Menulis audit ke akun penyimpanan di belakang VNet dan Firewall

Berlaku untuk:Azure SQL DatabaseAzure Synapse Analytics

Audit untuk Azure SQL Database dan Azure Synapse Analytics mendukung penulisan peristiwa database ke akun Microsoft Azure Storage di belakang jaringan virtual dan firewall.

Artikel ini menjelaskan dua cara untuk mengonfigurasi Azure SQL Database dan akun penyimpanan Azure untuk opsi ini. Pertama menggunakan portal Microsoft Azure, kedua menggunakan REST.

Latar belakang

Azure Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan pribadi Anda di Azure. VNet memungkinkan banyak jenis sumber daya Azure, seperti Azure Virtual Machines (VM), untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal. VNet mirip dengan jaringan tradisional di pusat data Anda sendiri, tetapi membawa manfaat tambahan dari infrastruktur Azure seperti skala, ketersediaan, dan isolasi.

Untuk mempelajari selengkapnya tentang konsep VNet, Praktik terbaik, dan banyak lagi, lihat Apa itu Azure Virtual Network.

Untuk mempelajari selengkapnya tentang cara membuat jaringan virtual, lihat Mulai Cepat: Membuat jaringan virtual menggunakan portal Microsoft Azure.

Prasyarat

Agar audit dapat menulis ke akun penyimpanan di belakang VNet atau firewall, prasyarat berikut diperlukan:

• Akun penyimpanan tujuan umum v2. Jika Anda memiliki akun penyimpanan v1 tujuan umum atau blob, tingkatkan ke akun penyimpanan v2 tujuan umum. Untuk informasi selengkapnya, lihat Jenis akun penyimpanan.
• Penyimpanan premium dengan BlockBlobStorage didukung
• Akun penyimpanan harus berada di penyewa yang sama dan di lokasi yang sama dengan server SQL logis (boleh berada di langganan yang berbeda).
• Akun Microsoft Azure Storage memerlukan Allow trusted Microsoft services to access this storage account. Setel ini pada Akun Penyimpann Firewall dan jaringan Virtual.
• Anda harus memiliki Microsoft.Authorization/roleAssignments/write izin pada akun penyimpanan yang dipilih. Untuk informasi selengkapnya, lihat Peran bawaan Azure.

Catatan

Ketika Audit ke akun penyimpanan sudah diaktifkan di server / db, dan jika akun penyimpanan target dipindahkan di belakang firewall, kami kehilangan akses tulis ke akun penyimpanan dan log audit berhenti ditulis ke akun penyimpanan tersebut. Untuk membuat pekerjaan audit, kita harus menyimpan ulang pengaturan audit dari portal.

Mengonfigurasikan di portal Azure

Sambungkan ke portal Microsoft Azure dengan langganan Anda. Navigasi ke grup sumber daya dan server.

1. Klik Audit di bawah judul Keamanan. Pilih Aktif.

2. Pilih Penyimpanan. Pilih akun penyimpanan tempat log akan disimpan. Akun penyimpanan harus mematuhi persyaratan yang tercantum dalam Prasyarat.

3. Buka detail Storage

Catatan

Jika akun Storage yang dipilih berada di belakang VNet, Anda akan melihat pesan berikut:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Jika Anda tidak melihat pesan ini, maka akun penyimpanan tidak berada di belakang VNet.

4. Pilih jumlah hari untuk periode retensi. Lalu klik OK. Log yang lebih lama dari periode retensi akan dihapus.

5. Pilih Simpan pada pengaturan audit Anda.

Anda berhasil mengonfigurasi audit untuk menulis ke akun penyimpanan di belakang VNet atau firewall.

Mengonfigurasi dengan perintah REST

Sebagai alternatif untuk menggunakan portal Microsoft Azure, Anda dapat menggunakan perintah REST untuk mengonfigurasi audit untuk menulis peristiwa database pada akun penyimpanan di belakang VNet dan Firewall.

Contoh skrip di bagian ini mengharuskan Anda memperbarui skrip sebelum menjalankannya. Ganti nilai berikut dalam skrip:

Sampel nilai	Contoh deskripsi
<subscriptionId>	ID langganan Azure
<resource group>	Grup sumber daya
<logical SQL Server>	Nama server
<administrator login>	Akun administrator
<complex password>	Kata sandi kompleks untuk akun administrator

Untuk mengonfigurasi SQL Audit untuk menulis peristiwa ke akun penyimpanan di belakang VNet atau Firewall:

1. Daftarkan server Anda dengan ID Microsoft Entra (sebelumnya Azure Active Directory). Gunakan PowerShell atau REST API.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   REST API:

   Permintaan sampel

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   Isi permintaan

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. Tetapkan peran Kontributor Data Blob Penyimpanan ke server yang menghosting database yang Anda daftarkan dengan ID Microsoft Entra di langkah sebelumnya.

   Untuk langkah-langkah mendetail, lihat Menetapkan peran Azure menggunakan portal Azure.

   Catatan

   Hanya anggota yang memiliki hak istimewa Pemilik yang dapat melakukan langkah ini. Untuk mengetahui berbagai peran bawaan Azure, lihat Peran bawaan Azure.

3. Konfigurasikan kebijakan audit server blob, tanpa menentukan penyimpananAccountAccessKey:

   Permintaan sampel

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   Isi permintaan

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

Menggunakan Azure PowerShell

• Membuat atau Memperbarui Kebijakan Audit Database (Set-AzSqlDatabaseAudit)
• Membuat atau Memperbarui Kebijakan Audit Server (Set-AzSqlServerAudit)

Menggunakan templat Azure Resource Manager

Anda dapat mengonfigurasi audit untuk menulis peristiwa database pada akun penyimpanan di belakang jaringan virtual dan firewall menggunakan templat Azure Resource Manager, seperti yang diperlihatkan dalam contoh berikut:

Penting

Untuk menggunakan akun penyimpanan di balik jaringan virtual dan firewall, Anda perlu set parameter isStorageBehindVnet ke true

• Menggunakan Microsoft Azure SQL Server dengan Audit diaktifkan untuk menulis log audit ke penyimpanan blob

Catatan

Sampel yang ditautkan berada di repositori publik eksternal dan disediakan 'apa adanya', tanpa jaminan, dan tidak didukung di bawah program/layanan dukungan Microsoft apa pun.

Langkah berikutnya

• Gunakan PowerShell untuk membuat titik akhir layanan jaringan virtual, lalu aturan jaringan virtual untuk Azure SQL Database.
• Aturan Microsoft Azure Virtual Network: Operasi dengan API REST
• Gunakan titik akhir layanan jaringan virtual dan aturan untuk server