Security
為什麼我的 Web 伺服器應該在單獨的網路上?(天藍色)
剛開始,我完全理解網路伺服器應該在單獨的網路上,在 DMZ 中,不連接到域(或至少在不同的林中)。但是,我是網站開發人員,並在網路上提出了這個論點。
我提出的論點是,如果有人要獲得對 Web 伺服器的控制權,您不會希望在所述伺服器和 DC 之間存在信任關係。但我不完全理解如何驗證這種信任關係會導致問題。
換句話說,如何通過訪問網路上的 Web 伺服器來入侵企業網路,以及在談論具有站點到站點 VPN 到本地網路的 azure VNET 時,這些原則如何變化。
據我所知,單獨的 Vnet 或子網上的 Web 伺服器是更安全的解決方案。請參考下面的螢幕截圖:
Web 伺服器位於網路的前端。直接連接來自 Internet 的通信。傳入的數據包在到達後端伺服器之前應流經防火牆、IDS 和 IPS 等安全設備。來自工作負載的 Internet 綁定數據包還可以在離開網路之前流經外圍網路中的安全設備,以用於策略實施、檢查和審計目的。此外,外圍網路可以託管客戶虛擬網路和本地網路之間的跨界 VPN 網關。
更多資訊請參考這篇文章。