问题标签 [azure-security]

在我的应用程序中，我需要对 WAF 的 IPv6 支持。由于 WAF 还不支持 IPv6，我可以使用连接到 WAF 的负载均衡器，如下图（因为 IPv6 支持负载均衡器）？这是一个好的设计吗？

我正在尝试使用 ARM 模板为 Azure 安全中心启用自动配置。我的模板有这个作为资源：

但是，这似乎不起作用。我可以使用 powershell 来设置它，但我想在 ARM 中拥有一切。我做错了什么或者我怎样才能将自动配置设置为打开？

我有一个与 Azure 函数运行时 v1 通信的 Azure API 管理服务。目前，当我部署新版本的 Function App（使用 Azure Devops 中的 CI/CD 管道，并使用内置的 microsoft 任务）时，功能键（包括主键）会发生变化。因此，API 管理的 api 在函数请求中注入的密钥不再有效，我得到 401 - 未经授权。因此，我目前有一项任务正在处理中，以便在我部署 Function App 时随时更新这些密钥。API 管理提供了启用托管身份的功能，但是当我尝试在功能应用程序中为 API 管理创建角色分配时，在系统分配的托管身份下，我没有 API 管理服务的选项。所以我认为不可能在两个服务之间设置这个角色分配，对吧？如果没有，那么是否有任何解决方法的建议，以避免管理 API 管理服务和 Azure Functions 之间通信的密钥？

谢谢

我正在尝试清除 Azure 门户中的以下建议：

有问题的应用服务仅存在于托管函数，并且这些函数仅由计时器调用（或者，如果手动完成，则通过门户）。我根本不需要它们向更广泛的 Internet 开放，但我确实需要它们对 Azure 门户本身可见。

不过，我看到的唯一设置是基于 IP 的。是否有一组特定的 IP 要列入白名单，以便 Azure 门户和计时器仍然有效？（我尝试了“全部拒绝”，但随后我在函数概述页面上收到一条消息，上面写着“访问限制已添加到您的函数应用中，这可能会影响您从门户管理它的能力。”）

我想在 Azure 市场上发布通用 VM 的图像。要为其创建映像的 VM 包括连接到本地 SQL Server 的 ASP.NET MVC 应用程序。

我想禁止从提供的映像创建 VM 的用户访问我的应用程序的数据库，这样他们就无法看到数据库中的存储过程。

我正在考虑禁用对 SQL 服务器的 Windows 身份验证并添加一个可以访问服务器的超级管理员用户。但是，在这种情况下，我需要将超级管理员用户的用户名和密码放在我的 web.config 文件中，从而使其对所有用户可见。

在 VM 映像上提供应用程序时，是否有任何其他可能的解决方案来限制对应用程序数据库或更具体地说是数据库中的存储过程的访问？

我目前正在与一个需要访问所有 Azure 资源的客户一起工作，该客户需要尽可能地锁定所有 Azure 资源，并且我在使用我们的 Azure Functions 使用的存储帐户时遇到了问题。

将门户中的防火墙和虚拟网络刀片设置为“所有网络”后，我可以部署到 Function App 并且它可以毫无问题地运行。

但是，一旦我通过选中“选定网络”启用访问限制，无论我输入什么虚拟网络子网或 IP 地址，我都无法使通信正常工作

我已经输入了基于消费的函数应用程序的出站 IP 地址，并检查了 Powershell 中的其他 IP 地址是否都已添加到白名单中。我还添加了本地 Azure 数据中心的所有 CIDR IP 范围，但它再次不起作用。

我们遇到的问题是，一旦设置了访问限制，我们就无法部署到 Function App 并且该应用程序不再运行。是否支持这种情况，以及限制对存储帐户的访问的机制是什么，以便只有功能应用程序可以使用它。

我们正在使用多个数据源实施 Sentinel，执行 RBAC 的最佳方法是什么？

我目前正在设置 Sentinel POC，在 Sentinel 中您有基本上是逻辑应用程序的剧本，它与安全中心的剧本相同。

我需要知道目标订阅需要哪些权限才能自动修复警报，例如隔离 VM、停止 VM 等。

我们的 Sentinel 将在有 100 个订阅的租户中拥有自己的订阅。

使用 Azure 服务总线主题时，如何确保发送的包含敏感数据的消息受到保护？

想象一个微服务场景，其中小型独立模块化服务存在于 Azure 中并通过总线相互通信。要补充的是，只有感兴趣的相关服务也应该订阅主题

谢谢

想查找是否有办法在日志分析中查询 Azure 安全建议

我检查了架构“SecurityEvent”是否有与此相关的详细信息。但没有运气。