在Azure中定义网络安全组的最佳做法是什么?
所有NIC都需要应用NSG,但这是为每个NIC创建一个的最佳实践吗?
最佳做法是为环境创建一个(DEV,PROD,Staging)?
答案 0 :(得分:1)
Microsoft与Internet安全中心合作开发了CIS Microsoft Azure Foundations Benchmark。本文档包括有关网络安全最佳做法的部分。这是一份出色的文档,其中包括保护Azure环境的各个步骤。这是Azure推荐文档。
文档详细介绍的每个步骤都是Azure安全中心和Azure监视器的一部分。
该文档受版权保护,因此我只能包含指向CIS网站的链接:
答案 1 :(得分:1)
说真的,您的网络或组织布局将有所不同。我绝对不建议每个NIC使用一个NSG。 NSG构建为可重用,因此,如果您有一组需要相同配置的VM,则最好将它们全部附加到同一NSG。
对于每个环境一个NSG,我建议不要这样做,并假设所有设备和服务的规则都相同。 (我知道子网也可以是其中的一部分,但再次说明组织如何设置和/或管理所有这些的胃口。)
如果它有助于将NSG视为入站/出站端口上的防火墙策略(仅允许/拒绝)。您会在每台机器或PaaS产品上分配相同的限制吗?可能不会。可能但不可能在每种环境中都一样吗?
对于部署和管理,我强烈建议利用Azure Resource Manager (ARM)模板,并将其与CI / CD管道相关联,并可能将其设置为每晚部署。如果用户手动配置nsgs,这可以防止网络上的配置漂移。