Безопасная инфраструктура Azure

Question

Я работаю в небольшом запуске, который размещается только в Azure, и мне было интересно, как лучше всего обеспечить все.

Я использую следующие услуги

• Web Apps (общественные облицовочные)
• Виртуальные машины - Запуск приложений и сервисов
• Sql Sever
• Service Bus
• счета хранения.

Веб-приложения и Vms должны взаимодействовать с тремя другими службами.

Ниже приведено то, что мы сейчас делаем. Правильно ли это, и если нет, вы можете предоставить какие-либо ресурсы для работы?

1. Сервис-шина - в настоящий момент доступ осуществляется с использованием строки подключения и сохраняется в настройках приложения веб-приложения и виртуальной машины.
2. Учетная запись хранилища - в настоящее время доступ осуществляется с использованием строки подключения и сохраняется в настройках приложения веб-приложения и виртуальной машины.
3. Sql server - в настоящее время используется брандмауэр для разрешения доступа к Azure Services и ограничения его на клиентские компьютеры, которым необходимо получить доступ к БД через SSMS.
4. VM - это запрещено с помощью групп сетевой безопасности, позволяющих только клиентским компьютерам RDP on.

Я хотел бы получить любую помощь, которая может быть предоставлена.

Редактировать

То, что я беспокоюсь являются:

• Sql Server разрешает доступ к лазури. Я могу отключить это, но тогда сайт нужно будет добавить в брандмауэр, и, как я понимаю, ip-адрес не является статичным. Это проблема безопасности, чтобы оставить это?
• Счета хранения, строка подключения позволяет неограниченный доступ к учетной записи. Вы можете заблокировать это с помощью SAS для IP-адресов, но при подключении с веб-сайтом он имеет те же проблемы, что и sqlsvr. Также SAS основано на времени, как оно обновляется?

Answer 1

Sql Server позволяет получить доступ к лазурной. Я могу отключить это, но тогда сайт нужно будет добавить в брандмауэр, и, как я понимаю, ip-адрес не является статичным. Это проблема безопасности, чтобы оставить это?

По умолчанию включен «Разрешить доступ к службам Azure», позволяя этой функции разрешать любой трафик от ресурсов/служб, размещенных в Azure, для доступа к базе данных.

Счета хранения, строка подключения позволяет неограниченный доступ к учетной записи. Вы можете заблокировать это с помощью SAS для IP-адресов, но при подключении с веб-сайтом он имеет те же проблемы, что и sqlsvr. Также SAS основано на времени, как оно обновляется?

Подпись общего доступа может принимать одну из двух форм: Ad Soc и SAS с сохраненной политикой доступа. Мы могли бы повторно указать время начала, время истечения срока действия и разрешения для получения новой специальной SAS. Когда мы связываем SAS с политикой сохраненного доступа, SAS наследует ограничения - время начала, время истечения срока действия и разрешения - определенные для политики сохраненного доступа, мы можем изменить политику сохраненного доступа, чтобы отменить SAS или получить новый SAS на основе новой политики хранения.

Для получения дополнительной информации о подписях общего доступа (SAS), вы можете прочитать this article.

Answer 2

Что касается доступа к серверу SQL из ваших веб-приложений: Они используют до четырех исходящих IP-адресов при подключении к внешним службам. Вы можете ограничить доступ к ним сервером SQL. Прочтите this article, чтобы найти их.

Это не полностью закрывает внешний доступ к SQL-серверу, а другие веб-приложения других пользователей используют те же четыре исходящих IP-адреса.