我想知道是否需要在Microsoft Azure上使用我的Linux VM设置iptables。他们可以使用端点,我可以打开我需要打开的端口,其他端口保持关闭状态,我的VM对外部安全但是我想知道我是否还需要为内部流量设置iptables(可以从Azure的另一个VM到达我的VM?)或者我的虚拟机屏蔽了其他虚拟机?
答案 0 :(得分:2)
图库中的Linux映像不会在Linux虚拟机中启用IPtables防火墙。因此,在创建新VM时,默认情况下不启用防火墙(创建Windows VM之间的关键区别)。但IPtables防火墙可以配置为提供额外的过滤。
此外,我想分享一些与Azure安全性相关的关键点。
IDS / IPS 运行多个Microsoft云属性的Microsoft GFS数据中心使用IDS / IPS来保护Microsoft云资产。看看http://www.globalfoundationservices.com/security-and-compliance.aspx
DDos预防
Azure使用标准检测和缓解技术,如SYN Cookie和连接限制。
Microsoft Azure使用DHCP速率限制器,主机操作系统数据包筛选和IP地址ACL。 VM无法发送DHCP响应,只能发送DHCP请求。
硬件防火墙(由Microsoft GFS提供 - 用于托管多个Microsoft Web资产)
主机防火墙 Microsoft Azure主机级防火墙,包含阻止通过虚拟网络进行跨租户通信的数据包过滤器。
虚拟机防火墙数据包过滤器控制同一虚拟机中虚拟机之间的流量。 VM无法窥探那些不是他们的流量。
隔离 - Azure为具有多个执行点的每个部署提供网络隔离。
答案 1 :(得分:1)
是的,您应该仍然保护具有正常主机安全性的单个VM,与传统基础架构相同,甚至更多。
Azure支持network isolation,但内部网络上的任何其他VM或服务都可以访问您的Linux VM。 Azure边缘防火墙也存在风险(不太可能,但如果您的VM足够重要,那么您的威胁模型应该包含它)。
我认为任何系统管理员都不会建议让本地服务器保持打开状态,那就是你在物理上控制网络的时候。当其他人为你托管东西时,我绝对会得到它。