Сценарии для AzureKeyVault в качестве метки обслуживания во входящем правиле NSG

Question

Сценарии для AzureKeyVault в качестве метки обслуживания во входящем правиле NSG

Я новичок в сети и у меня есть несколько вопросов, касающихся некоторых тегов службы в Azure NSG.

Если вы видите ниже, Azure имеет несколько опций для меток сервиса при определении входящих правил NSG. Но я не смог понять сценарии для AzureKeyVault, Storge, Cosmos DB и т. Д., В каких случаях эти службы инициируют запрос? Зачем нам нужны эти сервисные теги во входящем NSG.

0

network-security-groups

Источник

user2098666 11 окт '18 в 02:29

1 ответ

Решение

Другие вопросы по тегам network-security-groups

user9833314 11 окт '18 в 07:47 2018-10-11 07:47 · Accepted Answer · 2018-10-11 07:47

Но я не смог понять сценарии для AzureKeyVault, Storage, Cosmos DB и т. Д., В каких случаях эти службы инициируют запрос? Зачем нам нужны эти сервисные теги во входящем NSG.

Это не очень хорошее понимание для сервисных тегов во входящей NSG, как для исходящей NSG. Например, если вы хотите запретить весь исходящий интернет-трафик и разрешить только трафик для определенных служб Azure, таких как AzurekeyVault или AzureCosmosDB. Вы можете сделать это, используя служебные теги в качестве пункта назначения в ваших правилах исходящих сообщений NSG.

Аналогично, если вы хотите разрешить или запретить трафик от службы Azure в виртуальной сети, IP-адресе или группе безопасности приложения. Вы можете сделать это, используя служебные теги в качестве источника в правилах входящих NSG. Например, вы можете установить метку службы AppService и конкретные IP-адреса (некоторые конкретные IP-адреса виртуальной машины) в качестве места назначения, затем вы можете ограничить AppService для доступа к ресурсам вашей виртуальной машины, таким как API или база данных.

Для получения дополнительной информации вы можете просмотреть сценарии обеспечения безопасности службы Azure.