17、深入解析 Azure 安全与迁移场景

深入解析 Azure 安全与迁移场景

1. Azure 基础安全实施

在 Azure 环境中，默认情况下所有子网都是可路由的。为了基于网络安全组（NSGs）实现基本安全，最佳实践是先在子网之间实施流量控制。当通过 VPN 或 ExpressRoute 连接到本地网络后，确保阻止来自互联网的所有不必要流量，并通过如 DMZ 隔离所有面向互联网的服务或虚拟机至关重要。

2. 网络虚拟设备

Azure 虽有内置的广泛网络保护功能，可抵御 DDoS 等外部威胁，但主要是保护 Azure 平台本身。当一个客户受到 DDoS 攻击时，不会影响其他客户，但用户仍需保护自己的实例。
对于高级网络过滤或路由场景，Azure 提供网络虚拟设备（NVAs）。这些设备可从市场部署，是来自 Barracuda、Cisco 或 F5 等供应商的第三方解决方案。若市场设备无法满足需求，也可基于虚拟机创建 NVA，例如使用 pfSense 等免费防火墙解决方案用于测试环境。
要在 Azure 中使用这些设备，需通过用户定义路由（UDRs）引导网络流量。UDRs 可用于控制虚拟网络中的流量流向。常见应用场景如下：
- 分离企业和 Azure 网络（如对通过 VPN 的流量进行额外扫描）
- 替代 Azure VPN 网关设置 VPN 隧道
- 广域网优化器架构
- 特定扫描，如 Web 应用程序过滤、额外的 DDoS 保护、入侵检测/防御系统（IPS/IDS）场景或其他详细流量分析

UDRs 还可用于配置强制隧道，以控制出站互联网流量并满足合规性规则。通过 UDRs，出站流量被路由回公司网络，然后再重定向到互联网，这有助于实施如防