Considerare le funzionalità per la sicurezza di Azure Batch
Le applicazioni di calcolo massicciamente parallele vengono spesso usate in settori particolarmente attenti all'aspetto della sicurezza, ad esempio il settore bancario o assicurativo. Per ottimizzare la sicurezza dell'account Azure Batch, è consigliabile usare le funzionalità seguenti.
Endpoint privati per un account Batch
Il collegamento privato di Azure consente l'accesso ai servizi PaaS (platform as a service) di Azure e ai servizi di proprietà del cliente ospitati in Azure tramite un endpoint privato nella rete virtuale del cliente. Il collegamento privato limita l'accesso a un account Batch dall'interno della rete virtuale o da qualsiasi rete virtuale con peering. Le risorse mappate al collegamento privato sono accessibili anche in locale tramite peering privato attraverso la VPN o Azure ExpressRoute.
Per usare endpoint privati, è necessario creare un account Batch e configurarlo nel modo appropriato. La configurazione dell'accesso alla rete pubblica deve essere disabilitata. Dopo aver creato l'account Batch, è possibile creare endpoint privati e associarli all'account.
Per impostazione predefinita, un endpoint privato è una risorsa di Azure Resource Manager. Un modello di Azure Resource Manager (modello di ARM) definisce l'infrastruttura e la configurazione che è necessario specificare per la distribuzione, senza scrivere una sequenza di comandi di programmazione. La distribuzione tramite modello di ARM consente di creare la rete virtuale, l'app Web, l'endpoint privato e la zona DNS privato.
Pool senza indirizzi IP pubblici
Per impostazione predefinita, a tutti i nodi di calcolo di un pool di Batch viene assegnato un indirizzo IP pubblico. Il servizio Batch usa questo indirizzo per pianificare le attività e per la comunicazione con i nodi di calcolo, incluso l'accesso in uscita a Internet.
Per limitare l'accesso a questi nodi e ridurne l'individuabilità da Internet, è possibile effettuare il provisioning del pool senza indirizzi IP pubblici. Questa funzionalità viene usata in genere con gli endpoint privati.
Crittografia del disco
Con un pool di Batch è possibile accedere e archiviare i dati nel sistema operativo e nei dischi temporanei del nodo di calcolo. La crittografia del disco lato server con una chiave gestita dalla piattaforma consente di proteggere questi dati in modo pratico e con sovraccarico ridotto.