在云计算时代,网络和安全的概念已经发生了翻天覆地的变化。与本地数据中心相比,云基础架构的网络功能有着根本的不同。这些差异至关重要,因为忽视它们可能会导致未来出现各种问题。虽然这个话题可能会让人感到不知所措,但必须从某个地方开始。
首先,必须认识到,一些传统的安全元素已经不再适用,至少不是以传统的方式。以下是一些这样的概念:
对于许多人来说,这是一个难以接受的事实,但人们仍然坚持认为,通过锁定每个公共端点并围绕应用程序构建一个边界就能确保工作负载的安全。然而,安全威胁和攻击向量总是在变化,认为建立一个围栏就足够了的想法是荒谬的。
在云环境中,人们经常坚持使用IP白名单,但这种做法对于许多更复杂的攻击者来说已经不再足够。实际上,正在阻止自己利用比自己能够实现的更安全的云服务。零信任的理念越来越受到重视,在这里,假设没有发送是安全的,除非有凭证。这确保了更好的整体安全性。
为了开始,想提供一些关于云安全潜在关注领域的一些想法,以及那些选项。
以下是一些快速消费的IaaS工作负载安全最佳实践:
这里有一个链接到Azure的安全文档,它提供了许多不同主题和问题的详细信息。
这里有一个关于Microsoft安全共享责任模型的参考,它解释了在云环境中,供应商和客户各自承担的责任。
以下是一些网络安全选项的列表:
网络安全组(NSG)是限制虚拟网络内流量的好方法。此外,提供了服务标签,允许管理可能允许通信的不同Azure服务,以便创建规则。比如“AzureTrafficManager”,“VirtualNetwork”,“Sql”,“Storage”。此外,还有应用程序安全组(ASG)的选项,它允许根据应用程序架构配置NSG。
这提供了一个选项,可以将虚拟网络私有地址空间扩展到Azure服务,而不需要通过公共互联网。这里的意图是,想让机器访问“KeyVault”,但不想让它在vNet之外可访问。这很重要,因为它允许进一步锁定网络和访问。
正如在网络图中识别的,正在实现两个虚拟网络。如果想要在不同的虚拟网络之间进行通信,需要实现vnet对等,以启用该流量。