Sicheres Verwenden einer verwalteten Azure SQL-Datenbank-Instanz mit öffentlichen EndpunktenUse an Azure SQL Database managed instance securely with public endpoints

Verwaltete Azure SQL-Datenbank-Instanzen können Benutzerkonnektivität über öffentliche Endpunkte bieten.Azure SQL Database managed instances can provide user connectivity over public endpoints. In diesem Artikel wird erläutert, wie Sie diese Konfiguration sicherer machen.This article explains how to make this configuration more secure.

SzenarienScenarios

Eine verwaltete Instanz von SQL-Datenbank bietet einen privaten Endpunkt, um Konnektivität aus ihrem virtuellen Netzwerk heraus zu ermöglichen.A SQL Database managed instance provides a private endpoint to allow connectivity from inside its virtual network. Die Standardoption ist das Bereitstellen maximaler Isolation.The default option is to provide maximum isolation. Es gibt jedoch Szenarien, in denen Sie eine Verbindung mit einem öffentlichen Endpunkt bereitstellen müssen:However, there are scenarios where you need to provide a public endpoint connection:

  • Die verwaltete Instanz muss in nur mehrinstanzenfähige Platform-as-a-Service-Angebote (PaaS) integriert werden.The managed instance must integrate with multi-tenant-only platform-as-a-service (PaaS) offerings.
  • Sie benötigen einen höheren Durchsatz des Datenaustauschs, als mit Verwendung eines VPN möglich ist.You need higher throughput of data exchange than is possible when you're using a VPN.
  • Verbot von PaaS innerhalb der Unternehmensnetzwerke durch UnternehmensrichtlinienCompany policies prohibit PaaS inside corporate networks.

Bereitstellen einer verwalteten Instanz für den Zugriff über den öffentlichen EndpunktDeploy a managed instance for public endpoint access

Auch wenn dies nicht unbedingt erforderlich ist, werden verwaltete Instanzen mit Zugriff auf einen öffentlichen Endpunkt meist in einem dedizierten isolierten virtuellen Netzwerk erstellt.Although not mandatory, the common deployment model for a managed instance with public endpoint access is to create the instance in a dedicated isolated virtual network. In dieser Konfiguration wird das virtuelle Netzwerk nur zur Isolation des virtuellen Clusters verwendet.In this configuration, the virtual network is used only for virtual cluster isolation. Es spielt keine Rolle, wenn der IP-Adressraum der verwalteten Instanz sich mit dem IP-Adressraum eines Unternehmensnetzwerks überschneidet.It doesn't matter if the managed instance's IP address space overlaps with a corporate network's IP address space.

Sichern von Daten während der ÜbertragungSecure data in motion

Der Datenverkehr verwalteter Instanzen wird immer verschlüsselt, wenn der Clienttreiber Verschlüsselung unterstützt.Managed instance data traffic is always encrypted if the client driver supports encryption. Datenübertragungen zwischen der verwalteten Instanz und anderen virtuellen Computern in Azure oder Azure-Diensten bleibt immer auf dem Backbone von Azure.Data sent between the managed instance and other Azure virtual machines or Azure services never leaves Azure's backbone. Wenn eine Verbindung zwischen der verwalteten Instanz und einem lokalen Netzwerk besteht, sollten Sie Azure ExpressRoute mit Microsoft-Peering verwenden.If there's a connection between the managed instance and an on-premises network, we recommend you use Azure ExpressRoute with Microsoft peering. Mit ExpressRoute vermeiden Sie das Verschieben von Daten über das öffentliche Internet.ExpressRoute helps you avoid moving data over the public internet. Für die private Konnektivität der verwalteten Instanz kann nur privates Peering verwendet werden.For managed instance private connectivity, only private peering can be used.

Sperren eingehender und ausgehender KonnektivitätLock down inbound and outbound connectivity

Das folgende Diagramm zeigt die empfohlenen Sicherheitskonfigurationen:The following diagram shows the recommended security configurations:

Sicherheitskonfigurationen für das Sperren eingehender und ausgehender Konnektivität

Eine verwaltete Instanz verfügt über eine dedizierte öffentliche Endpunktadresse.A managed instance has a dedicated public endpoint address. Legen Sie für die clientseitige ausgehende Firewall und in den Netzwerksicherheitsgruppen-Regeln diese IP-Adresse des öffentlichen Endpunkts fest, um ausgehende Konnektivität zu beschränken.In the client-side outbound firewall and in the network security group rules, set this public endpoint IP address to limit outbound connectivity.

Um sicherzustellen, dass Datenverkehr zur verwalteten Instanz aus vertrauenswürdigen Quellen stammt, sollten nur Verbindungen mit Quellen mit bekannten IP-Adressen hergestellt werden.To ensure traffic to the managed instance is coming from trusted sources, we recommend connecting from sources with well-known IP addresses. Verwenden Sie eine Netzwerksicherheitsgruppe, um den Zugriff auf den öffentlichen Endpunkt der verwalteten Instanz auf Port 3342 zu beschränken.Use a network security group to limit access to the managed instance public endpoint on port 3342.

Wenn Clients eine Verbindung von einem lokalen Netzwerk herstellen müssen, stellen Sie sicher, dass die ursprüngliche Adresse in eine Gruppe bekannter IP-Adressen übersetzt wird.When clients need to initiate a connection from an on-premises network, make sure the originating address is translated to a well-known set of IP addresses. Wenn das nicht möglich ist (eine mobile Belegschaft ist z.B. ein typisches Szenario), sollten Sie Point-to-Site-VPN-Verbindungen und einen privaten Endpunkt verwenden.If you can't do so (for example, a mobile workforce being a typical scenario), we recommend you use point-to-site VPN connections and a private endpoint.

Wenn Verbindungen von Azure aus gestartet werden, sollte der Datenverkehr von einer gut bekannten zugewiesenen virtuellen IP-Adresse (z.B. einem virtuellen Computer) kommen.If connections are started from Azure, we recommend that traffic come from a well-known assigned virtual IP address (for example, a virtual machine). Um die Verwaltung virtueller IP-Adressen (VIP) zu vereinfachen, sollten Sie öffentliche IP-Adresspräfixe verwenden.To make managing virtual IP (VIP) addresses easier, you might want to use public IP address prefixes.

Nächste SchritteNext steps