是否可以严格限制前端和后端Azure IaaS VM之间的入口和出口流量？

Question

我想使用IaaS VM在Azure上创建一个超偏执的hub-and-spoke DMZ设置.

我有一个面向前端服务器的公共互联网(即IIS网络服务器),我想严格锁定.但是,前端需要访问某些后端服务器(即数据库,域控制器等).我想确保:

1. 只有前端服务器才能与后端服务器通信,并且只能在商定的端口上进行通信.
2. 后端服务器无法从公共互联网接收或发送流量.
3. 后端服务器无法相互通信.
4. 这些规则在VM操作系统层之外强制执行,以提供深度防御.

这似乎是一个合理的方案,但我似乎无法在Azure上实现它.我能做的最接近的是:

• 创建IaaS VM前端并适当地限制其端点
• 使用"FrontEnd"和"BackEnd"子网创建Azure虚拟网络,将每台计算机放在适当的子网上.
• 防止RDP访问后端VM.如果我想将RDP连接到后端机器,我必须通过前端VM完成.
• 在每台计算机上设置Windows防火墙规则以强制执行这些中心辐射式规则.

这工作正常,但并不像我想的那样被锁定.我真的希望深度防御,这样我就不必依赖每台机器上的Windows/Linux防火墙设置.例如,假设后端服务器必须运行具有管理员凭据的应用程序(假设没有替代方案).我想要一个额外的保护层,以便后端服务器上的错误(或恶意查询)不能:

• 重新配置后端的防火墙以减少限制.
• 除了前端机器(包括公共互联网)之外,与其他任何人交谈.

据我所知,这在使用虚拟网络的Azure上是不可能的,因为:

• Azure虚拟网络似乎不公开ACL或任何其他高级过滤支持.
• Azure IaaS VM仅支持单个NIC,因此前端无法在前端和后端子网上进行多宿主.

我错过了什么吗？看起来我可能能够使用多个虚拟网络一起破解某些东西并将它们作为一堆/ 30个子网一起VPN,但这看起来非常糟糕.如果我无法在Azure上解决这个问题,我认为唯一合理的选择就是尝试使用虚拟私有云(VPC)在AWS上设置类似的东西.任何帮助/指导将不胜感激.

Answer 1

我收到了 Azure 团队的私人答复，实际上表明目前这是不可能的。这是一项要求的功能，但没有设定实施时间表。