Windows Azure Virtual Machine (34) 保护Azure虚拟机

Posted Azure Lei Zhang的博客

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Windows Azure Virtual Machine (34) 保护Azure虚拟机相关的知识,希望对你有一定的参考价值。

  《Windows Azure Platform 系列文章目录

 

  请注意:我们在Azure上创建的虚拟机,都是可以通过公网IP地址来访问的。(直接通过虚拟机的IP地址:PIP,或者通过负载均衡器的IP地址:VIP)

  但是总会有不怀好意的黑客,会攻击这些虚拟机。所以保护Azure虚拟机是非常重要的。

 

  如果是Linux虚拟机,笔者强烈建议使用SSH Key的方式来访问Azure Linux虚拟机,同时需要保护要Key和私钥

  Windows Azure Virtual Machine (25) 使用SSH登录Azure Linux虚拟机

  

  这里我简单介绍一下几个客户的案例,分享一下他们是如何保护Azure上的虚拟机的。

 

  A公司是通过第三方VPN软件,来保护Azure虚拟机的

  -  A公司的NAT设备,有几个固定的公网出口IP地址

  -  供应商和项目经理,在访问A公司的虚拟机的时候,首先需要通过VPN软件拨号,访问到A公司的内网,然后再访问Azure上的虚拟机

  -  Azure上的虚拟机的端口,都设置了客户端访问IP地址 (ASM虚拟机用ACL,ARM虚拟机用NSG, Network Security Group)。只有通过VPN拨号,或者在A公司现场办公,才能访问Azure上的虚拟机

  -  优点:通过VPN软件,可以设置用户访问的权限

  -  缺点:对于办公环境要求比较搞,一般只有企业级客户才有固定公网IP地址和NAT设备。

  -  参考资料:Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)设置客户端访问权限

 

  B公司是通过Point-To-Site VPN方式,来保护Azure虚拟机的

  -  当B公司新建Azure 虚拟机网络的时候,会创建1个VPN Gateway

  -  供应商和项目经理,通过在本地Windows Server 2008 R2和Win7 (或以上操作系统),安装Azure VPN软件的方式,来访问Azure上的虚拟机

  -  优点:Azure虚拟机有2个IP地址,公网IP地址(PIP, VIP)或者是内网IP地址(Dynamic IP, DIP)。

    通过Point-to-Site VPN的方式,就可以直接访问到Azure虚拟机的内网IP地址DIP来管理,Azure上的虚拟机不会暴露任何公网访问端口

  -  缺点:创建Azure VPN Gateway会产生一定的费用。另外Azure VPN软件只能支持Windows客户端,MAC或者Linux暂不支持。

 

  C公司是通过跳板机的方式,来保护Azure虚拟机的

  关于堡垒机的文档很多,这里我就不详细说明了。

 

  除了以上几种访问方式,我们还需要注意以下几点:

  1.一个用户一个账户,不要使用公共账户

  2.用户的访问日志一定要开启

  3.Linux VM一定要通过SSH Key访问

  4.使用Azure Backup Service保护虚拟机,当发生问题的时候可以通过备份回滚

  Azure Backup (3) 使用Azure恢复服务,备份Azure虚拟机

  5.数据库建议采用数据加密方式(对称加密、非对称加密、透明数据加密等),保护数据库服务

 

以上是关于Windows Azure Virtual Machine (34) 保护Azure虚拟机的主要内容,如果未能解决你的问题,请参考以下文章

Windows Azure Virtual Machine (40) 在Azure VM使用MTR进行traceroute

Windows Azure Virtual Machine (40) 在Azure VM使用MTR进行traceroute

Azure for Windows Virtual Machine 中是不是存在从个人主机池分配给用户的事件?

Mac Virtual System On Windows

Azure Virtual Desktop-3-配置Azure文件共享及配置用户配置文件漫游

pymssql 在 Azure/Windows 上返回的字符集与在 Mac 上不同