標籤:安裝 win7 entry list poi form 用戶端訪問 網路 blog
《Windows Azure Platform 系列文章目錄》
請注意:我們在Azure上建立的虛擬機器,都是可以通過公網IP地址來訪問的。(直接通過虛擬機器的IP地址:PIP,或者通過負載平衡器的IP地址:VIP)
但是總會有不懷好意的駭客,會攻擊這些虛擬機器。所以保護Azure虛擬機器是非常重要的。
如果是Linux虛擬機器,筆者強烈建議使用SSH Key的方式來訪問Azure Linux虛擬機器,同時需要保護要Key和私密金鑰
Windows Azure Virtual Machine (25) 使用SSH登入Azure Linux虛擬機器
這裡我簡單介紹一下幾個客戶的案例,分享一下他們是如何保護Azure上的虛擬機器的。
A公司是通過第三方VPN軟體,來保護Azure虛擬機器的
- A公司的NAT裝置,有幾個固定的公網出口IP地址
- 供應商和專案經理,在訪問A公司的虛擬機器的時候,首先需要通過VPN軟體撥號,訪問到A公司的內網,然後再訪問Azure上的虛擬機器
- Azure上的虛擬機器的連接埠,都設定了用戶端訪問IP地址 (ASM虛擬機器用ACL,ARM虛擬機器用NSG, Network Security Group)。只有通過VPN撥號,或者在A公司現場辦公,才能訪問Azure上的虛擬機器
- 優點:通過VPN軟體,可以設定使用者訪問的許可權
- 缺點:對於辦公環境要求比較搞,一般只有企業級客戶才有固定公網IP地址和NAT裝置。
- 參考資料:Windows Azure Virtual Network (10) 使用Azure Access Control List(ACL)設定用戶端存取權限
B公司是通過Point-To-Site VPN方式,來保護Azure虛擬機器的
- 當B公司建立Azure 虛擬機器網路的時候,會建立1個VPN Gateway
- 供應商和專案經理,通過在本地Windows Server 2008 R2和Win7 (或以上作業系統),安裝Azure VPN軟體的方式,來訪問Azure上的虛擬機器
- 優點:Azure虛擬機器有2個IP地址,公網IP地址(PIP, VIP)或者是內網IP地址(Dynamic IP, DIP)。
通過Point-to-Site VPN的方式,就可以直接存取到Azure虛擬機器的內網IP地址DIP來管理,Azure上的虛擬機器不會暴露任何公網訪問連接埠
- 缺點:建立Azure VPN Gateway會產生一定的費用。另外Azure VPN軟體只能支援Windows用戶端,MAC或者Linux暫不支援。
C公司是通過跳板機的方式,來保護Azure虛擬機器的
關於Bastion Host的文檔很多,這裡我就不詳細說明了。
除了以上幾種訪問方式,我們還需要注意以下幾點:
1.一個使用者一個賬戶,不要使用公用賬戶
2.使用者的訪問日誌一定要開啟
3.Linux VM一定要通過SSH Key訪問
4.使用Azure Backup Service保護虛擬機器,當發生問題的時候可以通過備份復原
Azure Backup (3) 使用Azure恢複服務,備份Azure虛擬機器
5.資料庫建議採用資料加密方式(對稱式加密、非對稱式加密、透明資料加密等),保護資料庫服務
Windows Azure Virtual Machine (34) 保護Azure虛擬機器