Я понимаю подход в статье «Пошаговое руководство: автоматизация построения правил групп безопасности исходящей сети с помощью Azure Resource Manager (ARM) и PowerShell»: разрешить все внутренние IP-подсети, используемые Azure, а затем заблокировать исходящий интернет-трафик.
Но я думаю, что этот список подсетей не статичен, сегодня для Западной Европы насчитывается 437 подсетей, что близко к максимальному количеству 500 правил NSG для каждой NSG.
Ресурсы, такие как хранилище или репозитории Linux, используют некоторые из этих подсетей. К ним не обращаются со статическими IP-адресами, есть балансировщики нагрузки, решающие об используемой службе и ее IP-адресе. Это причина для открытия всех подсетей Azure.
У меня есть требование блокировать весь трафик к «реальным Интернет-серверам», а также сделать доступными необходимые внутренние службы.
Вопросы:
Заранее благодарим!
Упомянутые ссылки:
Как вы упомянули, проблема с блокировкой всего трафика к тегу «Интернет» заключается в том, что он также блокирует доступ к службам Azure PaaS. Раньше единственным способом справиться с этим было разрешение доступа к диапазонам IP-адресов Azure, но, как вы заметили, их много, и они регулярно меняются, что является проблемой. Если служба, к которой вы хотите получить доступ, получит IP-адрес, который не входит в диапазон, который ваши группы безопасности сети запрограммированы на разрешение исходящего трафика, тогда да, вы не сможете получить к ней доступ.
MS начала решать эту проблему с помощью сервисные теги . Это теги, похожие на «Интернет», которые вы можете настроить в правиле NSG, вместо того, чтобы указывать целые диапазоны адресов. Здесь есть некоторые проблемы: во-первых, эта служба находится на стадии предварительной версии, во-вторых, на данный момент она охватывает только хранилище и SQL Azure.
Если SQL и хранилище - это все, что вам нужно, вы можете продолжить и использовать эти служебные теги для блокировки доступа к «Интернет» и разрешить «хранилище» и «SQL»
Недавно столкнулся с аналогичной ситуацией, когда весь исходящий доступ был заблокирован. Чтобы разрешить ограниченный доступ к службам Azure, которые нам необходимы (службы восстановления Azure и т. Д.). Мы настраиваем модуль Runbook автоматизации Azure, который запускается каждую ночь, чтобы получать список XML по приведенной ниже ссылке, анализировать локальный регион и обновлять NSG. С недавним выпуском правил расширенной безопасности мы также можем свернуть все эти подсети в одно правило.
Ссылка: Создать модуль Runbook службы автоматизации Azure
Ссылка: Диапазоны IP-адресов Microsoft Azure Datacenter
] Ссылка: Дополнительные правила безопасности