Azure 私有端点和存储帐户用例
周一,也就是本周上旬,您正在查看 Microsoft Defender for Cloud 的发现结果,以确定下一个需要解决的候选警报,并提高您宝贵的“安全评分”。
“存储帐户应使用专用链接连接”,这看起来很简单,不是吗?
此警报可以通过使用专用端点 (Private Enpoint) 来解决,那么它是什么?我们如何实现它?
概述
Azure 专用端点 (Azure Private Endpoint) 是一个使用虚拟网络中的专用 IP 地址的网络接口。此网络接口将您以私密且安全的方式连接到由 Azure 专用链接 (Private Link) 提供支持的服务。通过启用专用端点,您将该服务引入您的虚拟网络。
该服务可以是 Azure 服务,例如:
- Azure 存储
- Azure Cosmos DB
- Azure SQL 数据库
- 您自己的服务,使用专用链接服务。
优势
- 专用连接:专用端点允许您通过虚拟网络中的专用连接访问 Azure 服务。这消除了对公共互联网访问的需求,减少了攻击面,并增强了应用程序的整体安全态势。
- 与公共互联网隔离:虚拟网络与 Azure 服务之间的流量会流经 Azure 主干网络,从而确保其与公共互联网保持隔离。这种隔离可最大限度地降低未经授权访问的风险,并有助于保护敏感数据。
- 默认安全:私有端点连接默认使用 Azure Private Link 服务策略进行保护。这意味着通信经过加密,访问受到控制,从而提供额外的安全保障。
- 子网级访问控制:私有端点允许您在子网级别控制对 Azure 服务的访问。这可以精细地控制虚拟网络中哪些子网可以访问相关服