安全Azure基礎架構

Question

我在一個只在Azure中托管的小型創業公司工作，我想知道確保一切安全的最佳方法。

我使用以下服務

• 網絡應用程序（面向公眾）
• 虛擬機 - 運行應用程序和服務
• Sql Sever
• 服務總線
• 存儲帳戶。

Web應用程序和Vms需要與其他三種服務進行通信。

以下是我們目前正在做的事情。 這是正確的，如果沒有，你可以提供任何資源嗎？

1. 服務總線 - 當前使用連接字符串訪問，並存儲在Web應用程序和VM的應用程序設置中。
2. 存儲帳戶 - 當前使用連接字符串訪問該帳戶，並存儲在Web應用程序和VM的應用程序設置中。
3. Sql server - 這當前使用防火牆允許訪問Azure服務，並將其限制為需要通過SSMS訪問數據庫的客戶端計算機
4. VM - 使用網絡安全組限制此選項僅允許客戶端計算機啟用RDP。

我將不勝感激任何幫助。

編輯

我擔心的事情是：

• Sql Server允許訪問azure。 我可以關閉它，但然后網站將需要添加到防火牆，據我所知，IP地址不是靜態的。 保留這個是安全問題嗎？
• 存儲帳戶，連接字符串允許無限制地訪問帳戶。 您可以使用SAS將其鎖定到IP地址，但是當從網站連接時，它與sqlsvr具有相同的問題。 SAS是基於時間的，它是如何更新的？

Answer 1

Sql Server允許訪問azure。 我可以關閉它，但然后網站將需要添加到防火牆，據我所知，IP地址不是靜態的。 保留這個是安全問題嗎？

默認情況下，“允許訪問Azure服務”處於啟用狀態，啟用此功能將允許來自Azure中托管的資源/服務的任何流量訪問數據庫。

存儲帳戶，連接字符串允許無限制地訪問帳戶。 您可以使用SAS將其鎖定到IP地址，但是當從網站連接時，它與sqlsvr具有相同的問題。 SAS是基於時間的，它是如何更新的？

共享訪問簽名可以采用以下兩種形式之一：Ad hoc SAS和具有存儲訪問策略的SAS。 我們可以重新指定開始時間，到期時間和獲得新ad hoc SAS的權限。 當我們將SAS與存儲的訪問策略相關聯時，SAS會繼承為存儲的訪問策略定義的約束 - 開始時間，到期時間和權限，我們可以修改存儲的訪問策略以撤銷SAS或獲取新的SAS基於新存儲的訪問策略。

有關共享訪問簽名（SAS）的更多信息，您可以閱讀本文 。

Answer 2

關於從Web應用程序訪問SQL Server：連接到外部服務時最多使用四個出站IP地址。 您可以限制SQL Server對這些的訪問。 閱讀本文以找到它們。

這不會完全關閉外部訪問SQL服務器，其他人的網絡應用程序使用相同的四個出站IP地址。