Usare un'istanza gestita di Database SQL di Azure in modo sicuro con gli endpoint pubbliciUse an Azure SQL Database managed instance securely with public endpoints

Le istanze gestite possono offrire connettività degli utenti sui Database SQL di Azure gli endpoint pubblici.Azure SQL Database managed instances can provide user connectivity over public endpoints. Questo articolo illustra come effettuare questa configurazione più sicura.This article explains how to make this configuration more secure.

ScenariScenarios

Un'istanza gestita di Database SQL fornisce un endpoint privato per consentire la connettività tra la propria rete virtuale.A SQL Database managed instance provides a private endpoint to allow connectivity from inside its virtual network. L'opzione predefinita è per garantire l'isolamento massimo.The default option is to provide maximum isolation. Tuttavia, esistono scenari in cui è necessario fornire una connessione all'endpoint pubblico:However, there are scenarios where you need to provide a public endpoint connection:

  • L'istanza gestita deve essere integrato con multi-tenant solo offerte di platform-as-a-service (PaaS).The managed instance must integrate with multi-tenant-only platform-as-a-service (PaaS) offerings.
  • Necessaria una velocità effettiva dello scambio di dati rispetto a quello ottenibile quando si usa una connessione VPN.You need higher throughput of data exchange than is possible when you're using a VPN.
  • Criteri aziendali impediscono alle PaaS all'interno delle reti aziendale.Company policies prohibit PaaS inside corporate networks.

Distribuire un'istanza gestita per l'accesso agli endpoint pubbliciDeploy a managed instance for public endpoint access

Benché non sia obbligatorio, il modello di distribuzione comuni per un'istanza gestita con accesso all'endpoint pubblico consiste nel creare l'istanza in una rete virtuale isolata dedicata.Although not mandatory, the common deployment model for a managed instance with public endpoint access is to create the instance in a dedicated isolated virtual network. In questa configurazione, la rete virtuale viene usata solo per l'isolamento del cluster virtuale.In this configuration, the virtual network is used only for virtual cluster isolation. Non è importante se si sovrappone a spazio di indirizzi IP dell'istanza gestita con spazio di indirizzi IP della rete aziendale.It doesn't matter if the managed instance's IP address space overlaps with a corporate network's IP address space.

Proteggere i dati in transitoSecure data in motion

Se il driver del client supporta la crittografia, il traffico dei dati di istanza gestita è sempre crittografato.Managed instance data traffic is always encrypted if the client driver supports encryption. I dati inviati tra l'istanza gestita e altre macchine virtuali di Azure o servizi di Azure non lasciano mai la backbone di Azure.Data sent between the managed instance and other Azure virtual machines or Azure services never leaves Azure's backbone. Se c'è una connessione tra l'istanza gestita e una rete locale, è consigliabile che usare Azure ExpressRoute con peering Microsoft.If there's a connection between the managed instance and an on-premises network, we recommend you use Azure ExpressRoute with Microsoft peering. ExpressRoute consente di evitare lo spostamento dei dati sulla rete internet pubblica.ExpressRoute helps you avoid moving data over the public internet. Per la connettività privata di istanza gestita, è possibile utilizzare solo il peering privato.For managed instance private connectivity, only private peering can be used.

Bloccare la connettività in ingresso e in uscitaLock down inbound and outbound connectivity

Il diagramma seguente mostra le configurazioni di sicurezza consigliate:The following diagram shows the recommended security configurations:

Configurazioni di sicurezza per bloccare la connettività in ingresso e in uscita

Un'istanza gestita ha un indirizzo endpoint pubblico dedicato.A managed instance has a dedicated public endpoint address. Nel firewall in uscita dal lato client e nelle regole del gruppo sicurezza di rete, impostare questo indirizzo IP dell'endpoint pubblico per limitare la connettività in uscita.In the client-side outbound firewall and in the network security group rules, set this public endpoint IP address to limit outbound connectivity.

Per garantire il traffico all'istanza gestita è provenienti da origini attendibili, è consigliabile connettersi da origini diverse con gli indirizzi IP conosciuti.To ensure traffic to the managed instance is coming from trusted sources, we recommend connecting from sources with well-known IP addresses. Usare un gruppo di sicurezza di rete per limitare l'accesso all'endpoint pubblico di istanza gestita sulla porta 3342.Use a network security group to limit access to the managed instance public endpoint on port 3342.

Quando i client devono avviare una connessione da una rete locale, assicurarsi che l'indirizzo di origine viene convertito in un set noto degli indirizzi IP.When clients need to initiate a connection from an on-premises network, make sure the originating address is translated to a well-known set of IP addresses. Se non è possibile eseguire in modo (ad esempio, una forza lavoro mobile in uno scenario tipico), è consigliabile usare le connessioni VPN point-to-site e un endpoint privato.If you can't do so (for example, a mobile workforce being a typical scenario), we recommend you use point-to-site VPN connections and a private endpoint.

Se vengono avviate le connessioni da Azure, è consigliabile che il traffico proviene da un noto assegnato indirizzo IP virtuale (ad esempio, una macchina virtuale).If connections are started from Azure, we recommend that traffic come from a well-known assigned virtual IP address (for example, a virtual machine). Per semplificare la gestione indirizzi IP virtuali (VIP) più semplice, si potrebbe voler usare prefissi di indirizzo IP pubblici.To make managing virtual IP (VIP) addresses easier, you might want to use public IP address prefixes.

Passaggi successiviNext steps