要将两个或多个VNet连接在一起,可以使用VNet对等。但是,我注意到在我的组织中,有些组织使用NSG将VNet之间的IP地址列入白名单。这方面有什么优势或最佳做法吗?
icnyk63a1#
如果您可以避免将IP列入白名单,通常不建议这样做,遵循零信任模式。根据您的限制和组织规则,您可能希望利用具有中心辐射拓扑(或不具有中心辐射拓扑)的VNet Peering,甚至跨VNet/区域的Private Link实现PaaS(或负载均衡器后面的VM),以确保流量通过Microsoft Backbone.js 而不是通过Internet流动,IP欺骗是常见的攻击。对于这样的问题,我总是参考Microsoft Well-Architected Framework。
1条答案
按热度按时间icnyk63a1#
如果您可以避免将IP列入白名单,通常不建议这样做,遵循零信任模式。
根据您的限制和组织规则,您可能希望利用具有中心辐射拓扑(或不具有中心辐射拓扑)的VNet Peering,甚至跨VNet/区域的Private Link实现PaaS(或负载均衡器后面的VM),以确保流量通过Microsoft Backbone.js 而不是通过Internet流动,IP欺骗是常见的攻击。
对于这样的问题,我总是参考Microsoft Well-Architected Framework。