Azure SQL Managed Instance veilig gebruiken met openbare eindpunten

  • Artikel
  • 2 minuten om te lezen

VAN TOEPASSING OP: Azure SQL Managed Instance

Azure SQL Managed Instance kan gebruikersconnectiviteit bieden via openbare eindpunten. In dit artikel wordt uitgelegd hoe u deze configuratie veiliger maakt.

Scenario's

Azure SQL Managed Instance biedt een privé-eindpunt om connectiviteit toe te staan vanuit het virtuele netwerk. De standaardoptie is om maximale isolatie te bieden. Er zijn echter scenario's waarin u een openbare eindpuntverbinding moet bieden:

  • Het beheerde exemplaar moet worden geïntegreerd met PaaS-aanbiedingen (platform-as-a-service) met meerdere tenants.
  • U hebt een hogere doorvoer van gegevensuitwisseling nodig dan mogelijk is wanneer u een VPN gebruikt.
  • Bedrijfsbeleid verbiedt PaaS binnen bedrijfsnetwerken.

Een beheerd exemplaar implementeren voor toegang tot openbare eindpunten

Hoewel dit niet verplicht is, is het algemene implementatiemodel voor een beheerd exemplaar met openbare eindpunttoegang het maken van het exemplaar in een toegewezen geïsoleerd virtueel netwerk. In deze configuratie wordt het virtuele netwerk alleen gebruikt voor de isolatie van virtuele clusters. Het maakt niet uit of de IP-adresruimte van het beheerde exemplaar overlapt met de IP-adresruimte van een bedrijfsnetwerk.

Gegevens in beweging beveiligen

SQL Gegevensverkeer van managed instances wordt altijd versleuteld als het client stuurprogramma versleuteling ondersteunt. Gegevens die worden verzonden tussen het beheerde exemplaar en andere virtuele Azure-machines of Azure-services, blijven nooit uit de backbone van Azure. Als er een verbinding is tussen het beheerde exemplaar en een on-premises netwerk, raden we u aan om Azure ExpressRoute. ExpressRoute helpt u te voorkomen dat gegevens via het openbare internet worden verplaatst. Voor privéconnectiviteit van beheerde exemplaren kan alleen persoonlijke peering worden gebruikt.

Binnenkomende en uitgaande connectiviteit vergrendelen

In het volgende diagram ziet u de aanbevolen beveiligingsconfiguraties:

Beveiligingsconfiguraties voor het vergrendelen van binnenkomende en uitgaande connectiviteit

Een beheerd exemplaar heeft een openbaar eindpuntadres dat is toegewezen aan een klant. Dit eindpunt deelt het IP-adres met het beheer-eindpunt, maar gebruikt een andere poort. Stel in de uitgaande firewall aan de clientzijde en in de regels van de netwerkbeveiligingsgroep dit IP-adres van het openbare eindpunt in om de uitgaande connectiviteit te beperken.

Om ervoor te zorgen dat verkeer naar het beheerde exemplaar afkomstig is van vertrouwde bronnen, raden we u aan verbinding te maken vanuit bronnen met bekende IP-adressen. Gebruik een netwerkbeveiligingsgroep om de toegang tot het openbare eindpunt van het beheerde exemplaar op poort 3342 te beperken.

Wanneer clients een verbinding moeten initiëren vanuit een on-premises netwerk, moet u ervoor zorgen dat het oorspronkelijke adres wordt omgezet in een bekende set IP-adressen. Als u dit niet kunt doen (bijvoorbeeld omdat mobiele werknemers een typisch scenario zijn), raden we u aan punt-naar-site VPN-verbindingenen een privé-eindpunt te gebruiken.

Als verbindingen vanuit Azure worden gestart, raden we aan dat verkeer afkomstig is van een bekend, toegewezen virtueel IP-adres (bijvoorbeeld een virtuele machine). Als u het beheren van virtuele IP-adressen (VIP) eenvoudiger wilt maken, kunt u openbare IP-adres voorvoegsels gebruiken.

Volgende stappen