Windows Azure Virtual Machine (34) 保護Azure虛擬機器

標籤：安裝   win7   entry   list   poi   form   用戶端訪問   網路   blog   

　　《Windows Azure Platform 系列文章目錄》

 

　　請注意：我們在Azure上建立的虛擬機器，都是可以通過公網IP地址來訪問的。(直接通過虛擬機器的IP地址：PIP，或者通過負載平衡器的IP地址：VIP)

　　但是總會有不懷好意的駭客，會攻擊這些虛擬機器。所以保護Azure虛擬機器是非常重要的。

 

　　如果是Linux虛擬機器，筆者強烈建議使用SSH Key的方式來訪問Azure Linux虛擬機器，同時需要保護要Key和私密金鑰

　　Windows Azure Virtual Machine (25) 使用SSH登入Azure Linux虛擬機器

　　

　　這裡我簡單介紹一下幾個客戶的案例，分享一下他們是如何保護Azure上的虛擬機器的。

 

　　A公司是通過第三方VPN軟體，來保護Azure虛擬機器的

　　-　　A公司的NAT裝置，有幾個固定的公網出口IP地址

　　-　　供應商和專案經理，在訪問A公司的虛擬機器的時候，首先需要通過VPN軟體撥號，訪問到A公司的內網，然後再訪問Azure上的虛擬機器

　　-　　Azure上的虛擬機器的連接埠，都設定了用戶端訪問IP地址 (ASM虛擬機器用ACL，ARM虛擬機器用NSG, Network Security Group)。只有通過VPN撥號，或者在A公司現場辦公，才能訪問Azure上的虛擬機器

　　-　　優點：通過VPN軟體，可以設定使用者訪問的許可權

　　-　　缺點：對於辦公環境要求比較搞，一般只有企業級客戶才有固定公網IP地址和NAT裝置。

　　-　　參考資料：Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)設定用戶端存取權限

 

　　B公司是通過Point-To-Site VPN方式，來保護Azure虛擬機器的

　　-　　當B公司建立Azure 虛擬機器網路的時候，會建立1個VPN Gateway

　　-　　供應商和專案經理，通過在本地Windows Server 2008 R2和Win7 (或以上作業系統)，安裝Azure VPN軟體的方式，來訪問Azure上的虛擬機器

　　-　　優點：Azure虛擬機器有2個IP地址，公網IP地址(PIP, VIP)或者是內網IP地址(Dynamic IP, DIP)。

　　　　通過Point-to-Site VPN的方式，就可以直接存取到Azure虛擬機器的內網IP地址DIP來管理，Azure上的虛擬機器不會暴露任何公網訪問連接埠

　　-　　缺點：建立Azure VPN Gateway會產生一定的費用。另外Azure VPN軟體只能支援Windows用戶端，MAC或者Linux暫不支援。

 

　　C公司是通過跳板機的方式，來保護Azure虛擬機器的

　　關於Bastion Host的文檔很多，這裡我就不詳細說明了。

 

　　除了以上幾種訪問方式，我們還需要注意以下幾點：

　　1.一個使用者一個賬戶，不要使用公用賬戶

　　2.使用者的訪問日誌一定要開啟

　　3.Linux VM一定要通過SSH Key訪問

　　4.使用Azure Backup Service保護虛擬機器，當發生問題的時候可以通過備份復原

　　Azure Backup (3) 使用Azure恢複服務，備份Azure虛擬機器

　　5.資料庫建議採用資料加密方式(對稱式加密、非對稱式加密、透明資料加密等)，保護資料庫服務

 

Windows Azure Virtual Machine (34) 保護Azure虛擬機器