Azure SQL Yönetilen Örneği'ni genel uç noktalarla güvenli bir şekilde kullanma
Şunlar için geçerlidir:
Azure SQL Yönetilen Örneği
Azure SQL Yönetilen Örneği genel uç noktalar üzerinden kullanıcı bağlantısı sağlayabilir. Bu makalede, bu yapılandırmanın nasıl daha güvenli hale getirileri açıklanmaktadır.
Senaryolar
Azure SQL Yönetilen Örneği, sanal ağ içinden bağlantıya izin veren bir sanal ağ yerel uç noktası sağlar. Varsayılan seçenek en yüksek yalıtımı sağlamaktır. Ancak genel uç nokta bağlantısı sağlamanız gereken senaryolar vardır:
- Yönetilen örneğin yalnızca çok kiracılı hizmet olarak platform (PaaS) teklifleri ile tümleştirilmesi gerekir.
- VPN kullanırken mümkün olandan daha yüksek veri değişimi aktarım hızına ihtiyacınız vardır.
- Şirket ilkeleri, şirket ağlarında PaaS'ı yasaklar.
Genel uç nokta erişimi için yönetilen örnek dağıtma
Zorunlu olmasa da, genel uç nokta erişimi olan bir yönetilen örneğin ortak dağıtım modeli, örneği ayrılmış yalıtılmış bir sanal ağda oluşturmaktır. Bu yapılandırmada, sanal ağ yalnızca sanal küme yalıtımı için kullanılır. Yönetilen örneğin IP adresi alanının bir şirket ağının IP adres alanıyla çakışıp çakışmadığı önemli değildir.
Hareket halindeki verilerin güvenliğini sağlama
İstemci sürücüsü şifrelemeyi destekliyorsa SQL Yönetilen Örneği veri trafiği her zaman şifrelenir. Yönetilen örnekle diğer Azure sanal makineleri veya Azure hizmetleri arasında gönderilen veriler Hiçbir zaman Azure'ın omurgasını terk etmez. Yönetilen örnekle şirket içi ağ arasında bir bağlantı varsa Azure ExpressRoute kullanmanızı öneririz. ExpressRoute, verileri genel İnternet üzerinden taşımaktan kaçınmanıza yardımcı olur. Yönetilen örnek yerel bağlantısı için yalnızca özel eşleme kullanılabilir.
Gelen ve giden bağlantıyı kilitleme
Aşağıdaki diyagramda önerilen güvenlik yapılandırmaları gösterilmektedir:
Yönetilen örneğin müşteriye ayrılmış bir genel uç nokta adresi vardır. Bu uç nokta IP adresini yönetim uç noktasıyla paylaşır ancak farklı bir bağlantı noktası kullanır. Sanal ağ yerel uç noktasına benzer şekilde, belirli yönetim işlemlerinde genel uç nokta değişebilir. Uygulama düzeyi güvenlik duvarı kurallarını yapılandırırken olduğu gibi uç nokta FQDN kaydını çözümleyerek her zaman genel uç nokta adresini belirleyin.
Yönetilen örneğe giden trafiğin güvenilen kaynaklardan gelmesini sağlamak için, iyi bilinen IP adreslerine sahip kaynaklardan bağlanmanızı öneririz. 3342 numaralı bağlantı noktasında yönetilen örnek genel uç noktasına erişimi sınırlamak için bir ağ güvenlik grubu kullanın.
İstemcilerin şirket içi bir ağdan bağlantı başlatması gerektiğinde, kaynak adresin iyi bilinen bir IP adresleri kümesine çevrildiğinden emin olun. Bunu yapamazsanız (örneğin, tipik bir senaryo olan bir mobil iş gücü), noktadan siteye VPN bağlantıları ve bir sanal ağ yerel uç noktası kullanmanızı öneririz.
Azure'dan bağlantılar başlatılırsa trafiğin iyi bilinen bir atanmış sanal IP adresinden (örneğin, bir sanal makine) gelmesini öneririz. Sanal IP (VIP) adreslerini yönetmeyi kolaylaştırmak için genel IP adresi ön eklerini kullanmak isteyebilirsiniz.
Sonraki adımlar
- Örnekleri yönetmek için genel uç noktayı yapılandırmayı öğrenin: Genel uç noktayı yapılandırma
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin