保护 Azure 基础架构

Question

我在一家仅托管在 Azure 中的小型初创公司工作，我想知道保护一切的最佳方式。

我使用以下服务

• Web 应用程序（面向公众）
• 虚拟机 - 运行应用和服务
• Sql 服务器
• 服务总线
• 存储帐户。

Web 应用和 Vms 需要与其他三个服务进行通信。

以下是我们目前正在做的事情。这是正确的吗？如果不是，您可以提供任何资源吗？

1. 服务总线 - 当前使用连接字符串访问，并存储在 Web 应用和 VM 的应用设置中。
2. 存储帐户 - 当前使用连接字符串访问此帐户，并存储在 Web 应用和 VM 的应用设置中。
3. Sql 服务器 - 当前使用防火墙来允许访问 Azure 服务，并将其限制为需要通过 SSMS 访问数据库的客户端计算机
4. VM - 使用网络安全组进行限制，只允许客户端计算机进行 RDP。

如果能提供任何帮助，我将不胜感激。

编辑

我担心的是：

• Sql Server 允许访问 azure。我可以将其关闭，但随后需要将网站添加到防火墙中，据我了解，IP 地址不是静态的。保持此状态是否存在安全问题？
• 存储帐户，连接字符串允许无限制地访问该帐户。您可以使用 SAS 将其锁定为 IP 地址，但从网站连接时它与 sqlsvr 存在相同的问题。 SAS 也是基于时间的，它是如何更新的？

Answer 1

Sql Server 允许访问 azure。我可以将其关闭，但随后需要将网站添加到防火墙中，据我所知，IP 地址不是静态的。保持此状态是否存在安全问题？

默认情况下，“允许访问 Azure 服务”是打开的，启用此功能将允许来自 Azure 中托管的资源/服务的任何流量访问数据库。

存储帐户，连接字符串允许无限制地访问该帐户。您可以使用 SAS 将其锁定为 IP 地址，但在从网站连接时，它与 sqlsvr 存在相同的问题。 SAS 也是基于时间的，它是如何更新的？

共享访问签名可以采用以下两种形式之一：Ad hoc SAS 和具有存储访问策略的 SAS。我们可以重新指定开始时间、到期时间和获取新临时 SAS 的权限。当我们将 SAS 与存储访问策略相关联时，SAS 继承为存储访问策略定义的约束——开始时间、到期时间和权限，我们可以修改存储访问策略以撤销 SAS 或获取新的 SAS基于新的存储访问策略。

有关共享访问签名 (SAS) 的更多信息，您可以阅读this article。

Answer 2

关于从您的网络应用程序访问 SQL 服务器： 他们在连接到外部服务时最多使用四个出站 IP 地址。您可以限制对这些的 SQL 服务器访问。 阅读this article 以找到它们。

这不会完全关闭对 SQL 服务器的外部访问，其他人的 Web 应用程序正在使用相同的四个出站 IP 地址。