Azure 网络安全组最佳实践

在Azure中定义网络安全组的最佳实践是什么

所有NIC都需要应用NSG，但为每个NIC创建一个NSG是最佳做法吗

---

最佳做法是为环境（开发、生产、登台）创建一个平台。

Microsoft与Internet安全中心合作开发

CIS Microsoft Azure Foundation基准测试。本文档包括关于网络安全最佳实践的一节。这是一份非常好的文档，其中包括保护Azure环境的各个步骤。这是Azure推荐文档

本文档详述的每个步骤都是Azure安全中心和Azure监视器的一部分

该文件受版权保护，因此我只能包含CIS网站的链接：

微软与互联网安全中心合作开发
CIS Microsoft Azure Foundation基准测试。本文档包括关于网络安全最佳实践的一节。这是一份非常好的文档，其中包括保护Azure环境的各个步骤。这是Azure推荐文档

本文档详述的每个步骤都是Azure安全中心和Azure监视器的一部分

该文件受版权保护，因此我只能包含CIS网站的链接：

老实说，您的网络或组织布局将有所不同。我绝对不会建议每个NIC使用一个NSG。NSG是为可重用而构建的，因此如果您有一组需要相同配置的VM，最好将它们全部连接到同一NSG

对于每个环境一个NSG，我建议不要这样做，因为它假设所有设备和服务的规则都是相同的。（我知道子网也可以是其中的一部分，但组织设置和/或管理所有这些的意愿如何）

如果它有助于将NSG视为入站/出站端口上的防火墙策略（仅允许/拒绝）。您会对每台机器或提供的PaaS分配相同的限制吗？可能不会。在每个环境中都是一样的，可能，但不太可能

至于部署和管理，我强烈建议利用模板，并将其与CI/CD管道相关联，并可能将其设置为夜间部署。如果用户手动配置NSG，这将防止网络上的配置漂移。
老实说，网络或组织的布局方式会有所不同。我绝对不会建议每个NIC使用一个NSG。NSG是为可重用而构建的，因此如果您有一组需要相同配置的VM，最好将它们全部连接到同一NSG

对于每个环境一个NSG，我建议不要这样做，因为它假设所有设备和服务的规则都是相同的。（我知道子网也可以是其中的一部分，但组织设置和/或管理所有这些的意愿如何）

如果它有助于将NSG视为入站/出站端口上的防火墙策略（仅允许/拒绝）。您会对每台机器或提供的PaaS分配相同的限制吗？可能不会。在每个环境中都是一样的，可能，但不太可能

至于部署和管理，我强烈建议利用模板，并将其与CI/CD管道相关联，并可能将其设置为夜间部署。如果用户手动配置NSG，这将防止网络上的配置漂移。
我认为这是一种很好的方法。我们如何知道什么适合您的特定环境？通常每个子网1个是可行的（至少从管理的角度来看这是有意义的），但谁知道您的网络设计要求是什么？确切地说，不是每个NIC一个NSG。通常每个环境一个，但视情况而定。还建议您查看Advisor（在Azure门户中），如果您没有遵循最佳实践，它将提示您。我认为这是一种广泛的方式。我们如何知道什么适合您的特定环境？通常每个子网1个是可行的（至少从管理的角度来看这是有意义的），但谁知道您的网络设计要求是什么？确切地说，不是每个NIC一个NSG。通常每个环境一个，但视情况而定。还建议签出Advisor（在Azure门户中），如果您没有遵循最佳实践，它将提示您。您的建议很好，但这不符合我在回答中提到的Microsoft CIS文档。微软确实推荐两个安全组。一个用于网络，另一个用于特定实例。这样做有很好的理由，其中一个原因是防止某些用户在允许更改第二个安全组的同时向网络级安全组添加规则。您是否有Microsoft的文档支持此操作？您是指如何将NSG部署到单独的资源组中，然后适当地锁定资源组？我同意这是一个很好的做法，可以区分谁可以更新哪些NSG。不引用任何分隔或硬编号的NSG。我在回答中提供了一个链接。您的建议很好，但这不符合我在回答中提到的Microsoft CIS文档。微软确实推荐两个安全组。一个用于网络，另一个用于特定实例。这样做有很好的理由，其中一个原因是防止某些用户在允许更改第二个安全组的同时向网络级安全组添加规则。您是否有Microsoft的文档支持此操作？您是指如何将NSG部署到单独的资源组中，然后适当地锁定资源组？我同意这是一个很好的做法，可以区分谁可以更新哪些NSG。不引用任何NSG的分离或硬编号。我在回答中提供了一个链接。