Как ограничить локальный доступ к определенным конечным точкам в архитектуре распределенной виртуальной сети с помощью VPN типа «сеть-сеть»?

У меня есть вопрос по этой теме: https://learn.microsoft.com/en-us/answers/questions/1361035/how-to-allow-and-restrict-resources-in-site-to-sithttps ://learn.microsoft.com/en-us/answers/questions/1361035/how-to-allow-and-restrict-resources-in-site-to-sit.

Описание:

У меня есть виртуальная сеть с настроенным VPN-шлюзом, который действует как концентратор и имеет пиринг с тремя другими виртуальными сетями, в которых размещаются мои ресурсы для производства, тестирования и разработки. В каждой из этих виртуальных сетей существуют определенные конечные точки, к которым локальное устройство должно иметь доступ (адреса являются лишь примерами):

Производство: 10.100.1.2 Тестирование: 10.100.2.2 Разработка: 10.100.3.2

Согласно первой теме, мне следует изменить правила NSG во всех трех виртуальных сетях. Однако я нашел другую тему: https://learn.microsoft.com/en-us/answers/questions/767869/site-to-site-vpn-subjects-to-nsg, в которой говорится, что после поступления трафика сети Azure через VPN-шлюз в виртуальной сети концентратора, он считается исходящим из самой сети Azure. Следовательно, мои правила NSG не будут работать должным образом, и локальное устройство получит доступ ко всем моим ресурсам.

Как правильно решить эту проблему?

Вы можете использовать конечные точки службы или частные конечные точки, чтобы ограничить доступ к определенным ресурсам в каждой виртуальной сети.

Venkat V 25.07.2024 13:41

Некоторым соединениям может потребоваться доступ ко всем ресурсам, некоторые должны быть ограничены. Не проще ли добавить некоторые правила брандмауэра, например, в виртуальную сеть концентратора?

Freejack 25.07.2024 14:28

Да, добавление правил брандмауэра в виртуальную сеть концентратора действительно может обеспечить централизованный и эффективный способ управления требованиями к доступу для подключений, поступающих из вашей локальной сети через VPN-шлюз.

Venkat V 25.07.2024 14:38
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
Как установить LAMP Stack - Security 5/5 на виртуальную машину Azure Linux VM
В предыдущей статье мы завершили установку базы данных, для тех, кто не знает.
Как установить LAMP Stack 1/2 на Azure Linux VM
Как установить LAMP Stack 1/2 на Azure Linux VM
В дополнение к нашему предыдущему сообщению о намерении Azure прекратить поддержку Azure Database для MySQL в качестве единого сервера после 16...
0
3
54
1
Перейти к ответу Данный вопрос помечен как решенный

Ответы 1

Ответ принят как подходящий

Как ограничить локальный доступ к определенным конечным точкам в архитектуре распределенной виртуальной сети с помощью VPN типа «сеть-сеть»?

Чтобы ограничить локальный доступ к определенным устройствам в Azure VNet, вы можете использовать несколько методов. Ниже перечислены наиболее эффективные методы:

  1. Самый безопасный метод — использовать Azure Firewall, хотя это может быть не самый экономичный вариант.

  2. Второй подход заключается в использовании Network Security Groups, который является экономически эффективным и easiest способом.

Правило ГЯП

Если вы хотите заблокировать определенные конечные точки в виртуальной сети Azure из сети VPN, вы можете настроить правила группы сетевой безопасности. Вы можете указать правило NSG, указав в качестве источника VPN network range, а в качестве места назначения — IP-адреса или подсети ресурсов Azure-connected.

Конфигурация брандмауэра

Вы можете использовать Брандмауэр Azure в гибридной сети для ограничения трафика от VPN ranges до Azure Vnet.

Ссылки:

Фильтруйте сетевой трафик с помощью группы сетевой безопасности с помощью портала Azure

Как заблокировать сетевой трафик с помощью Azure Virtual Network Manager — портал Azure

Спасибо за такой подробный ответ! И последнее: с какими ресурсами мне следует связать правило брандмауэра/правила NSG? В случае с подсетью шлюза это невозможно, поэтому следует ли применять правила ко всем пиринговым виртуальным сетям?

Freejack 29.07.2024 07:50

Чтобы ограничить доступ виртуальной машины (ВМ) к VPN, вы можете добавить частный IP-адрес виртуальной машины в параметре назначения. Таким образом, если какой-либо пользователь попытается получить доступ к виртуальной машине через VPN, доступ будет заблокирован только для этой конкретной виртуальной машины.

Venkat V 29.07.2024 08:05

Спасибо. И если есть примерно 2 устройства с 2 разными IP-адресами, которые я подключаю S2S к моей подсети шлюза. У одного должен быть доступ, у второго - нет, тогда я должен добавить одно разрешающее и одно запрещающее правило к виртуальной машине NSG, с которой осуществляется пиринг. VN, где установлен Гатвей?

Freejack 29.07.2024 08:24

Да, указание IP-адреса устройства, подключенного к VPN, в разделе источника заблокирует подключение с этого IP-адреса к назначенному ресурсу Azure в пункте назначения. Однако IP-адрес устройства изменится после отключения VPN.

Venkat V 29.07.2024 08:35

Другие вопросы по теме

Как разрешить доступ по IP-адресу к StorageAccount в виртуальной сети Azure?
Функция Azure, работающая в виртуальной сети, не может подключиться к кэшу Redis Azure, занесенному в белый список
Общий доступ Azure Key Vault отключен, как получить к нему доступ через портал через Интернет
Пользовательское резервное копирование Службы приложений Azure в учетную запись хранения с поддержкой брандмауэра не работает должным образом
Бицепс: Как я могу дополнительно установить свойство?
Код развертывания Github не работает, когда приложение Func в виртуальной сети — ошибка аутентификации с использованием OIDC
Частные и сервисные конечные точки вместе
Почему фиксированный общедоступный IP-адрес будет потерян при обновлении службы приложений в Azure
Скопируйте данные общего доступа между подписками — здесь целевая подписка находится в виртуальной сети
Подключитесь к частной конечной точке службы приложений Azure