是否有理由不完全依赖Azure网络安全组来保护生产系统?我知道这是一个普遍性的问题,并且在某些情况下总是需要完整的/昂贵的防火墙,但是对于通用应用程序而言,NSG是否足够安全?
答案 0 :(得分:1)
如果虚拟机仅位于Azure VNET上,则NSG几乎可以完成保护应用程序/虚拟机所需的所有事情。您可以收集NSG日志,以查看通过特定NSG允许或拒绝的流量。您可以将这些日志以最低的成本存储到任何存储帐户,也可以将其发布到OMS,在其中您可以创建仪表板,并对通过NSG流动的内容具有图形感。 但是有些功能,例如WAF和IPS在NSG上不可用,因此您必须依靠防火墙。