Zabezpečené používání spravované instance Azure SQL s veřejnými koncovými body

  • Článek
  • 2 min ke čtení

platí pro: spravovaná Instance Azure SQL

Spravovaná instance Azure SQL může poskytovat možnosti připojení uživatelů přes veřejné koncové body. Tento článek vysvětluje, jak tuto konfiguraci zabezpečit.

Scénáře

Azure SQL Managed Instance poskytuje privátní koncový bod, který umožňuje připojení z její virtuální sítě. Výchozí možností je poskytnout maximální izolaci. Existují však scénáře, kdy je potřeba zadat připojení veřejného koncového bodu:

  • Spravovaná instance se musí integrovat s nabídkami PaaS (platforma jako služba) s více tenanty.
  • Potřebujete vyšší propustnost výměny dat, než je možné, když používáte síť VPN.
  • Firemní zásady zakazují PaaS uvnitř firemních sítí.

Nasazení spravované instance pro přístup k veřejnému koncovému bodu

I když to není povinné, běžným modelem nasazení pro spravovanou instanci s přístupem k veřejnému koncovému bodu je vytvoření instance ve vyhrazené izolované virtuální síti. V této konfiguraci se virtuální síť používá jenom k izolaci virtuálního clusteru. Nezáleží na tom, jestli se adresní prostor IP adres spravované instance překrývají s adresním prostorem IP adres podnikové sítě.

Zabezpečení dat v pohybu

SQL Datový provoz spravované instance je vždy šifrovaný, pokud klientský ovladač podporuje šifrování. Data odesílaná mezi spravovanou instancí a jinými virtuálními počítači Azure nebo službami Azure nikdy neopustí páteřní síť Azure. Pokud existuje připojení mezi spravovanou instancí a místní sítí, doporučujeme použít Azure ExpressRoute. ExpressRoute pomáhá vyhnout se přesouvání dat přes veřejný internet. U privátního připojení spravované instance je možné použít pouze privátní partnerský vztah.

Uzamčení příchozího a odchozího připojení

Následující diagram znázorňuje doporučené konfigurace zabezpečení:

Konfigurace zabezpečení pro uzamykání příchozího a odchozího připojení

Spravovaná instance má veřejnou adresu koncového bodu vyhrazenou pro zákazníka. Tento koncový bod sdílí IP adresu s koncovým bodem pro správu, ale používá jiný port. V odchozí bráně firewall na straně klienta a v pravidlech skupiny zabezpečení sítě nastavte tuto IP adresu veřejného koncového bodu, abyste omezili odchozí připojení.

Pokud chcete zajistit, aby provoz do spravované instance pocházet z důvěryhodných zdrojů, doporučujeme připojit se ze zdrojů se známými IP adresami. Pomocí skupiny zabezpečení sítě omezte přístup k veřejnému koncovému bodu spravované instance na portu 3342.

Pokud klienti potřebují iniciovat připojení z místní sítě, ujistěte se, že je původní adresa přeložená na známou sadu IP adres. Pokud to nemůžete udělat (například mobilní pracovníci jsou typickým scénářem), doporučujeme použít připojení VPN point-to-site a privátní koncový bod.

Pokud se připojení s zahájila z Azure, doporučujeme, aby provoz pošla z dobře známé přiřazené virtuální IP adresy (například virtuálního počítače). Pokud chcete správu virtuálních IP adres (VIP) usnadnit, můžete použít předpony veřejných IP adres.

Další kroky