Escreva auditoria a uma conta de armazenamento por trás do VNet e firewall

APLICA-SE A: Base de Dados SQL do Azure Azure Synapse Analytics

A auditoria para Base de Dados SQL do Azure e Azure Synapse Analytics suporta a escrita de eventos de base de dados para uma conta de Armazenamento Azure por trás de uma rede virtual e firewall.

Este artigo explica duas formas de configurar Base de Dados SQL do Azure e a conta de armazenamento Azure para esta opção. O primeiro usa o portal Azure, o segundo usa REST.

Fundo

A Azure Virtual Network (VNet) é o bloco de construção fundamental para a sua rede privada em Azure. O VNet permite que muitos tipos de recursos Azure, como as Máquinas Virtuais Azure (VM), comuniquem-se de forma segura entre si, a internet e as redes no local. O VNet é semelhante a uma rede tradicional no seu próprio centro de dados, mas traz consigo benefícios adicionais da infraestrutura Azure, como escala, disponibilidade e isolamento.

Para saber mais sobre os conceitos VNet, Boas Práticas e muito mais, consulte o que é a Rede Virtual Azure.

Para saber mais sobre como criar uma rede virtual, consulte Quickstart: Criar uma rede virtual utilizando o portal Azure.

Pré-requisitos

Para que a auditoria escreva numa conta de armazenamento por trás de um VNet ou firewall, são necessários os seguintes pré-requisitos:

  • Uma conta de armazenamento v2 para fins gerais. Se tiver uma conta de armazenamento v1 ou blob para fins gerais, faça upgrade para uma conta de armazenamento V2 para fins gerais. Para obter mais informações, consulte tipos de contas de armazenamento.
  • A conta de armazenamento deve estar no mesmo inquilino e no mesmo local que o servidor lógico SQL (não há problema em estar em diferentes subscrições).
  • A conta Azure Armazenamento requer Allow trusted Microsoft services to access this storage account . Coloque isto nas Armazenamento Firewalls de Conta e redes Virtuais .
  • Tem de ter Microsoft.Authorization/roleAssignments/write permissão na conta de armazenamento selecionada. Para obter mais informações, veja Funções incorporadas do Azure.

Configurar no portal do Azure

Ligação ao portal Azure com a sua subscrição. Navegue para o grupo de recursos e servidor.

  1. Clique em Auditoria sob o título de Segurança. Selecione on.

  2. Selecione Armazenamento. Selecione a conta de armazenamento onde os registos serão guardados. A conta de armazenamento deve estar em conformidade com os requisitos enumerados nos Pré-requisitos.

  3. Abra detalhes de Armazenamento

Nota

Se a conta Armazenamento selecionada estiver por trás do VNet, verá a seguinte mensagem:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Se não vir esta mensagem, então a conta de armazenamento não está por trás de um VNet.

  1. Selecione o número de dias para o período de retenção. Em seguida, clique em OK. Os registos mais antigos do que o período de retenção são eliminados.

  2. Selecione Guardar nas definições de auditoria.

Configurada com sucesso a auditoria para escrever numa conta de armazenamento atrás de um VNet ou firewall.

Configure com comandos REST

Como alternativa à utilização do portal Azure, pode utilizar comandos REST para configurar a auditoria para escrever eventos de base de dados numa conta de armazenamento atrás de um VNet e Firewall.

Os scripts de amostra nesta secção requerem que atualize o script antes de executá-los. Substitua os seguintes valores nos scripts:

Valor da amostra Descrição da amostra
<subscriptionId> ID de assinatura Azure
<resource group> Grupo de recursos
<logical SQL Server> Nome do servidor
<administrator login> Conta de administrador
<complex password> Senha complexa para a conta do administrador

Para configurar SQL Auditoria para escrever eventos numa conta de armazenamento por trás de um VNet ou Firewall:

  1. Registe o seu servidor com Azure Ative Directory (Azure AD). Utilize a PowerShell ou a REST API.

    PowerShell

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId <subscriptionId>
    Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
    

    REST API:

    Pedido de amostra

    PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
    

    Corpo do pedido

    {
    "identity": {
               "type": "SystemAssigned",
               },
    "properties": {
      "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
      "administratorLogin": "<administrator login>",
      "administratorLoginPassword": "<complex password>",
      "version": "12.0",
      "state": "Ready"
      }
    }
    
  2. Abrir portal Azure. Navegue até à sua conta de armazenamento. Localizar controlo de acesso (IAM) e clicar em adicionar a atribuição de função. Atribua Armazenamento papel de Contribuinte de Dados Blob para o servidor que hospeda a base de dados que registou com Azure Ative Directory (Azure AD) como no passo anterior.

    Nota

    Só os membros com privilégio proprietário podem realizar este passo. Para vários papéis embutidos em Azure, consulte as funções incorporadas do Azure.

  3. Configure a política de auditoria do blob do servidor,sem especificar um armazenamentoAccountAccessKey:

    Pedido de amostra

      PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
    

    Corpo do pedido

    {
      "properties": {
       "state": "Enabled",
       "storageEndpoint": "https://<storage account>.blob.core.windows.net"
      }
    }
    

Utilizar o Azure PowerShell

Com o modelo do Azure Resource Manager

Pode configurar a auditoria para escrever eventos de base de dados numa conta de armazenamento por trás da rede virtual e firewall utilizando o modelo do Gestor de Recursos Azure, como mostra o exemplo seguinte:

Importante

Para utilizar a conta de armazenamento por trás da rede virtual e firewall, você precisa definir o parâmetro StorageBehindVnet para ser verdadeiro

Nota

A amostra ligada encontra-se num repositório público externo e é fornecida "como está", sem garantia, e não é suportada sob qualquer programa/serviço de suporte da Microsoft.

Passos seguintes