Använda Azure SQL Managed Instance säkert med offentliga slutpunkter

  • Artikel
  • 2 minuter för att läsa

GÄLLER FÖR: Azure SQL Managed Instance

Azure SQL Managed Instance kan tillhandahålla användaranslutning via offentliga slutpunkter. Den här artikeln förklarar hur du gör konfigurationen säkrare.

Scenarier

Azure SQL Managed Instance tillhandahåller en privat slutpunkt som tillåter anslutning inifrån det virtuella nätverket. Standardalternativet är att tillhandahålla maximal isolering. Det finns dock scenarier där du behöver ange en offentlig slutpunktsanslutning:

  • Den hanterade instansen måste integreras med PaaS-erbjudanden (plattform som en tjänst) för flera innehavare.
  • Du behöver högre dataflöde för datautbyte än vad som är möjligt när du använder ett VPN.
  • Företagets principer förbjuder PaaS i företagsnätverk.

Distribuera en hanterad instans för offentlig slutpunktsåtkomst

Även om det inte är obligatoriskt är den gemensamma distributionsmodellen för en hanterad instans med offentlig slutpunktsåtkomst att skapa instansen i ett dedikerat isolerat virtuellt nätverk. I den här konfigurationen används det virtuella nätverket endast för isolering av virtuella kluster. Det spelar ingen roll om den hanterade instansens IP-adressutrymme överlappar företagets IP-adressutrymme.

Skydda data i rörelse

SQL Managed Instance-datatrafik krypteras alltid om klientdrivrutinen stöder kryptering. Data som skickas mellan den hanterade instansen och andra virtuella Azure-datorer eller Azure-tjänster lämnar aldrig Azures stamnät. Om det finns en anslutning mellan den hanterade instansen och ett lokalt nätverk rekommenderar vi att du använder Azure ExpressRoute. ExpressRoute hjälper dig att undvika att flytta data via det offentliga Internet. För privata anslutningar för hanterad instans kan endast privat peering användas.

Låsa inkommande och utgående anslutningar

Följande diagram visar de rekommenderade säkerhetskonfigurationerna:

Säkerhetskonfigurationer för att låsa inkommande och utgående anslutningar

En hanterad instans har en offentlig slutpunktsadress som är dedikerad till en kund. Den här slutpunkten delar IP-adressen med hanteringsslutpunkten men använder en annan port. I den utgående brandväggen på klientsidan och i reglerna för nätverkssäkerhetsgruppen anger du den här offentliga slutpunktens IP-adress för att begränsa utgående anslutningar.

För att säkerställa att trafik till den hanterade instansen kommer från betrodda källor rekommenderar vi att du ansluter från källor med välkända IP-adresser. Använd en nätverkssäkerhetsgrupp för att begränsa åtkomsten till den offentliga slutpunkten för den hanterade instansen på port 3342.

När klienter behöver initiera en anslutning från ett lokalt nätverk kontrollerar du att den ursprungliga adressen översätts till en välkänd uppsättning IP-adresser. Om du inte kan göra det (till exempel om en mobil personal är ett vanligt scenario) rekommenderar vi att du använder punkt-till-plats-VPN-anslutningaroch en privat slutpunkt.

Om anslutningar startas från Azure rekommenderar vi att trafiken kommer från en välkänd tilldelad virtuell IP-adress (till exempel en virtuell dator). Om du vill göra det enklare att hantera virtuella IP-adresser (VIP) kanske du vill använda prefixen för offentliga IP-adresser.

Nästa steg