Я работаю в небольшом запуске, который размещается только в Azure, и мне было интересно, как лучше всего обеспечить все.Безопасная инфраструктура Azure
Я использую следующие услуги
- Web Apps (общественные облицовочные)
- Виртуальные машины - Запуск приложений и сервисов
- Sql Sever
- Service Bus
- счета хранения.
Веб-приложения и Vms должны взаимодействовать с тремя другими службами.
Ниже приведено то, что мы сейчас делаем. Правильно ли это, и если нет, вы можете предоставить какие-либо ресурсы для работы?
- Сервис-шина - в настоящий момент доступ осуществляется с использованием строки подключения и сохраняется в настройках приложения веб-приложения и виртуальной машины.
- Учетная запись хранилища - в настоящее время доступ осуществляется с использованием строки подключения и сохраняется в настройках приложения веб-приложения и виртуальной машины.
- Sql server - в настоящее время используется брандмауэр для разрешения доступа к Azure Services и ограничения его на клиентские компьютеры, которым необходимо получить доступ к БД через SSMS.
- VM - это запрещено с помощью групп сетевой безопасности, позволяющих только клиентским компьютерам RDP on.
Я хотел бы получить любую помощь, которая может быть предоставлена.
Редактировать
То, что я беспокоюсь являются:
- Sql Server разрешает доступ к лазури. Я могу отключить это, но тогда сайт нужно будет добавить в брандмауэр, и, как я понимаю, ip-адрес не является статичным. Это проблема безопасности, чтобы оставить это?
- Счета хранения, строка подключения позволяет неограниченный доступ к учетной записи. Вы можете заблокировать это с помощью SAS для IP-адресов, но при подключении с веб-сайтом он имеет те же проблемы, что и sqlsvr. Также SAS основано на времени, как оно обновляется?
Безопасность - это то, что вы должны определить, прежде чем пытаться обеспечить соблюдение. Но в целом это выглядит отлично. Вы можете использовать токены SAS для Storage, Service Bus для более тонкого контроля, но это зависит от вашего варианта использования. – itaysk