如何为azure存储服务设置网络安全组规则?

时间:2015-06-12 15:42:37

标签: azure azure-sql-database azure-table-storage azure-virtual-network

我需要为我的应用程序设置网络安全组规则,以便它可以从Internet接收HTTPS请求并将数据写入表存储和Azure SQL。不允许任何其他事情。

我知道如何设置HTTP入站规则。但我无法弄清楚如何设置表存储和azure sql的出站规则。我应该使用“.table.core.windows.net”作为DestinationAddressPrefix的值吗?

1 个答案:

答案 0 :(得分:2)

您无法对Azure存储服务使用网络安全规则,因为:

  • Azure存储服务不属于虚拟网络,也不属于(自2015-06-12起)虚拟网络。
  • 您无法确定Azure存储帐户的IP范围,因为服务特定请求的实际服务器可能随时更改,并且与您的帐户关联的公共IP地址可能随时更改。
  • DestinationAddressPrefixCDIR格式的网络IP地址,而不是DNS前缀/后缀

您可以,但仅在理论上,我不建议您将Azure Data Centre IP Address ranges添加到网络安全组。这将是您尝试实现的最接近的。但正如我所说,我不推荐它(因为你不得不不断更新它,并且当这个列表没有更新时仍然会失败)。

如果您的主要担心是您的服务不与内部部署通信(如果您使用VPN),则可以为您的本地网络添加明确的拒绝。

如果您的担心是您的服务可能成为各种攻击的目标,那么您可以使用适当的Web应用程序防火墙,例如Barracuda - https://www.barracuda.com/programs/azure/application-security

对于Azure SQL数据库,您只能将对Azure SQL数据库的访问权限限制为"所有azure服务",但不能仅限于"仅限我们的Azure服务"。目前(再次,截至2015-06-12),没有别的办法了。

相关问题
最新问题