я могу создать виртуальную сеть и ограничить доступ. Однако что именно собирается делать эта виртуальная сеть, ведь это приют. (как показано ниже). Я что-то пропустил?

введите описание изображения здесь

81
0 + 0
Рейтинг:2
Assil avatar Server
флаг gb
Assil

У меня тоже был тот же вопрос, и я разделял ту же озабоченность. Краткий ответ на ваш вопрос ✓что именно собирается делать эта виртуальная сеть, поскольку это приют.❤ НИЧЕГО

Подробный ответ @Ken W MSFT подробный, ценный и совершенный. И вы это уже знали.

Ваша группа безопасности руководствуется тем фактом, что встроенные политики Майкрософт, а также базовые показатели безопасности для хранилища ключей Azure и тест безопасности Azure рекомендуют никогда не получать доступ к AKV из общедоступного Интернета и, следовательно, получать доступ к нему ТОЛЬКО по частной ссылке или конечной точке службы, как описано в подробности выше, но все это предполагает, что у вас есть виртуальная сеть и виртуальная машина IaaS, которая НЕТ ваш случай.

Это требует того, кто смотрит шире и не следует слепо рекомендациям, не понимая, что они означают.

Я говорю, что хотя я готов ошибаться и бросать вызов, но я видел такие дилеммы, потому что я работал и жил в обоих мирах как архитектор облачных решений и архитектор облачной безопасности.

Итак, чтобы удовлетворить ваши требования безопасности, вы можете сделать один из двух вариантов:

  1. Измените свое приложение PaaS на IaaS, создайте виртуальную машину в подсети в VNET и настройте свойства, как описано выше.

  2. Продвигайте план хостинга до изолированного и интегрируйте свое приложение Обслуживайте с помощью VNET и получайте доступ к другим ресурсам AKV через виртуальную сеть.

как показано в этом соединять

Вот Руководство по безопасности, которое рекомендует ваша команда безопасности. но это намного дороже, чем ваше решение.

Рекомендации. При использовании службы приложений в изолированной ценовой категории, также называемой средой службы приложений (ASE), вы можете развернуть ее непосредственно в подсети в виртуальной сети Azure. Используйте группы безопасности сети для защиты среды службы приложений Azure, блокируя входящий и исходящий трафик к ресурсам в виртуальной сети или ограничивая доступ к приложениям в среде службы приложений. По умолчанию группы безопасности сети включают неявное запрещающее правило с самым низким приоритетом и требуют добавления явных разрешающих правил. Добавьте разрешающие правила для вашей группы безопасности сети на основе наименее привилегированного сетевого подхода. Базовые виртуальные машины, которые используются для размещения среды службы приложений, недоступны напрямую, поскольку они находятся в подписке, управляемой Майкрософт. Защитите среду службы приложений, направив трафик через шлюз приложений Azure с включенным брандмауэром веб-приложений (WAF). Используйте конечные точки службы в сочетании со Шлюзом приложений для защиты входящего трафика публикации к вашему приложению.

введите описание изображения здесь

0 + 0
kudlatiger avatar
флаг br
kudlatiger
ты сделал это. +1
1
Ответить
Рейтинг:1
Ken W MSFT avatar Server
флаг gb
Ken W MSFT

Добавляя Key Vault в виртуальную сеть, вы можете применить правило NSG. Это позволит вам эффективно блокировать доступ в Интернет. Как мы знаем, кибербезопасность использует многоуровневый подход, а это еще один уровень. По умолчанию в Key Vault есть политики доступа, но они не включены и блокируют доступ только на уровне идентификации. Я не знаю, чего требует ваша безопасность, но я работаю с клиентами в регулируемых отраслях, и блокировка доступа на сетевом уровне очень распространена.

Существует два способа внедрить службы PaaS в виртуальную сеть в Azure.

Конечные точки службы

Конечная точка службы виртуальной сети (VNet) обеспечивает безопасное и прямое подключение к службам Azure по оптимизированному маршруту через магистральную сеть Azure. Конечные точки позволяют защитить критически важные ресурсы службы Azure только для ваших виртуальных сетей. Конечные точки службы позволяют частным IP-адресам в виртуальной сети достигать конечной точки службы Azure без использования общедоступного IP-адреса в виртуальной сети.

Диаграмма конечной точки службы

Частная ссылка

Azure Private Link позволяет вам получать доступ к службам PaaS Azure (например, к хранилищу Azure и базе данных SQL) и службам, принадлежащим клиентам или партнерам, размещенным в Azure, через частную конечную точку в вашей виртуальной сети.

Трафик между вашей виртуальной сетью и службой проходит по магистральной сети Microsoft. Разоблачение вашего сервиса в общедоступном Интернете больше не требуется. Вы можете создать собственную частную службу ссылок в своей виртуальной сети и предоставить ее своим клиентам. Настройка и использование с помощью Azure Private Link одинаковы для Azure PaaS, клиентских и общих партнерских служб.

0 + 0
kudlatiger avatar
флаг br
kudlatiger
Насчет безопасности согласен. Я понимаю преимущества VNET. Мой вопрос был о том, как эти услуги взаимосвязаны. в основном, сетевая диаграмма могла бы помочь.
0
Ответить
флаг br
Greg W
В вашем примере вы можете подключить службу приложений к виртуальной сети. Кроме того, подключите Key Vault к виртуальной сети через частную ссылку, после чего служба приложений подключится к Key Vault через виртуальную сеть.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.