【发布时间】:2014-08-31 12:41:24
【问题描述】:
我想知道是否需要在 Microsoft Azure 上使用我的 Linux VM 设置 iptables。他们确实与端点一起工作,我可以打开我需要打开的端口,其他的保持关闭,我的 VM 对外部是安全的,但我想知道我是否仍然需要为内部流量设置 iptables(Azure 中的另一个 VM 可以到达我的虚拟机?)或者我的虚拟机是否与其他虚拟机隔离?
【问题讨论】:
标签: azure azure-virtual-machine
【发布时间】:2014-08-31 12:41:24
【问题描述】:
库中的 Linux 映像未启用 Linux 虚拟机内的 IPtables 防火墙。因此,在创建新 VM 时默认不启用防火墙(创建 Windows VM 的关键区别)。但是可以配置 IPtables 防火墙以提供额外的过滤。
另外,我想分享一些与 Azure 安全相关的关键点。
IDS/IPS 运营大量 Microsoft 云资产的 Microsoft GFS 数据中心使用 IDS/IPS 来保护 Microsoft 云资产。看看http://www.globalfoundationservices.com/security-and-compliance.aspx
DDos 预防
Azure 使用标准检测和缓解技术,例如 SYN cookie 和连接限制。
Microsoft Azure 利用 DHCP 速率限制器、主机操作系统数据包过滤和 IP 地址 ACL。 VM 无法发送 DHCP 响应,只能发送 DHCP 请求。
硬件防火墙(由 Microsoft GFS 提供 - 用于托管大量 Microsoft 网络资产)
主机防火墙带有数据包过滤器的 Microsoft Azure 主机级防火墙,可阻止通过虚拟网络进行的跨租户通信。
VM 防火墙 数据包过滤器控制同一 VM 中的 VM 之间的流量。虚拟机无法窥探不是发往它们的流量。
隔离 - Azure 为每个部署提供网络隔离,具有多个执行点。
【讨论】:
是的,您仍然应该使用正常的主机安全性来保护单个虚拟机,就像保护传统基础架构一样,甚至可能更是如此。
Azure 支持network isolation,但您内部网络上的任何其他 VM 或服务都可以访问您的 Linux VM。 Azure 边缘防火墙也存在被入侵的风险(不太可能,但如果你的 VM 足够重要,那么你的威胁模型应该包括它)。
我认为任何系统管理员都不会建议让本地服务器保持打开状态,而那是您物理控制网络的时候。当其他人为您托管东西时,我肯定会保护它。
【讨论】: