Azure IMDS:防火墙规则仅授予本地系统管理员访问权限以获取托管标识令牌
[英]Azure IMDS: firewall rules to give access only to local system admin to get managed identity token
问题描述
我们的应用程序在 Azure VM 上运行。 此应用程序具有三个 Windows 服务,它们使用用户管理的身份查询 sql 托管实例。 这些服务作为本地系统帐户运行。
现在,我们要确保只有属于我们应用程序的这些服务才能查询 sql 托管实例,并且在该 VM 上运行的其他应用程序不应访问 sql 托管实例。 我发现我们需要为 Azure IMDS 创建防火墙规则。 我想知道如何创建仅提供访问本地系统帐户以查询 IMDS 的防火墙规则?
1 个解决方案
解决方案1
0 2022-06-22 18:26:02
确切的细节会因您使用的防火墙而异,但通常是的,您可以使用来宾防火墙来限制对 IMDS 的访问。 事实上,还有另一个使用 IP 168.63.129.16 的服务,在 Azure 映像中默认情况下只能由管理员进程通过防火墙限制访问。
我不熟悉编写 Windows 防火墙规则,但我建议广泛查找它们(“仅限制对管理员的 IP 访问”或类似的内容)或尝试复制其他 Azure 服务的规则。
在完成此过程时需要注意以下几点:
- 防火墙是一种非常脆弱的方式来控制对该资源的访问。 可以做到,但也很容易搞砸。 在未正确执行的工作负载中发现了漏洞。 您必须将所有生命周期链视为默认打开的访问,并且在嵌套虚拟化等工作负载中很容易无意中绕过防火墙。 如果这都是纵深防御,那就不是问题了。 如果您的目标是在您的 VM 中运行不受信任的代码,则需要非常小心并进行威胁建模,以便对该解决方案有任何程度的信心。
- IMDS IP 路由是“神奇的”,因为它是一个无法路由的 IP 地址。 您正在尝试更改对 Azure 将在配置时尝试为您管理的规则的访问权限,因此您可能会遇到冲突。 如果你搞砸了规则,IMDS 将变得完全无法访问。 考虑添加一个额外的、更具限制性的规则,而不是尝试编辑 Azure 为你创建的规则。
总之,你可以做到这一点。 Azure 上托管了很多东西,但在安全性和可用性方面都存在许多缺陷。 只要确保您以尽职调查的方式对待它。
使用 powershell 添加本地 windows 防火墙规则的最干净方法是什么
[英]what's cleanest way in adding local windows firewall rules with powershell
使用 Powershell 在 VS Code 中调试 Windows 防火墙规则
[英]Debuging Windows firewall rules in VS Code with Powershell
防火墙规则允许远程连接到其他域中的SQL Server
[英]Firewall rules to allow remote connection to SQL Server in a different domain
如何在工作角色实例上成功编辑代码中的防火墙规则?
[英]How to edit Firewall rules in code successfully on a Worker Role Instance?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.