none
Esporre in sicurezza applicazioni su AZure (was: Azure VPN Tunneling) RRS feed

  • Domanda

  • Ciao a tutti,

    ho recentemente iniziato ad usare Azure in modalità IaaS e mi chiedevo se, usando una combinazione di VPN e Routing avanzato, sia possibile forzare il reindirizzamento del traffico attraverso una Virtual Machine (con Intrusion Detection System installato) che lascia passare il traffico lecito ad un cluster di VM, responsabili di visualizzare il sito web vero e proprio.

    Sviluppo su Mac, quindi non ho accesso alla Powershell di Azure con i comandi avanzati per il routing.

    E' possibile sviluppare una infrastruttura di questo tipo? Oppure conviene creare una semplice VM senza VPN associato?

    Grazie a tutti per l'attenzione


    giovedì 12 novembre 2015 17:02

Risposte

  • i datacenter di Azure ti mettono a disposizione una infrastruttura che è già di per se sicura.

    il livello di sicurezza può essere abbassato solo se l'applicazione che viene creata è disegnata o architettata male ad esempio aprendo end points di comunicazione inutili o sbagliando l'uso di account di servizio o ecc.ecc. 

    ad esempio, di default un sql azure può essere acceduto solo dalla console di management di Azure, se lo si desidera si può aprire un altro endpoint indicando un ip statico da cui ci si vuole collegare usando SSMS.

    i miei sono solo esempi per dirti che molto dipende da cosa deve fare la tua applicazione e come è disegnata.

    già mi sfugge il perchè tu faccia ospitare la tua applicazione su vm in azure invece di usare una webapp o un cloud service ma magari hai dei motivi che ti spingono a farlo di cui , se vuoi , ne parliamo.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 17 novembre 2015 09:41
    Moderatore

Tutte le risposte

  • Ciao gr casanova,

    Spostero il tuo thread sul Hyper-V siccome non e un thread per sviluppo di Azure, ma piu tosto una domanda per Hyper-V e funzionamento. 

    Saluti

    Yordan


    • Microsoft offre questo servizio gratuitamente, per aiutare gli utenti e aumentare il database dei prodotti e delle tecnologie. Il contenuto fornito “as is“ non comporta alcuna responsabilità da parte dell’azienda.

    venerdì 13 novembre 2015 09:39
    Moderatore
  • puoi esporre solo l'esigenza che hai senza fornire una parziale soluzione che ci può indurre su una strada sbagliata ?

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 16 novembre 2015 15:53
    Moderatore
  • Vorrei aggiungere un ulteriore layer di sicurezza, evitando di esporre direttamente le macchine virtuali, velocizzare il trasferimento dati tra il backend e il DBserver e impedire accessi terzi (HTTP e SSH) al DBserver.
    martedì 17 novembre 2015 08:55
  • i datacenter di Azure ti mettono a disposizione una infrastruttura che è già di per se sicura.

    il livello di sicurezza può essere abbassato solo se l'applicazione che viene creata è disegnata o architettata male ad esempio aprendo end points di comunicazione inutili o sbagliando l'uso di account di servizio o ecc.ecc. 

    ad esempio, di default un sql azure può essere acceduto solo dalla console di management di Azure, se lo si desidera si può aprire un altro endpoint indicando un ip statico da cui ci si vuole collegare usando SSMS.

    i miei sono solo esempi per dirti che molto dipende da cosa deve fare la tua applicazione e come è disegnata.

    già mi sfugge il perchè tu faccia ospitare la tua applicazione su vm in azure invece di usare una webapp o un cloud service ma magari hai dei motivi che ti spingono a farlo di cui , se vuoi , ne parliamo.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 17 novembre 2015 09:41
    Moderatore
  • Il DBserver è una vm con una istanza mysql, immagino che eliminando tutti gli endpoint vi possa accedere (da una altra VM ospitata su Azure) usando l'IP interno, giusto? Preferisco una VM ad una web app principalmente per la scarsa compatibilità tra IIS e PHP e la maggior stabilità di una piattaforma Unix (Debian, in particolare).
    martedì 17 novembre 2015 10:59
  • Non riesco a far capire a Yordan che questo thread è più di impronta Dev che IT pro ma non importa :)

    non voglio insistere ma ti consiglio di leggerti e testare i due link che metto qui sotto

    Come creare un database MySQL in Azure

    Creazione di un'app Web PHP-MySQL in Servizio app di Azure e distribuzione tramite Git

    se poi sei proprio convinto di mantenere l'infrastruttura di cui parli nel primo post, vediamo cosa si può trovare, anche se a mio avviso ti complichi la vita inutilmente e ti trascini dietro la responsabilità di configurare correttamente tutte le macchine implicate e tutta la connettività tra di esse.


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    martedì 17 novembre 2015 15:58
    Moderatore
  • Penso che comunque siamo arrivati ad una conclusione.

    Non cambio idea in merito all'uso di IIS assieme a PHP, binomio ampiamente sconsigliatomi, come del resto si può leggere in ogni forum di informatica.

    Tuttavia, se aprire direttamente endpoint HTTP sulla macchina virtuale non comporta rischi, nonostante l'assenza di un tunneling attraverso un IDS, allora preferisco questo approccio alla creazione di una infrastruttura di rete molto più complessa con costi indubbiamente maggiori.

    Grazie del supporto e degli utili consigli.

    martedì 17 novembre 2015 16:10