我有一个在 PaaS 架构上运行的 Azure 应用程序。要访问 Azure 资源(如 sql 或 add),我希望通过安全的虚拟机进行访问,而不是通过个人设备访问,而现在的情况就是如此。
当今的问题是,访问来自个人设备,可以是个人 PC 或笔记本电脑,其次,如果个人笔记本电脑受到威胁,则会带来风险。第三点,当来自个人设备时,IP 地址会从 ISP 更改,这意味着 SQL 防火墙需要多个上行地址条目,如果访问来自 VM,则可以消除管理公共 IP 地址条目的麻烦。
配置此设置的最佳方式是什么(跳转主机、堡垒主机、VPN)以及从灾难恢复的角度来看,是否可以拥有多个虚拟机进行访问。我正在寻找几个选项,并对成本影响以及是否可以按需提供一些评论。请注意,目前没有虚拟网络。
答案1
您可以通过应用条件访问策略来限制对某些 IP 地址的访问,从而限制对 Azure 门户的访问。这确实需要 Azure AD P2 许可证才能执行此操作。您可以查看执行此操作的示例这里
一旦启用 CA,就只需将您想要访问的资源的外部 IP 添加到策略中。