Share via

Gouvernance et sécurité pour SQL Managed Instance avec Azure Arc

  • Article

Cet article expose les principaux éléments de conception à prendre en considération ainsi que les bonnes pratiques en matière de gouvernance, de sécurité et de conformité pour vous aider à planifier et à implémenter des déploiements SQL Managed Instance avec Azure Arc. Contrairement à la documentation sur la zone d’atterrissage à l’échelle de l’entreprise qui aborde la question de la gouvernance et de la sécurité dans des rubriques distinctes, ces domaines de conception critiques sont regroupés dans une même rubrique pour SQL Managed Instance avec Arc.

Architecture

Le diagramme suivant présente une architecture conceptuelle de référence qui décrit les domaines de conception relatifs à la sécurité, à la conformité et à la gouvernance pour SQL Managed Instance avec Arc :

Diagram showing enterprise-scale security and governance for Azure Arc-enabled SQL Managed Instance.

Remarques relatives à la conception

Cette section présente les éléments de conception à prendre en considération lors de la planification de la sécurité et de la gouvernance de votre instance SQL Managed Instance avec Arc.

Passez en revue les domaines de conception relatifs à la sécurité et à la gouvernance des zones d’atterrissage Azure pour évaluer l’effet de SQL Managed Instance avec Azure Arc sur vos modèles globaux de gouvernance et de sécurité.

Disciplines de gouvernance

  • Penchez-vous sur le domaine de conception critique relatif à l’organisation des ressources pour connaître les bonnes pratiques en matière de mise en application de la gouvernance dans votre zone d’atterrissage.
  • Examinez et mettez en application la convention d’affectation de noms de votre organisation pour vos ressources hybrides comme SQL Managed Instance avec Arc, le contrôleur de données et l’emplacement personnalisé.
  • Passez en revue les profils de configuration intégrés pour le mode Connecté indirectement et déterminez si des profils personnalisés sont nécessaires selon votre infrastructure Kubernetes.

Confidentialité et résidence des données

  • Déterminez dans quelles régions Azure vous envisagez de déployer SQL Managed Instance avec Arc et vos contrôleurs de données en fonction de vos exigences de sécurité et de conformité, en tenant compte des exigences de souveraineté des données. Identifiez les données qui sont collectées à partir de vos ressources en mode Connecté directement et indirectement et planifiez en conséquence et en tenant compte des exigences de résidence des données de votre organisation.

Notes

À aucun moment Microsoft ne reçoit des données de base de données, seulement des données opérationnelles, des données de facturation et d’inventaire, des diagnostics et des données du Programme d’amélioration de l’expérience utilisateur (CEIP).

Sécurité des clusters

  • Votre instance SQL Managed Instance avec Arc peut résider sur des clusters Kubernetes hybrides ou multiclouds. Penchez-vous sur les considérations relatives à la sécurité et à la gouvernance pour le fournisseur de cloud et la distribution Kubernetes de votre choix.
  • Penchez-vous sur les éléments de conception à prendre en considération dans le domaine de conception des disciplines de gouvernance et de sécurité de Kubernetes avec Azure Arc.

Sécurité du réseau

  • Penchez-vous sur le domaine de conception critique relatif à la connectivité réseau pour connaître les bonnes pratiques et obtenir de l’aide.
  • Déterminez quel mode de connectivité utiliser pour votre instance SQL Managed Instance avec Arc en fonction des exigences de sécurité et de conformité de votre organisation.
  • Selon l’emplacement de déploiement de votre cluster, considérez les ports réseau et des points de terminaison qui sont nécessaires au monitoring de votre instance SQL Managed Instance avec Arc à l’aide de Grafana et Kibana.
  • Au moment de créer le contrôleur de données, déterminez quel type de service Kubernetes vous allez utiliser : LoadBalancer ou NodePort.

Gestion de l’identité et de l’accès

  • Penchez-vous sur la gestion des identités et des accès pour SQL Managed Instance avec Arc pour connaître les bonnes pratiques et obtenir de l’aide.
  • Au moment de réfléchir à la séparation des tâches et aux exigences d’accès à privilèges minimum, définissez l’administration de cluster, les opérations, l’administration de base de données et les rôles de développeur au sein de votre organisation. L’attribution d’actions et de responsabilités à chaque équipe détermine les rôles de contrôle d’accès en fonction du rôle (RBAC) Azure ou les objets Kubernetes ClusterRoleBinding et RoleBinding en fonction du mode de connectivité utilisé.
  • Envisagez d’utiliser une matrice RACI (parties responsables, comptables, consultées et informées) pour soutenir cet effort. Intégrez des contrôles dans la hiérarchie de l’étendue de gestion que vous définissez en vous basant sur l’aide relative à la cohérence des ressources et à la gestion d’inventaire.
  • Le déploiement du contrôleur de données Azure Arc nécessite certaines autorisations qui peuvent être considérées comme des privilèges élevés, telles que la création d’un espace de noms Kubernetes ou la création d’un rôle de cluster. Identifiez les autorisations nécessaires pour éviter les privilèges excessifs.
  • Choisissez le modèle d’authentification à utiliser dans votre instance SQL Managed Instance avec Arc, qu’il s’agisse de l’authentification Microsoft Entra ou SQL. Penchez-vous sur le domaine de conception relatif à la gestion des identités et des accès pour connaître les éléments de conception à prendre en considération et obtenir des recommandations dans le choix du mode d’authentification.
  • Prenez en considération les différences entre un keytab géré par le système et un keytab géré par le client pour déployer le connecteur AD Azure Arc en vue de la prise en charge de l’authentification Microsoft Entra dans SQL Managed Instance avec Arc. Ces deux méthodes se caractérisent par des opérations simplifiées par rapport au contrôle total par le client de la gestion des comptes de service et du keytab en vue de la prise en charge de l’authentification Microsoft Entra.

Sécurité de SQL Managed Instance avec Azure Arc

  • Choisissez le mode de connectivité en évaluant les avantages et les inconvénients d’avoir ou non une connexion directe à Azure et en tenant compte de la façon dont vos instances hybrides et multiclouds peuvent être affectées en utilisant les fonctionnalités de sécurité actuelles et futures permises par Azure.
  • Penchez-vous sur les fonctionnalités de sécurité disponibles dans SQL Managed Instance avec Arc pour vos charges de travail de données.
  • Déterminez quelle plateforme de stockage utiliser pour les volumes persistants de vos clusters Kubernetes et identifiez les fonctionnalités de sécurité à disposition pour sécuriser les données résidant sur les volumes persistants. Penchez-vous sur le domaine de conception critique des disciplines de stockage pendant que vous concevez votre zone d’atterrissage.
  • Passez en revue les exigences et l’architecture de Transparent Data Encryption avant de l’activer sur votre instance SQL Managed Instance avec Arc.
  • Réfléchissez aux différents emplacements où vous pouvez stocker vos informations d’identification Transparent Data Encryption en fonction des stratégies et procédures de gestion des clés de chiffrement de votre organisation.
  • Lorsque vous déployez SQL Managed Instance avec Arc en mode Connecté indirectement, choisissez l’autorité de certification qui fournira le certificat géré par l’utilisateur en fonction des exigences de sécurité et de conformité de votre organisation.
  • Le déploiement de SQL Managed Instance avec Arc en mode Connecté directement fournit un certificat géré par le système avec des fonctionnalités de rotation automatique. En mode Connecté indirectement, une intervention manuelle est nécessaire pour procéder à la rotation d’un certificat géré par l’utilisateur. Prenez en considération les opérations manuelles et des exigences de sécurité au moment de choisir le mode de connectivité à déployer.
  • Tenez compte de la nécessité de tenir à jour votre instance SQL Managed Instance avec Arc avec les dernières versions, qu’elles soient déployées en mode Connecté directement ou indirectement. Penchez-vous sur le domaine de conception critique des disciplines de mise à niveau pour obtenir une aide supplémentaire.

Stratégie de monitoring

Recommandations de conception

Sécurité du réseau

  • Sécurisez vos tableaux de bord de monitoring Grafana et Kibana avec des certificats SSL/TLS pour la sécurité de la couche de transport.
  • Pour une meilleure disponibilité, utilisez LoadBalancer de Kubernetes comme type de service pendant le déploiement de SQL Managed Instance avec Arc.

Gestion des identités et des accès

  • Préférez l’utilisation de l’authentification Microsoft Entra pour décharger la gestion du cycle de vie utilisateur sur les services d’annuaire, et utilisez des groupes de sécurité dans Microsoft Entra ID pour gérer les autorisations d’accès utilisateur à la base de données SQL.
  • Utilisez le mode keytab géré par le système pour la prise en charge de l’authentification Microsoft Entra afin de décharger la gestion de compte de domaine et de keytab et simplifier les opérations.
  • Si l’authentification SQL est utilisée, adoptez des stratégies de mot de passe forts et activez l’audit pour superviser les identités utilisateur SQL et les autorisations accordées pour accéder aux bases de données et aux serveurs de base de données.
  • Dédiez un espace de noms Kubernetes au déploiement de contrôleur de données Azure Arc et attribuez des autorisations avec privilèges minimum pour le déploiement et la gestion.
  • Créez des mots de passe forts pour les tableaux de bord Grafana et Kibana et veillez à ce qu’il fassent régulièrement l’objet d’un audit et d’une rotation.
  • Supervisez le journal d’activité de SQL Managed Instance avec Arc et de vos contrôleurs de données pour auditer les différentes opérations qui se produisent au niveau de vos ressources hybrides. Créez des alertes pour des événements pertinents et intégrez-les à des outils SIEM (Security Information and Event Management), tels que Microsoft Sentinel pour le monitoring de la sécurité et la réponse aux incidents.

Sécurité de SQL Managed Instance avec Azure Arc

  • Dans la mesure du possible, choisissez le mode Connecté directement plutôt que le mode Connecté indirectement pour le déploiement de services de données compatibles avec Azure Arc et de SQL Managed Instance avec Arc pour bénéficier de tous les avantages actuels et futurs des fonctionnalités de sécurité associées au mode Connecté directement.
  • Activez Transparent Data Encryption chaque fois que possible pour chiffrer vos données au repos.
  • Pour une meilleure résilience, stockez vos informations d’identification Transparent Data Encryption sur des volumes persistants.
  • Utilisez les fonctionnalités de votre plateforme de stockage pour chiffrer les volumes persistants en fonction des exigences de sécurité et de conformité de votre organisation.
  • Veillez à mettre en place votre stratégie de sauvegarde en fonction de vos exigences en matière de récupération en cas de perte de données. Penchez-vous sur le domaine de conception critique de continuité d’activité et de reprise d’activité obtenir une aide supplémentaire.
  • Lorsque vous déployez en mode Connecté Indirectement, créez un processus pour assurer la rotation du certificat géré par l’utilisateur.
  • Veillez à disposer d’un processus visant à tenir à jour votre instance SQL Managed Instance avec Arc vers les dernières versions, indépendamment du mode de connectivité.

Stratégie de monitoring

  • Surveillez l’expiration des informations d’identification ou le modification du principal de service utilisé pour charger les métriques et les journaux dans Azure.
  • Créez un processus pour assurer la rotation des informations d’identification du principal de service en fonction des exigences de sécurité et de conformité de votre organisation.

Étapes suivantes

Pour plus d’informations sur votre parcours cloud hybride et multicloud, consultez les articles suivants :