Azure SQL yönetilen örneği genel uç noktalarla güvenli bir şekilde kullanma

Makale
10/23/2021
Okumak için 2 dakika

Uygulama hedefi: Azure SQL yönetilen örneği

Azure SQL yönetilen örnek, genel uç noktalarüzerinden kullanıcı bağlantısı sağlayabilir. Bu makalede, bu yapılandırmanın nasıl daha güvenli hale kullanılacağı açıklanmaktadır.

Senaryolar

Azure SQL yönetilen örneği, sanal ağının içinden bağlantıya izin veren özel bir uç nokta sağlar. Varsayılan seçenek, maksimum yalıtımı sağlamaktır. Ancak, genel uç nokta bağlantısı sağlamanız gereken senaryolar vardır:

Yönetilen örnek, tek kiracılı hizmet olarak platform (PaaS) teklifleriyle tümleştirmelidir.
VPN kullanırken mümkün olandan daha yüksek miktarda veri alışverişi yapmanız gerekir.
Şirket ilkeleri, şirket ağları içinde PaaS 'yi yasaklar.

Ortak uç nokta erişimi için yönetilen bir örnek dağıtma

Zorunlu olmasa da, genel uç nokta erişimiyle yönetilen bir örnek için ortak dağıtım modeli, örneği ayrılmış bir yalıtılmış sanal ağda oluşturmaktır. Bu yapılandırmada, sanal ağ yalnızca sanal küme yalıtımı için kullanılır. Yönetilen örneğin IP adresi alanının bir kurumsal ağın IP adresi alanıyla örtüştüğü ne olursa olsun.

Hareket halindeki verileri güvenli hale getirme

SQL İstemci sürücüsü şifrelemeyi destekliyorsa, yönetilen örnek veri trafiği her zaman şifrelenir. Yönetilen örnek ile diğer Azure sanal makineleri veya Azure hizmetleri arasında gönderilen veriler hiçbir şekilde Azure 'un omurgasını bırakır. Yönetilen örnek ve şirket içi ağ arasında bağlantı varsa Azure ExpressRoute 'u kullanmanızı öneririz. ExpressRoute, verileri genel İnternet üzerinden taşımadan kaçınmanıza yardımcı olur. Yönetilen örnek özel bağlantısı için yalnızca özel eşleme kullanılabilir.

Gelen ve giden bağlantıyı kilitle

Aşağıdaki diyagramda önerilen güvenlik yapılandırması gösterilmektedir:

Gelen ve giden bağlantıyı kilitlemek için güvenlik yapılandırması

Yönetilen bir örnek, bir müşteriye ayrılmış genel bir uç nokta adresine sahiptir. Bu uç nokta, IP 'yi Yönetim uç noktası ile paylaşır, ancak farklı bir bağlantı noktası kullanır. İstemci tarafı giden güvenlik duvarında ve ağ güvenlik grubu kurallarında, giden bağlantıyı sınırlamak için bu genel uç nokta IP adresini ayarlayın.

Yönetilen örneğe giden trafiğin güvenilen kaynaklardan geldiğinden emin olmak için, iyi bilinen IP adreslerine sahip kaynaklardan bağlanmanız önerilir. 3342 numaralı bağlantı noktasında yönetilen örnek genel uç noktasına erişimi sınırlandırmak için bir ağ güvenlik grubu kullanın.

İstemcilerin şirket içi bir ağdan bağlantı başlatması gerektiğinde, kaynak adresin iyi bilinen bir IP adresi kümesine çevrildiğinden emin olun. Bunu yapmazsanız (örneğin, bir mobil iş gücünün tipik bir senaryo olması halinde), noktadan sıteye VPN bağlantıları ve özel uç noktakullanmanızı öneririz.

Azure 'dan bağlantı başlatılırsa, trafiğin iyi bilinen bir atanan sanal IP adresinden (örneğin, bir sanal makine) gelmesini öneririz. Sanal IP (VIP) adreslerini yönetmeyi daha kolay hale getirmek için genel IP adresi öneklerinikullanmak isteyebilirsiniz.

Sonraki adımlar

Örnekleri yönetmek için genel uç noktayı yapılandırma hakkında bilgi edinin: ortak uç noktayı yapılandırma