47、网络安全与加密技术全解析

网络安全与加密技术全解析

网络安全基础

在网络安全领域，有两个关键的基础策略：一是将所有互联网入口流量路由到单一位置进行日志记录、检查和入侵检测；二是把所有互联网和本地出口流量路由到单一位置，以便通过数据丢失防护（DLP）系统进行管控。解决这些问题的方法是将PaaS端点（如果适用，还包括传出的隐含网络接口卡）注入虚拟网络（VNet），并且禁用公共端点。Azure采用了多种方法来解决这些问题，其中一个重要特性是，源自Azure的公共端点流量会在Azure的内部网络中路由，这使得该流量无需经过开放的互联网，从而得到更好的保护。

私有共享PaaS

PaaS服务可能包含以下几种需要进行私有化处理的端点组合：
- 数据平面的端点。
- 复杂服务（如Databricks、Synapse和AKS）控制平面的端点。
- 需要通过用户定义路由（UDR）路由到出口控制网络虚拟设备的出口调用。
- 直接通过专用网络使用数据源。

服务端点与私有端点

服务端点是早期用于在私有VNet中保护共享PaaS的技术，可将其视为自动管理的防火墙。虽然公共DNS条目和IP地址仍然存在，但除了包含服务端点的子网外，防火墙会拒绝其他连接请求。不过，如今私有端点已经取代了服务端点。私有端点会将虚拟网络接口卡（NIC）投影到你选择的VNet中，隐藏服务实例的公共IP地址。每个PaaS服务可以在不同的VNet和子网中拥有多个私有端点。在新环境中，建议使用私有端点而非服务端点，并将现有的使用服务端点的PaaS解决方案迁移到私有端点。

需要注意的是，“私有端点”和“私有链接”这两个术语常被混淆，但它们有所不同。私有链接是底层