我正在将 Azure 上单个 VM Web 服务器的功能拆分到同一个 Vnet 上的两个 VM 上。
我想检查一下,我可以假设它们之间的流量是绝对隔离和私密的吗?
例如,一个将托管 SMTP 服务器,另一个将托管使用该服务器的 Web 应用程序。
忽略 STARTTLS 并在它们之间简单地发送明文凭证是否完全安全?
如果是这样,您能否指出微软确认此隐私的某种声明?
显然情况应当如此,但我发现很难对此给出明确的解释。
答案1
这里有一篇很长的文章讨论不同类型的隔离https://docs.microsoft.com/en-us/azure/security/fundamentals/isolation-choices
在这些子文章中,MS 提到了 Vlan 和网络隔离 https://docs.microsoft.com/en-us/azure/security/fundamentals/isolation-choices#vlan-isolation
https://docs.microsoft.com/en-us/azure/security/fundamentals/isolation-choices#networking-isolation
Azure 部署具有多层网络隔离。下图显示了 Azure 为客户提供的各种网络隔离层。这些层既是 Azure 平台本身的原生层,也是客户定义的功能强调文字
答案2
没有绝对 保证完美的网络隔离和隐私。
尽管其设计意图和目标是安全和私密,但您将使用共享环境,该环境使用软件在其他客户和您的虚拟网络之间创建逻辑边界。
有权访问物理基础设施的人可以破坏/覆盖这种逻辑分离。
此外,现在或将来(目前未知)的配置/代码/实现中可能存在缺陷,可能会泄露您的网络数据。
———
设置和使用传输加密的开销几乎可以忽略不计,如今的最佳做法是在私有和受信任的网络中使用它。