10、Azure网络安全与密钥管理全解析

Azure网络安全与密钥管理全解析

1. Azure网络安全服务概述

Azure提供了多种网络安全服务，以满足不同场景下的安全需求。

1.1 Azure DDoS标准防护

Azure DDoS标准防护计划提供了一系列额外功能：
- 保证可用性
- 成本保护
- 自定义缓解策略
- 指标和警报
- 缓解报告和流量日志
- DDoS快速响应支持

该防护是租户级别的服务，默认可保护多达100个公共IP地址，超过100个则需额外收费。无需在每个订阅中部署实例，一个实例就能保护多个订阅中租户的所有端点。不过，标准计划默认以100个IP地址为一组，仅在多个端点需要保护时使用。对于应用层的特定资源攻击，可考虑使用应用程序网关和前门的Web应用程序防火墙。

1.2 Azure Bastion

在运行IaaS时，暴露RDP（端口3389）或SSH（端口22）等管理端口存在安全风险，因为恶意行为者会不断扫描公共网络以寻找暴露的端点。通常可通过创建跳转框（一个VM）来缓解此问题，在连接到网络中的其他VM之前，先安全地连接到该跳转框。

Azure Bastion则提供了通过浏览器和Azure门户连接到VM的能力。与跳转框类似，它提供了一种安全连接到虚拟网络的方式，但它是完全托管的服务，无需像跳转框那样进行维护和更新。借助Azure Bastion，我们可以通过TLS从Azure门户通过RDP/SSH安全地访问VM。

2. 其他VNet安全选项

对于大型企业组织，混合云环境可能变得复杂且难以管理和安全防护。在这种情况