Azure SQL Managed Instance veilig gebruiken met openbare eindpunten
Van toepassing op:
Azure SQL Managed Instance
Azure SQL Managed Instance kan gebruikersconnectiviteit bieden via openbare eindpunten. In dit artikel wordt uitgelegd hoe u deze configuratie veiliger maakt.
Scenario's
Azure SQL Managed Instance biedt een lokaal VNet-eindpunt om connectiviteit vanuit het virtuele netwerk mogelijk te maken. De standaardoptie is om maximale isolatie te bieden. Er zijn echter scenario's waarin u een openbare eindpuntverbinding moet opgeven:
- Het beheerde exemplaar moet worden geïntegreerd met paaS-aanbiedingen (Platform as a Service) met meerdere tenants.
- U hebt een hogere doorvoer van gegevensuitwisseling nodig dan mogelijk is wanneer u een VPN gebruikt.
- Bedrijfsbeleid verbiedt PaaS in bedrijfsnetwerken.
Een beheerd exemplaar implementeren voor toegang tot openbare eindpunten
Hoewel dit niet verplicht is, is het algemene implementatiemodel voor een beheerd exemplaar met openbare eindpunttoegang het maken van het exemplaar in een toegewezen geïsoleerd virtueel netwerk. In deze configuratie wordt het virtuele netwerk alleen gebruikt voor isolatie van virtuele clusters. Het maakt niet uit of de IP-adresruimte van het beheerde exemplaar overlapt met de IP-adresruimte van een bedrijfsnetwerk.
Gegevens in beweging beveiligen
Gegevensverkeer van SQL Managed Instance wordt altijd versleuteld als het clientstuurprogramma versleuteling ondersteunt. Gegevens die worden verzonden tussen het beheerde exemplaar en andere virtuele Azure-machines of Azure-services verlaten nooit de backbone van Azure. Als er een verbinding is tussen het beheerde exemplaar en een on-premises netwerk, raden we u aan Azure ExpressRoute te gebruiken. Met ExpressRoute kunt u voorkomen dat u gegevens verplaatst via het openbare internet. Voor lokale connectiviteit van beheerde exemplaren kan alleen persoonlijke peering worden gebruikt.
Binnenkomende en uitgaande connectiviteit vergrendelen
In het volgende diagram ziet u de aanbevolen beveiligingsconfiguraties:
Een beheerd exemplaar heeft een openbaar eindpuntadres dat is toegewezen aan een klant. Dit eindpunt deelt het IP-adres met het beheereindpunt , maar gebruikt een andere poort. Net als bij een VNet-lokaal eindpunt kan het openbare eindpunt veranderen na bepaalde beheerbewerkingen. Bepaal altijd het adres van het openbare eindpunt door de FQDN-record van het eindpunt op te lossen, bijvoorbeeld bij het configureren van firewallregels op toepassingsniveau.
Om ervoor te zorgen dat verkeer naar het beheerde exemplaar afkomstig is van vertrouwde bronnen, raden we u aan verbinding te maken vanuit bronnen met bekende IP-adressen. Gebruik een netwerkbeveiligingsgroep om de toegang tot het openbare eindpunt van het beheerde exemplaar op poort 3342 te beperken.
Wanneer clients een verbinding vanuit een on-premises netwerk moeten initiëren, moet u ervoor zorgen dat het oorspronkelijke adres wordt vertaald naar een bekende set IP-adressen. Als u dit niet kunt doen (bijvoorbeeld een mobiel personeel dat een typisch scenario is), raden we u aan punt-naar-site-VPN-verbindingen en een VNet-lokaal eindpunt te gebruiken.
Als verbindingen worden gestart vanuit Azure, raden we u aan dat verkeer afkomstig is van een bekend toegewezen virtueel IP-adres (bijvoorbeeld een virtuele machine). Als u het beheren van virtuele IP-adressen (VIP)-adressen eenvoudiger wilt maken, wilt u mogelijk openbare IP-adresvoorvoegsels gebruiken.
Volgende stappen
- Meer informatie over het configureren van een openbaar eindpunt voor het beheren van exemplaren: Openbaar eindpunt configureren
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor