Usare un'istanza gestita di database SQL di Azure in modo sicuro con gli endpoint pubbliciUse an Azure SQL Database managed instance securely with public endpoints

Le istanze gestite del database SQL di Azure possono fornire la connettività degli utenti sugli endpoint pubblici.Azure SQL Database managed instances can provide user connectivity over public endpoints. Questo articolo illustra come rendere più sicura questa configurazione.This article explains how to make this configuration more secure.

ScenariScenarios

Un'istanza gestita di database SQL fornisce un endpoint privato per consentire la connettività dall'interno della rete virtuale.A SQL Database managed instance provides a private endpoint to allow connectivity from inside its virtual network. L'opzione predefinita prevede l'isolamento massimo.The default option is to provide maximum isolation. Esistono tuttavia scenari in cui è necessario fornire una connessione all'endpoint pubblico:However, there are scenarios where you need to provide a public endpoint connection:

  • L'istanza gestita deve integrarsi con offerte di piattaforma distribuita come servizio (PaaS) multi-tenant.The managed instance must integrate with multi-tenant-only platform-as-a-service (PaaS) offerings.
  • È necessaria una velocità effettiva maggiore dello scambio di dati rispetto a quella possibile quando si usa una VPN.You need higher throughput of data exchange than is possible when you're using a VPN.
  • I criteri aziendali proibiscono PaaS all'interno delle reti aziendali.Company policies prohibit PaaS inside corporate networks.

Distribuire un'istanza gestita per l'accesso a endpoint pubbliciDeploy a managed instance for public endpoint access

Sebbene non obbligatorio, il modello di distribuzione comune per un'istanza gestita con accesso a endpoint pubblico consiste nel creare l'istanza in una rete virtuale isolata dedicata.Although not mandatory, the common deployment model for a managed instance with public endpoint access is to create the instance in a dedicated isolated virtual network. In questa configurazione, la rete virtuale viene usata solo per l'isolamento dei cluster virtuali.In this configuration, the virtual network is used only for virtual cluster isolation. Non è importante se lo spazio degli indirizzi IP dell'istanza gestita si sovrappone allo spazio di indirizzi IP di una rete aziendale.It doesn't matter if the managed instance's IP address space overlaps with a corporate network's IP address space.

Proteggere i dati in movimentoSecure data in motion

Il traffico dati dell'istanza gestita è sempre crittografato se il driver client supporta la crittografia.Managed instance data traffic is always encrypted if the client driver supports encryption. I dati inviati tra l'istanza gestita e altre macchine virtuali di Azure o i servizi di Azure non lasciano mai la spina dorsale di Azure.Data sent between the managed instance and other Azure virtual machines or Azure services never leaves Azure's backbone. Se è presente una connessione tra l'istanza gestita e una rete locale, è consigliabile usare Azure ExpressRoute con il peering Microsoft.If there's a connection between the managed instance and an on-premises network, we recommend you use Azure ExpressRoute with Microsoft peering. ExpressRoute consente di evitare lo stato di trasferimento dei dati sulla rete Internet pubblica.ExpressRoute helps you avoid moving data over the public internet. Per la connettività privata dell'istanza gestita, è possibile usare solo il peering privato.For managed instance private connectivity, only private peering can be used.

Blocca la connettività in ingresso e in uscitaLock down inbound and outbound connectivity

Il diagramma seguente illustra le configurazioni di sicurezza consigliate:The following diagram shows the recommended security configurations:

Configurazioni di sicurezza per il blocco della connettività in ingresso e in uscita

Un'istanza gestita ha un indirizzo endpoint pubblico dedicato.A managed instance has a dedicated public endpoint address. Nel firewall in uscita lato client e nelle regole del gruppo di sicurezza di rete impostare questo indirizzo IP dell'endpoint pubblico per limitare la connettività in uscita.In the client-side outbound firewall and in the network security group rules, set this public endpoint IP address to limit outbound connectivity.

Per garantire che il traffico verso l'istanza gestita provenga da origini attendibili, è consigliabile connettersi da origini con indirizzi IP noti.To ensure traffic to the managed instance is coming from trusted sources, we recommend connecting from sources with well-known IP addresses. Usare un gruppo di sicurezza di rete per limitare l'accesso all'endpoint pubblico dell'istanza gestita sulla porta 3342.Use a network security group to limit access to the managed instance public endpoint on port 3342.

Quando i client devono avviare una connessione da una rete locale, assicurarsi che l'indirizzo di origine venga convertito in un set noto di indirizzi IP.When clients need to initiate a connection from an on-premises network, make sure the originating address is translated to a well-known set of IP addresses. Se non è possibile eseguire questa operazione (ad esempio, una forza lavoro mobile è uno scenario tipico), si consiglia di usare connessioni VPN da punto a sito e un endpoint privato.If you can't do so (for example, a mobile workforce being a typical scenario), we recommend you use point-to-site VPN connections and a private endpoint.

Se le connessioni vengono avviate da Azure, è consigliabile che il traffico provenga da un indirizzo IP virtuale assegnato ben noto (ad esempio, una macchina virtuale).If connections are started from Azure, we recommend that traffic come from a well-known assigned virtual IP address (for example, a virtual machine). Per semplificare la gestione degli indirizzi IP virtuali (VIP), è consigliabile usare i prefissi degli indirizzi IP pubblici.To make managing virtual IP (VIP) addresses easier, you might want to use public IP address prefixes.

Passaggi successiviNext steps