Изучение возможностей системы безопасности пакетной службы Azure
Приложения с массовым параллелизмом часто используются в отраслях, где важна безопасность, таких как банковское дело или страхование. Рассмотрите возможность использования следующих возможностей для повышения безопасности учетной записи пакетной службы Azure.
Частные конечные точки для учетной записи пакетной службы
Приватный канал Azure обеспечивает доступ к службам Azure PaaS и размещенным в Azure клиентским службам через частную конечную точку в вашей виртуальной сети. Приватный канал ограничивает доступ к учетной записи Batch из виртуальной сети или из любой одноранговой виртуальной сети. Ресурсы, сопоставленные с Приватным каналом, также доступны локально по частному пирингу через VPN или Azure ExpressRoute.
Чтобы использовать частные конечные точки, необходимо создать учетную запись пакетной службы и настроить ее соответствующим образом. Необходимо отключить конфигурацию доступа из общедоступной сети. После создания учетной записи пакетной службы вы можете создать частные конечные точки и связать их с учетной записью.
По умолчанию частная конечная точка является ресурсом Azure Resource Manager. Шаблон Azure Resource Manager (шаблон ARM) определяет инфраструктуру и конфигурацию, необходимые для развертывания, без написания последовательности программных команд. Развертывание шаблона ARM помогает создать виртуальную сеть, веб-приложение, частную конечную точку и частную зону DNS.
Пулы без общедоступных IP-адресов
По умолчанию всем вычислительным узлам в пуле пакетной службы назначается общедоступный IP-адрес. Этот адрес используется пакетной службой для планирования задач и для взаимодействия с вычислительными узлами, включая исходящий доступ в Интернет.
Чтобы ограничить доступ к этим узлам и уменьшить возможность обнаружения этих узлов из Интернета, вы можете подготовить пул без общедоступных IP-адресов. Эта функция чаще всего используется с частными конечными точками.
Шифрование дисков
С помощью пула пакетной обработки вы можете получать доступ и хранить данные на ОС и временных дисках вычислительного узла. Шифрование диска на стороне сервера с помощью ключа, управляемого платформой, защищает эти данные с низкими затратами и удобством.