在 Azure 中定义网络安全组的最佳实践是什么?
所有 NIC 都需要应用 NSG,但为每个 NIC 创建一个 NSG 是最佳实践吗?
最佳实践是为环境创建一个(DEV、PROD、Staging)?
问问题
400 次
2 回答
1
Microsoft 与 Internet 安全中心合作开发CIS Microsoft Azure Foundations Benchmark. 本文档包括有关网络安全最佳实践的部分。这是一份非常值得阅读的文档,其中包含保护 Azure 环境的各个步骤。这是 Azure 推荐文档。
文档中详述的每个步骤都是 Azure 安全中心和 Azure Monitor 的一部分。
该文件受版权保护,因此我只能包含指向 CIS 网站的链接:
于 2019-12-30T15:03:38.853 回答
1
老实说,您的网络或组织的布局方式会有所不同。我绝对不会推荐每个 NIC 一个 NSG。NSG 是为可重用而构建的,因此如果您有一组需要相同配置的 VM,最好将它们全部附加到同一个 NSG。
至于每个环境一个 NSG,我建议不要这样做,并且它假设规则对于您的所有设备和服务都是相同的。(我知道子网也可以是其中的一部分,但组织设置和/或管理所有这些的兴趣如何)。
如果它有助于将 NSG 视为您在入站/出站端口上的防火墙策略(只需允许/拒绝)。您会为每台机器或 PaaS 产品分配相同的限制吗?可能不是。在每个环境中是否都一样,可能但不太可能。
至于部署和管理,我强烈建议利用Azure 资源管理器 (ARM)模板并将其与 CI/CD 管道相关联,并可能将其设置为夜间部署。如果用户手动配置 nsgs,这将防止网络上的配置漂移。
于 2019-12-30T15:50:12.647 回答