Azure 私有端点和存储帐户用例

周一，也就是本周上旬，您正在查看 Microsoft Defender for Cloud 的发现结果，以确定下一个需要解决的候选警报，并提高您宝贵的“安全评分”。

“存储帐户应使用专用链接连接”，这看起来很简单，不是吗？

此警报可以通过使用专用端点 (Private Enpoint) 来解决，那么它是什么？我们如何实现它？

概述

Azure 专用端点 (Azure Private Endpoint) 是一个使用虚拟网络中的专用 IP 地址的网络接口。此网络接口将您以私密且安全的方式连接到由 Azure 专用链接 (Private Link) 提供支持的服务。通过启用专用端点，您将该服务引入您的虚拟网络。

该服务可以是 Azure 服务，例如：

• Azure 存储
• Azure Cosmos DB
• Azure SQL 数据库
• 您自己的服务，使用专用链接服务。

优势

• 专用连接：专用端点允许您通过虚拟网络中的专用连接访问 Azure 服务。这消除了对公共互联网访问的需求，减少了攻击面，并增强了应用程序的整体安全态势。
• 与公共互联网隔离：虚拟网络与 Azure 服务之间的流量会流经 Azure 主干网络，从而确保其与公共互联网保持隔离。这种隔离可最大限度地降低未经授权访问的风险，并有助于保护敏感数据。
• 默认安全：私有端点连接默认使用 Azure Private Link 服务策略进行保护。这意味着通信经过加密，访问受到控制，从而提供额外的安全保障。
• 子网级访问控制：私有端点允许您在子网级别控制对 Azure 服务的访问。这可以精细地控制虚拟网络中哪些子网可以访问相关服