我在一家仅在Azure中托管的小型创业公司工作,我想知道确保一切安全的最佳方式。
我使用以下服务
网络应用和Vms需要与其他三种服务进行通信。
以下是我们目前正在做的事情。这是正确的,如果没有,你可以提供任何资源吗?
感谢您提供的任何帮助。
修改
我担心的事情是:
答案 0 :(得分:0)
Sql Server允许访问azure。我可以关闭它,但然后网站将需要添加到防火墙,据我所知,IP地址不是静态的。保留这个是安全问题吗?
默认情况下,“允许访问Azure服务”处于启用状态,启用此功能将允许来自Azure中托管的资源/服务的任何流量访问数据库。
存储帐户,连接字符串允许无限制地访问该帐户。您可以使用SAS将其锁定到IP地址,但是当从网站连接时,它与sqlsvr具有相同的问题。 SAS也是基于时间的,它是如何更新的?
共享访问签名可以采用以下两种形式之一:Ad hoc SAS和具有存储访问策略的SAS。我们可以重新指定开始时间,到期时间和获得新ad hoc SAS的权限。当我们将SAS与存储的访问策略相关联时,SAS会继承为存储的访问策略定义的约束 - 开始时间,到期时间和权限,我们可以修改存储的访问策略以撤销SAS或获取新的SAS基于新存储的访问策略。
有关共享访问签名(SAS)的详细信息,请阅读this article。
答案 1 :(得分:0)
关于从您的网络应用访问SQL服务器: 连接到外部服务时,它们最多使用四个出站IP地址。您可以限制SQL Server对这些的访问。 阅读this article以找到它们。
这不会完全关闭对SQL服务器的外部访问,其他人的网络应用程序使用相同的四个出站IP地址。