Лучший способ настроить правило NSG для клиента мобильного приложения и размещенного API Service Fabric

Question

У нас есть следующая структура для моего приложения.в настоящее время мы использовали Any для источника и получателя (на порту 3389) при определении правила NSG для нашей Service Fabric, чтобы разрешать вызовы из мобильного приложения.Но наша служба безопасности выразила озабоченность по поводу правила Any-Any.Есть ли способ оптимизировать это?

Примечание: наше мобильное приложение является общедоступным, и любой желающий может загрузить его из магазина приложений.

Answer 1

Правило «Любое к любому» действительно открывает SF для присоединения, поэтому вам следует ограничить IP-адрес вашего диспетчера трафика, учитывая вашу текущую модель.

В управлении API Azure уже встроена поддержка Service Fabric, поэтому я предлагаю удалитьдиспетчер трафика между управлением API и SF.Тогда вы можете ограничить трафик SF только из управления API, что намного проще.

https://docs.microsoft.com/en-us/azure/service-fabric/service-fabric-api-management-overview

Требование аутентификации вы можете делегировать это управлению API, то есть проверить токен JWT.