Azure 网络安全最佳实践
本文会介绍Azure加固网络安全的最佳实践。
本文会介绍:
- 最佳实践是啥样?
- 为什么你要实现最佳实践?
- 如果不实现最佳实践的话会怎么样?
- 实践最佳实践的几种方式?
- 实现最佳实践你能学习到什么?
使用强的网络控制
将虚拟机和网络设备放在虚拟网络中,这样就可以将设备进行互通互联了。所以你可以将网络网卡连接到虚拟网络上,从而允许不通设备之间基于TCP\IP的通信。当你进行网络规划的时候,或者进行网络安全规划,我们建议你集中管理如下的资源:
- 集中管理ExpressRoute,虚拟网络、子网、IP地址
- 实现网络安全的自我管理,比如ER,VNet,子网,IP
建议采用简单直接统一的安全策略来管控网络,这样可以避免人工犯错,也可以增强自动化的可信度。
进行逻辑子网划分
Azure 虚拟网络有点类似本地网络LAN,虚拟网络可以创建私有IP地址空间网络,私有IP地址可以是A类 B类 C类。
Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.
最佳实践是将子网进行逻辑分区。
最佳实践:不要创建太狂的允许规则,比如允许0.0.0.0到255.255.255.255
细节:确保流程里面有禁止配置这样的规则,这种规则很容易受攻击者攻击。
最佳实践:将大的网络空间划分