Назад | Перейти на главную страницу

NSG: блокировать весь исходящий интернет-трафик

Я понимаю подход, описанный в статье «Пошаговое руководство: автоматизация построения правил групп безопасности исходящей сети с помощью Azure Resource Manager (ARM) и PowerShell»: разрешить все внутренние IP-подсети, используемые Azure, а затем заблокировать исходящий интернет-трафик.

Но я думаю, что этот список подсетей не статичен, сегодня для Западной Европы насчитывается 437 подсетей, что близко к максимальному количеству 500 правил NSG на NSG.

Ресурсы, такие как хранилище или репозитории Linux, используют некоторые из этих подсетей. К ним не обращаются со статическими IP-адресами, есть балансировщики нагрузки, решающие об используемой службе и ее IP-адресе. Это причина открыть все подсети Azure.

У меня есть требование блокировать весь трафик к «настоящим Интернет-серверам», а также сделать доступными необходимые внутренние службы.

Вопросы:

  1. Когда добавляются новые подсети и балансировщик нагрузки решает
    назначить службу в этой новой подсети моему запросу, я не смогу получить к ней доступ? Это может привести к ухудшению качества обслуживания моего приложения. Это правильно?
  2. Являются ли недавно объявленные «Конечные точки обслуживания» решением этой проблемы?
  3. Планируется ли ввести еще один тег по умолчанию, который можно использовать в правилах NSG в дополнение к «VirtualNetwork», «AzureLoadBalancer» и «Интернет» для адресации «Внешний Интернет» или «Внутренний Azure»?

Заранее спасибо!

Упомянутые ссылки:

https://blogs.technet.microsoft.com/keithmayer/2016/01/12/step-by-step-automate-building-outbound-network-security-groups-rules-via-azure-resource-manager-arm- и-powershell /

https://azure.microsoft.com/de-de/blog/announcing-virtual-network-integration-for-azure-storage-and-azure-sql/?cdn=disable

Как вы упомянули, проблема с блокировкой всего трафика к тегу «Интернет» заключается в том, что он также блокирует доступ к службам Azure PaaS. Раньше единственным способом справиться с этим было разрешение доступа к диапазонам IP-адресов Azure, но, как вы заметили, их много, и они регулярно меняются, что является проблемой. Если служба, к которой вы хотите получить доступ, получит IP-адрес, который не входит в диапазон, в котором ваши группы безопасности сети запрограммированы на разрешение исходящего трафика, то да, вы не сможете получить к ней доступ.

MS начали решать эту проблему с помощью сервисные теги. Это теги, похожие на «Интернет», которые вы можете настроить в правиле NSG, вместо того, чтобы указывать целые диапазоны адресов. Здесь есть некоторые проблемы: во-первых, служба находится в предварительной версии, во-вторых, на данный момент она охватывает только хранилище и SQL Azure.

Если SQL и хранилище - это все, что вам нужно, вы можете использовать эти служебные теги, чтобы заблокировать доступ к «Интернету» и разрешить «хранилище» и «SQL».

Недавно столкнулся с подобной ситуацией, при которой весь исходящий доступ был заблокирован. Чтобы разрешить ограниченный доступ к службам Azure, которые нам необходимы (службы восстановления Azure и т. Д.). Мы настраиваем модуль Runbook автоматизации Azure, который запускается каждую ночь, чтобы получать список XML по приведенной ниже ссылке, анализировать локальный регион и обновлять группы безопасности сети. С недавним выпуском расширенных правил безопасности мы также можем свести все эти подсети к одному правилу.

Ссылка на сайт: Создание модуля Runbook службы автоматизации Azure

Ссылка на сайт: Диапазоны IP-адресов Microsoft Azure Datacenter

Ссылка на сайт: Расширенные правила безопасности