0

我有一些 azure 资源,如 AKS、redis、cosmos、APIM 等。为了保护资源免受 DDOS 等攻击,我们将它们全部放在私有 vnet 中,并使其只能通过 APIM 访问。这是正确的方法吗?在这种情况下,我们只需要担心 APIM 的安全性。然而,与 vnet 相关的成本很高,我们正在评估其他选项。我看到的一件事是保护整个 RG 的 DDOS 保护计划。所以另一种方法是移除 VNET 并使用 DDOS 保护计划保护 RG。但是,即使有 DDOS 保护计划,还有其他可能的攻击吗?解决它们的最佳方法是什么?任何线索都会非常有帮助

4

1 回答 1

0

您可以将服务端点用于 cosmos,并仅限制来自 vnet 的访问。对于 aks,您可以使用 k8s 的 loadbalanceripranges 构造将来自 api 网关的 ip 列入白名单。

于 2019-09-28T15:47:29.573 回答