Share via

Configurer des règles de groupe de sécurité réseau Azure SQL Managed Instance pour qu’ils fonctionnent avec le registre confidentiel Azure

  • Article

S’applique à :Azure SQL Managed Instance

Une fois que vous avez activé le registre confidentiel Azure comme emplacement de synthèse sur votre instance managée Azure SQL, vous devez configurer manuellement les règles de réseau virtuel de votre instance managée Azure SQL pour communiquer avec le registre confidentiel Azure.

Dans cet article, vous apprendrez comment :

  • Configurez votre groupe de sécurité réseau SQL Managed Instance (NSG) et les règles de table de routage pour autoriser le trafic vers le registre confidentiel Azure.

Autorisations

En raison de la sensibilité des données dans une instance managée, la configuration permettant d’activer le point de terminaison public Azure SQL Managed Instance nécessite un processus en deux étapes. Cette mesure de sécurité est conforme à la séparation des tâches :

  • L’administrateur SQL Managed Instance doit activer le point de terminaison public sur SQL Managed Instance. Vous trouverez l’administrateur SQL Managed Instance dans la page Vue d’ensemble de votre ressource SQL Managed Instance.
  • Un administrateur réseau doit autoriser le trafic vers SQL Managed Instance à l’aide d’un groupe de sécurité réseau. Pour en savoir plus, consultez la liste des permissions du groupe de sécurité réseau.

Activer les règles de groupe de sécurité réseau sortantes pour le registre confidentiel Azure

Nous devons capturer les adresses IP du registre confidentiel Azure et les ajouter aux règles de groupe de sécurité réseau sortantes et à la table de routage de votre instance managée SQL.

Obtenir des adresses IP de point de terminaison de registre et de point de terminaison de service d’identité

Dans la page Vue d’ensemble du registre confidentiel Azure provisionné de l’Portail Azure, capturez le nom d’hôte du point de terminaison du registre. Acquérir l’adresse IP de votre instance de registre confidentiel Azure à l’aide d’un outil réseau similaire ou à l’aide ping d’un outil réseau similaire.

ping -a <ledgername>.confidential-ledger.azure.com

PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms

De même, effectuez la procédure pour l’instance Identity Service Endpointde Registre confidentiel Azure.

ping identity.confidential-ledger.core.azure.com

PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms

Ajouter des adresses IP aux règles de groupe de sécurité réseau sortantes

Ces deux adresses IP doivent être ajoutées aux règles de groupe de sécurité réseau sortantes de votre instance managée SQL.

  1. Dans le Portail Azure, accédez au groupe de sécurité réseau de votre instance managée SQL. Le groupe de sécurité réseau est une ressource distincte dans le groupe de ressources de votre instance managée SQL.

  2. Accédez au menu Règles de sécurité sortantes.

  3. Ajoutez les deux adresses IP obtenues dans la section précédente en tant que nouvelle règle de trafic sortant :

    Sélectionnez l’onglet Règles de sécurité sortantes et ajoutez une règle qui a une priorité supérieure à la règle de deny_all_inbound avec les paramètres suivants :

    Paramètre Valeur suggérée Description
    Source N’importe quelle adresse IP ou balise de service
    • Pour les services Azure tels que Power BI, sélectionnez la balise de service Azure Cloud
    • Pour votre ordinateur ou machine virtuelle Azure, utilisez l’adresse IP NAT.
    Plages de ports source * Laissez cela en tant que * (n’importe quel) comme ports sources sont généralement alloués dynamiquement et, par conséquent, imprévisibles
    Destination <1.123.123.123>, <13.107.246.70> Ajouter les adresses IP obtenues dans la section précédente pour le registre confidentiel Azure
    Plages de ports de destination 3342 Définissez la portée du port de destination sur 3342, qui est le point de terminaison TDS public de l’instance gérée
    service HTTPS SQL Managed Instance communique avec le registre via HTTPS
    Action Allow Autoriser le trafic sortant de l’instance managée au registre
    Priorité 1 500 Assurez-vous que cette règle présente une priorité plus élevée que la règle deny_all_inbound

    Screenshot of NSG outbound rules to enable SQL to communicate with the ledger.

Ajouter des adresses IP à la table de routage

Les deux adresses IP du registre confidentiel Azure doivent également être ajoutées à la table de routage :

  1. Dans le Portail Azure, accédez à la table Route de votre instance managée SQL. La table route est une ressource distincte dans le groupe de ressources de votre instance managée SQL.

  2. Accédez au menu Itinéraires sous Paramètres.

  3. Ajoutez les deux adresses IP obtenues dans la section précédente en tant que nouveaux itinéraires :

    Paramètre Valeur suggérée Description
    Nom de l’itinéraire Utiliser un nom préféré Nom que vous souhaitez utiliser pour cet itinéraire
    Type de destination Adresses IP Utilisez le menu déroulant et sélectionnez Adresses IP
    Plages d’adresses IP/CIDR de destination 1.123.123.123/32 Dans cet exemple, nous utilisons 1.123.123.123/32. Créez un autre itinéraire pour ajouter le point de terminaison de service d’identité, qui se trouve 13.107.246.70/32 dans cet exemple
    Type de tronçon suivant Internet

    Screenshot of adding a route for the VNET to the ledger.

Vérifier que le routage est correctement configuré

Vous pouvez confirmer que votre instance managée SQL est désormais en mesure de communiquer avec le registre confidentiel Azure en exécutant une vérification de base de données. La requête doit signaler que Ledger verification succeeded.

Contenu connexe