问题描述
我们需要将位于 VNet 中的一个 Azure VM 公开到 Internet。我们将 F5 ADC 用于本地和 Azure 的所有入站流量。 如果您考虑到零信任方法,将 Azure VM 公开到 Internet 的最佳做法是什么?
感谢各种建议
解决方法
如果考虑到零信任策略,您打算将 Azure VM 公开到 Internet,则应检查:
- 监控工作负载并就异常行为发出警报。
- 每个工作负载都分配有一个应用标识,并一致地配置和部署。
- 人类对资源的访问需要及时。
完成上述项目后,检查下一步:
- 未经授权的部署被阻止,并触发警报。
- 可跨工作负载使用精细的可见性和访问控制。
- 针对每个工作负载划分的用户和资源访问权限。
https://docs.microsoft.com/en-us/security/zero-trust/infrastructure https://docs.microsoft.com/en-us/security/zero-trust/
,这取决于您要向 Internet 公开的 VM。
如果是在 VM 上运行的网站,您可以使用网络应用防火墙 https://docs.microsoft.com/en-us/azure/web-application-firewall/ag/ag-overview
如果是对 VM 的 RDP 访问,则可以使用 Azure Bastion https://azure.microsoft.com/en-us/services/azure-bastion/