Principale utente con più risposte
Esporre in sicurezza applicazioni su AZure (was: Azure VPN Tunneling)

Domanda
-
Ciao a tutti,
ho recentemente iniziato ad usare Azure in modalità IaaS e mi chiedevo se, usando una combinazione di VPN e Routing avanzato, sia possibile forzare il reindirizzamento del traffico attraverso una Virtual Machine (con Intrusion Detection System installato) che lascia passare il traffico lecito ad un cluster di VM, responsabili di visualizzare il sito web vero e proprio.
Sviluppo su Mac, quindi non ho accesso alla Powershell di Azure con i comandi avanzati per il routing.
E' possibile sviluppare una infrastruttura di questo tipo? Oppure conviene creare una semplice VM senza VPN associato?
Grazie a tutti per l'attenzione
- Spostato Yordan IvanovMicrosoft contingent staff, Moderator venerdì 13 novembre 2015 09:39 Domanda per Hyper-V
- Modificato Edoardo BenussiMVP, Moderator martedì 17 novembre 2015 09:42 titolo più preciso
- Spostato Edoardo BenussiMVP, Moderator martedì 17 novembre 2015 09:42 forum più consono
- Spostato Yordan IvanovMicrosoft contingent staff, Moderator martedì 17 novembre 2015 12:54 Hyper-V domanda
Risposte
-
i datacenter di Azure ti mettono a disposizione una infrastruttura che è già di per se sicura.
il livello di sicurezza può essere abbassato solo se l'applicazione che viene creata è disegnata o architettata male ad esempio aprendo end points di comunicazione inutili o sbagliando l'uso di account di servizio o ecc.ecc.
ad esempio, di default un sql azure può essere acceduto solo dalla console di management di Azure, se lo si desidera si può aprire un altro endpoint indicando un ip statico da cui ci si vuole collegare usando SSMS.
i miei sono solo esempi per dirti che molto dipende da cosa deve fare la tua applicazione e come è disegnata.
già mi sfugge il perchè tu faccia ospitare la tua applicazione su vm in azure invece di usare una webapp o un cloud service ma magari hai dei motivi che ti spingono a farlo di cui , se vuoi , ne parliamo.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org- Proposto come risposta Fabrizio GiammariniMVP, Moderator martedì 17 novembre 2015 16:17
- Contrassegnato come risposta Fabrizio GiammariniMVP, Moderator domenica 22 novembre 2015 11:28
Tutte le risposte
-
Ciao gr casanova,
Spostero il tuo thread sul Hyper-V siccome non e un thread per sviluppo di Azure, ma piu tosto una domanda per Hyper-V e funzionamento.
Saluti
Yordan
• Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto fornito “as is“ non comporta alcuna responsabilità da parte dell’azienda.
-
puoi esporre solo l'esigenza che hai senza fornire una parziale soluzione che ci può indurre su una strada sbagliata ?
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
-
i datacenter di Azure ti mettono a disposizione una infrastruttura che è già di per se sicura.
il livello di sicurezza può essere abbassato solo se l'applicazione che viene creata è disegnata o architettata male ad esempio aprendo end points di comunicazione inutili o sbagliando l'uso di account di servizio o ecc.ecc.
ad esempio, di default un sql azure può essere acceduto solo dalla console di management di Azure, se lo si desidera si può aprire un altro endpoint indicando un ip statico da cui ci si vuole collegare usando SSMS.
i miei sono solo esempi per dirti che molto dipende da cosa deve fare la tua applicazione e come è disegnata.
già mi sfugge il perchè tu faccia ospitare la tua applicazione su vm in azure invece di usare una webapp o un cloud service ma magari hai dei motivi che ti spingono a farlo di cui , se vuoi , ne parliamo.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org- Proposto come risposta Fabrizio GiammariniMVP, Moderator martedì 17 novembre 2015 16:17
- Contrassegnato come risposta Fabrizio GiammariniMVP, Moderator domenica 22 novembre 2015 11:28
-
Il DBserver è una vm con una istanza mysql, immagino che eliminando tutti gli endpoint vi possa accedere (da una altra VM ospitata su Azure) usando l'IP interno, giusto? Preferisco una VM ad una web app principalmente per la scarsa compatibilità tra IIS e PHP e la maggior stabilità di una piattaforma Unix (Debian, in particolare).
-
Non riesco a far capire a Yordan che questo thread è più di impronta Dev che IT pro ma non importa :)
non voglio insistere ma ti consiglio di leggerti e testare i due link che metto qui sotto
Come creare un database MySQL in Azure
Creazione di un'app Web PHP-MySQL in Servizio app di Azure e distribuzione tramite Git
se poi sei proprio convinto di mantenere l'infrastruttura di cui parli nel primo post, vediamo cosa si può trovare, anche se a mio avviso ti complichi la vita inutilmente e ti trascini dietro la responsabilità di configurare correttamente tutte le macchine implicate e tutta la connettività tra di esse.
Edoardo Benussi
Microsoft MVP - Directory Services
edo[at]mvps[dot]org -
Penso che comunque siamo arrivati ad una conclusione.
Non cambio idea in merito all'uso di IIS assieme a PHP, binomio ampiamente sconsigliatomi, come del resto si può leggere in ogni forum di informatica.
Tuttavia, se aprire direttamente endpoint HTTP sulla macchina virtuale non comporta rischi, nonostante l'assenza di un tunneling attraverso un IDS, allora preferisco questo approccio alla creazione di una infrastruttura di rete molto più complessa con costi indubbiamente maggiori.
Grazie del supporto e degli utili consigli.