问题标签 [azure-security]

我遵循了所有提到的步骤，但无法使用 AD 主体的“Active Directory 密码身份验证”，它是我 SampleDB 中包含的用户。我收到此错误：

无法连接到 sql01.database.windows.net。

附加信息：

无法在 Active Directory 中验证用户 user@customDomain.com (Authentication=ActiveDirectoryPassword)。

错误代码0xCAA20003；状态 10

ID3242：无法对安全令牌进行身份验证或授权。（Microsoft SQL Server，错误：0）

我们使用 Ping Federate 作为我们的联合提供商。

令我惊讶的是，“Active Directory 集成身份验证”适用于同一用户。我们是否需要在本地环境中打开一些防火墙或端口才能使其正常工作？

由于 Azure SQL 只有 DNS 地址，没有 IP，我们不能在我们的 Azure 应用程序 VM 上强制执行 ACL/NSG，因为它需要与我们的 Azure SQL 通信。ACL/NSG 只有 IP 范围限制。没有 DNS 限制。

因此，一个设法潜入我们的 Azure App VM 的黑客可能会将其窃取的数据推送到他想要的任何 IP，只要他在端口 1433 中出去。

无论如何，我们可以将来自 Azure VM 的出站通信限制为仅到我们的 Azure SQL 吗？

Azure 不为网站提供出站 IP 地址，因此无法通过专门为 Azure 生态系统中的特定网站保留的 IP 地址来限制对网站的访问。

是否有另一种方法可以使网站/Web 应用程序仅对其资源组内的资源可用，从而使其不公开可用？

对于同一个应用服务，我们有多个插槽。我们希望通过不允许用户从 Visual Studio 将代码发布到登台和生产槽来限制用户。我允许读者访问 staging 和 prod 插槽，但用户仍然能够发布代码。我们可能需要做任何其他设置/配置。

我正在寻找一些 Azure 安全最佳实践建议。我已经看过一些关于如何做到这一点的文章，但如果有必要，则不是。

我有一个客户想迁移到 Azure，他们特别要求我们尽可能坚持使用 PAAS 解决方案。我们将部署的应用程序相当简单，因此一些 Web 应用程序服务将满足要求。

问题是他们一直是相当规避风险和安全意识的，所以我想知道最佳实践是否会说我们需要一个虚拟网络中的每个站点都在一个带有 WAF 的应用程序网关后面，或者我们可以让应用程序服务运行并且默认情况下 Azure 会做的足够多吗？

在他们当前的托管解决方案中，我们有 WAF 和 DDOS 保护，但这只是最近添加的，它几乎是一个勾选框练习。

我遇到了 Azure 安全中心的问题，希望有人能帮我解决。

我在一个订阅下的多个资源组中有多个 Red Hat Linux VM。当我最初运行 Azure 安全中心的功能时，有多个关于系统更新、防火墙设置等的建议，我被告知要在我的系统上应用这些建议，我继续这样做了。我对虚拟机本身的扫描很干净，所有东西都安装了并且是最新的。

不幸的是，安全中心认为它们仍然过时，如果我检查上次扫描时间，有些已经超过 2 周；有没有办法强制重新扫描系统？还是我应该等到 Azure 感觉要重新扫描？

示例：一些未重新扫描的虚拟机

另外，一个相关的问题：安全中心重新扫描了我知道是最新的系统，但仍然推荐系统更新。Azure 如何扫描这些系统？有没有什么地方我可以为它建议我更新的更新指定版本？

任何帮助将不胜感激。谢谢！

我正在尝试使用 Azure 数据工厂将数据从本地数据库传输到 Azure blob 存储。我知道数据管理网关使用 HTTPS 传输数据，但我们希望以数据管理网关不使用 Internet 将数据从本地数据库传输到 azure blob 的方式配置连接。

这些方法会避免将互联网与数据管理网关一起使用吗？

我们有一个基于 API 的微服务系统，其中公共 API 网关（在 Azure 网站上运行的 .NET Nancy API）调用微服务 API（各种技术）以返回数据。

目前，微服务 API 要么是 Azure 网站，要么是 Azure Functions（HTTP 触发器），这意味着它们有一个公共端点，HTTP 向公众公开。（例如https://my-microservice.azurewebsites.net）

有什么办法可以锁定它，以便只有 API 网关可以调用它？

我读过关于DIPR的信息，但这似乎是基于公共 IPv4 地址（我认为我们无法为 API 网关获取静态 IP？）。

目前，我们通过承载令牌（使用 IdSrv 身份验证服务器）使微服务 API 需要身份验证，但理想情况下，我希望在网络级别保护 API，然后删除令牌/IdSrv 依赖项。我们可以利用 VNET 吗？

其他人如何解决这个问题？例如，我们如何锁定 Azure 网站，使其无法公开访问？

TIA。

对于项目的一部分，我需要能够在网页上显示给定资源组的安全中心建议。需要明确的是，我希望访问RecommendationsAzure 安全中心刀片上的数据并按资源组过滤该信息，仅显示与这些资源相关的建议。

我一直在寻找两种方法来实现这一点：

1. 安全资源 API似乎是一个很好的起点，但是我找不到任何 API 端点可以让我访问这些建议。我找到了GET 安全警报和安全任务的方法，但它们都是被动的（即发生了一些你应该知道的事情），而我正在寻找预防性的方法（即可能发生的事情，采取这些步骤来降低风险发生）。
2. PowerBI 仪表板也几乎可以满足我的需求。我可以预览推荐的数量，默认仪表板上的一个页面甚至可以按资源组细分这些数字，但我仍然找不到以我想要的方式使用这些信息的方法。

一个理想的解决方案将允许我使用以下参数检索和显示范围为受监视资源组的所有资源建议：

• 资源名称
• 描述
• 状态
• 严重性

有什么方法可以从 Azure 外部访问这些信息？是否有可能我忽略了 API 或 PowerBI 文档中允许我执行此操作的内容？我是 PowerBI 的新手，恐怕我误解了一个可能就在我面前的基本概念。

感谢您的时间！

在我的解密网络作业中，我使用的是 .pfx 证书。但为了更安全的目的，我必须将此证书上传到 Azure 存储并通过 c# 访问它。

任何人都可以提供更多信息（链接）吗？