网络安全组最佳实践
Networks Security Group best practices
在 Azure 中定义网络安全组的最佳实践是什么?
所有 NIC 都需要应用 NSG,但最好为每个 NIC 创建一个吗?
最好的做法是为环境(DEV、PROD、Staging)创建一个?
Microsoft 与互联网安全中心合作开发 CIS Microsoft Azure Foundations Benchmark。本文档包括有关网络安全最佳实践的部分。这是一份非常适合阅读的文档,其中包含保护 Azure 环境的各个步骤。这是Azure推荐文档。
文档详述的每个步骤都是 Azure 安全中心和 Azure Monitor 的一部分。
该文档受版权保护,因此我只能在 CIS 网站上添加一个 link:
说实话,您的网络或组织的布局方式会有所不同。我绝对不会推荐每个 NIC 一个 NSG。 NSG 构建为可重用,因此如果您有一组需要相同配置的 VM,最好将它们全部附加到同一个 NSG。
至于每个环境一个 NSG,我建议不要这样做,因为它假设所有设备和服务的规则都是相同的。 (我知道子网也可以是其中的一部分,但组织设置如何 and/or 管理所有这些的胃口)。
如果有帮助,请将 NSG 视为 inbound/outbound 端口(仅 allow/deny)上的防火墙策略。您会为每台机器或 PaaS 产品分配相同的限制吗?可能不会。是不是每个环境都一样,有可能,但不太可能。
至于部署和管理,我强烈建议利用 Azure Resource Manager (ARM) 模板并将其与 CI/CD 管道相关联,并可能将其设置为夜间部署。如果用户手动配置 nsgs,这将防止网络上的配置漂移。
在 Azure 中定义网络安全组的最佳实践是什么?
所有 NIC 都需要应用 NSG,但最好为每个 NIC 创建一个吗?
最好的做法是为环境(DEV、PROD、Staging)创建一个?
Microsoft 与互联网安全中心合作开发 CIS Microsoft Azure Foundations Benchmark。本文档包括有关网络安全最佳实践的部分。这是一份非常适合阅读的文档,其中包含保护 Azure 环境的各个步骤。这是Azure推荐文档。
文档详述的每个步骤都是 Azure 安全中心和 Azure Monitor 的一部分。
该文档受版权保护,因此我只能在 CIS 网站上添加一个 link:
说实话,您的网络或组织的布局方式会有所不同。我绝对不会推荐每个 NIC 一个 NSG。 NSG 构建为可重用,因此如果您有一组需要相同配置的 VM,最好将它们全部附加到同一个 NSG。
至于每个环境一个 NSG,我建议不要这样做,因为它假设所有设备和服务的规则都是相同的。 (我知道子网也可以是其中的一部分,但组织设置如何 and/or 管理所有这些的胃口)。
如果有帮助,请将 NSG 视为 inbound/outbound 端口(仅 allow/deny)上的防火墙策略。您会为每台机器或 PaaS 产品分配相同的限制吗?可能不会。是不是每个环境都一样,有可能,但不太可能。
至于部署和管理,我强烈建议利用 Azure Resource Manager (ARM) 模板并将其与 CI/CD 管道相关联,并可能将其设置为夜间部署。如果用户手动配置 nsgs,这将防止网络上的配置漂移。