Azure DDoS 网络保护 和Azure build-in Policy

背景
在公司内部实施 Azure DDoS 保护计划时,我们选择了网络保护计划,而不是 IP 保护计划,这是由于我们公司运营的规模较大。

任务
我负责搭建基础设施和自动化,以无缝管理跨多个订阅的 DDoS 保护计划。这包括开发 Function App、Function 和 Logic App 配置,以自动创建和管理 DDoS 计划及其关联的虚拟网络(VNets)。与我们的订阅供应管道的集成也是关键要求。

行动
初步设计
首先,研究并对比了 Azure DDoS IP 保护计划和网络保护计划,最终确定选择网络保护计划。

Function App 开发
在 Function App 内开发代码,以便创建和关联 DDoS 计划与指定的虚拟网络(VNets)。确保支持添加和删除虚拟网络,以实现灵活性和回滚能力。DDoS 关联功能是在虚拟网络而不是 DDoS 计划中管理的。在分配 VNET 到 DDoS 计划之后,自动生成的 ARM 模板中的以下代码至关重要:

“enableDdosProtection”: true,
“ddosProtectionPlan”: {
“id”: “[parameters(‘ddosProtectionPlans_DDoS_Testonly_externalid’)]”
}

管道集成
将 Function App 集成到我们的订阅供应管道中,确保新订阅自动包含在配置的 DDoS 保护计划中。

利用 Azure Policy
在与团队评估了初始设置的复杂性后,我们决定通过利用具有补救功能的 Azure Policy 来简化管理 DDoS 保护配置。

策略实施
成功实施了 Azure 内置策略(Build-in Policy),以自动将所有虚拟网络包含在被提名的 DDoS 保护计划中。这一策略覆盖了现有和新订阅,确保了我们环境中的全面保护。

结果
采用 Azure Policy 来管理 DDoS 保护非常有效,显著减少了复杂性和未来的维护工作。这一方法通过支持豁免和控制模式(审核或修改),提供了灵活性,确保了强大的安全措施,同时最小化了管理负担。

总结
通过对不同解决方案的探索和团队协作决策,我们优化了 Azure DDoS 保护的方法。通过实施 Azure Policy,我们不仅增强了安全态势,还简化了操作,实现了长期效率。

学习很有趣!
#Azure #DevOps #SecOps #DevSecOps #Cloud #Security #Network #STAR

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93700.html

Like (0)
速盾高防cdn的头像速盾高防cdn
Previous 2024年7月20日 上午3:24
Next 2024年7月23日

相关推荐

  • 卖上行流量平台,卖流量平台有哪些

    答:流量销售平台一般按照点击量、展示量、效果等进行收费。具体计费方式将根据服务内容和推广策略确定。 问:如何评估流量销售平台的效果? 答:评估一个流量销售平台的效果,可以从网站流量…

    DDOS防护 2024年5月16日
    0
  • 劫持dns换包

    导语: 嗨,大家好,我是速盾CDN小编。今天,我们将探讨一种网络攻击技术——劫持DNS换包。在当今数字化世界中,网络安全问题越来越受到关注。劫持DNS换包作为一种潜在的网络攻击手段…

    2024年5月17日
    0
  • 高防服务器小知识,网游高防服务器

    介绍: 如果您是一名游戏玩家,您可能遇到过这样的情况:您正兴奋地开始游戏并投入激烈的战斗,却被网络延迟或断线等问题打断。这样的烦恼不仅影响游戏体验,还让人感到无奈。作为一名专门研究…

    DDOS防护 2024年5月18日
    0
  • 初一什么编程语言最好

    编程语言的选择取决于您的个人兴趣和未来目标,但Python、Scratch、JavaScript对于三个七年级学生来说是一个不错的选择。Python由于其语法简单且易于阅读而被广泛…

    DDOS防护 2024年5月17日
    0

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注