背景
在公司内部实施 Azure DDoS 保护计划时,我们选择了网络保护计划,而不是 IP 保护计划,这是由于我们公司运营的规模较大。
任务
我负责搭建基础设施和自动化,以无缝管理跨多个订阅的 DDoS 保护计划。这包括开发 Function App、Function 和 Logic App 配置,以自动创建和管理 DDoS 计划及其关联的虚拟网络(VNets)。与我们的订阅供应管道的集成也是关键要求。
行动
初步设计
首先,研究并对比了 Azure DDoS IP 保护计划和网络保护计划,最终确定选择网络保护计划。
Function App 开发
在 Function App 内开发代码,以便创建和关联 DDoS 计划与指定的虚拟网络(VNets)。确保支持添加和删除虚拟网络,以实现灵活性和回滚能力。DDoS 关联功能是在虚拟网络而不是 DDoS 计划中管理的。在分配 VNET 到 DDoS 计划之后,自动生成的 ARM 模板中的以下代码至关重要:
“enableDdosProtection”: true,
“ddosProtectionPlan”: {
“id”: “[parameters(‘ddosProtectionPlans_DDoS_Testonly_externalid’)]”
}
管道集成
将 Function App 集成到我们的订阅供应管道中,确保新订阅自动包含在配置的 DDoS 保护计划中。
利用 Azure Policy
在与团队评估了初始设置的复杂性后,我们决定通过利用具有补救功能的 Azure Policy 来简化管理 DDoS 保护配置。
策略实施
成功实施了 Azure 内置策略(Build-in Policy),以自动将所有虚拟网络包含在被提名的 DDoS 保护计划中。这一策略覆盖了现有和新订阅,确保了我们环境中的全面保护。
结果
采用 Azure Policy 来管理 DDoS 保护非常有效,显著减少了复杂性和未来的维护工作。这一方法通过支持豁免和控制模式(审核或修改),提供了灵活性,确保了强大的安全措施,同时最小化了管理负担。
总结
通过对不同解决方案的探索和团队协作决策,我们优化了 Azure DDoS 保护的方法。通过实施 Azure Policy,我们不仅增强了安全态势,还简化了操作,实现了长期效率。
学习很有趣!
#Azure #DevOps #SecOps #DevSecOps #Cloud #Security #Network #STAR
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93700.html
