Вопросы Теги

NSG: заблокировать весь исходящий интернет-трафик

Я понимаю подход в статье «Пошаговое руководство: автоматизация построения правил групп безопасности исходящей сети с помощью Azure Resource Manager (ARM) и PowerShell»: разрешить все внутренние IP-подсети, используемые Azure, а затем заблокировать исходящий интернет-трафик.

Но я думаю, что этот список подсетей не статичен, сегодня для Западной Европы насчитывается 437 подсетей, что близко к максимальному количеству 500 правил NSG для каждой NSG.

Ресурсы, такие как хранилище или репозитории Linux, используют некоторые из этих подсетей. К ним не обращаются со статическими IP-адресами, есть балансировщики нагрузки, решающие об используемой службе и ее IP-адресе. Это причина для открытия всех подсетей Azure.

У меня есть требование блокировать весь трафик к «реальным Интернет-серверам», а также сделать доступными необходимые внутренние службы.

Вопросы:

  1. Когда добавляются новые подсети и балансировщик нагрузки решает
    назначить службу в этой новой подсети моему запросу, я не буду может получить к нему доступ? Это может привести к ухудшению качества обслуживания мое заявление. Это верно?
  2. Являются ли недавно объявленные «Конечные точки служб» решением этой проблемы?
  3. Планируется ли введение еще одного тега по умолчанию, который можно использовать в правилах NSG в дополнение к «VirtualNetwork», «AzureLoadBalancer» и «Интернет» для адреса «Внешний Интернет» или «Внутренний Azure»?

Заранее благодарим!

Упомянутые ссылки:

https://blogs.technet.microsoft.com/keithmayer/2016/01/12 /step-by-step-automate-building-outbound-network-security-groups-rules-via-azure-resource-manager-arm-and-powershell/

https://azure.microsoft.com/de- de / blog / announcing-virtual-network-integration-for-azure-storage-and-azure-sql /? cdn = disable

0
задан 18 December 2017 в 13:30
2 ответа

Как вы упомянули, проблема с блокировкой всего трафика к тегу «Интернет» заключается в том, что он также блокирует доступ к службам Azure PaaS. Раньше единственным способом справиться с этим было разрешение доступа к диапазонам IP-адресов Azure, но, как вы заметили, их много, и они регулярно меняются, что является проблемой. Если служба, к которой вы хотите получить доступ, получит IP-адрес, который не входит в диапазон, который ваши группы безопасности сети запрограммированы на разрешение исходящего трафика, тогда да, вы не сможете получить к ней доступ.

MS начала решать эту проблему с помощью сервисные теги . Это теги, похожие на «Интернет», которые вы можете настроить в правиле NSG, вместо того, чтобы указывать целые диапазоны адресов. Здесь есть некоторые проблемы: во-первых, эта служба находится на стадии предварительной версии, во-вторых, на данный момент она охватывает только хранилище и SQL Azure.

Если SQL и хранилище - это все, что вам нужно, вы можете продолжить и использовать эти служебные теги для блокировки доступа к «Интернет» и разрешить «хранилище» и «SQL»

1
ответ дан 4 December 2019 в 16:03

Недавно столкнулся с аналогичной ситуацией, когда весь исходящий доступ был заблокирован. Чтобы разрешить ограниченный доступ к службам Azure, которые нам необходимы (службы восстановления Azure и т. Д.). Мы настраиваем модуль Runbook автоматизации Azure, который запускается каждую ночь, чтобы получать список XML по приведенной ниже ссылке, анализировать локальный регион и обновлять NSG. С недавним выпуском правил расширенной безопасности мы также можем свернуть все эти подсети в одно правило.

Ссылка: Создать модуль Runbook службы автоматизации Azure

Ссылка: Диапазоны IP-адресов Microsoft Azure Datacenter

] Ссылка: Дополнительные правила безопасности

0
ответ дан 4 December 2019 в 16:03

Теги

Похожие вопросы