保护Azure资源免受攻击

Question

我有某些azure资源，如AKS，redis，cosmos，APIM等。为了保护资源不受DDOS等攻击，我们将它们都放在私有vnet中，并使它们只能通过APIM访问。这是正确的方法吗？在这种情况下，我们只需要担心APIM的安全性。然而，与vnet相关的成本很高，我们正在评估其他选择。我看到的一件事是DDOS保护计划，它保护整个RG。因此，另一种方法是删除VNET，并使用DDOS保护计划保护RG。但是，有没有其他的攻击，即使使用DDOS保护计划也是可能的？解决这些问题的最好方法是什么？任何线索都会很有帮助

Answer 1

您可以使用cosmos的服务端点，并限制只能从vnet访问。对于aks，您可以使用k8s的loadbalanceripranges构造从api网关白名单ip。