Usar a Instância Gerenciada de SQL do Azure com segurança em pontos de extremidade públicos

Aplica-se a: Instância Gerenciada de SQL do Azure

A Instância Gerenciada de SQL do Azure pode fornecer conectividade do usuário em pontos de extremidade públicos. Este artigo explica como tornar essa configuração mais segura.

Cenários

A Instância Gerenciada de SQL do Azure fornece um ponto de extremidade local de VNet para permitir a conectividade de dentro de sua rede virtual. A opção padrão é fornecer isolamento máximo. No entanto, há situações em que é preciso fornecer uma conexão de ponto de extremidade pública:

  • A instância gerenciada deve ser integrada com ofertas de PaaS (plataforma como serviço) somente para multilocatário.
  • Você precisa de uma maior taxa de transferência de troca de dados do que é possível ao usar uma VPN.
  • As políticas da empresa proíbem PaaS dentro de redes corporativas.

Observe que o ponto de extremidade público sempre usa o tipo de conexão proxy, independentemente das configurações do tipo de conexão.

Implantar uma instância gerenciada para o acesso de ponto de extremidade público

Embora não seja obrigatório, o modelo de implantação comum para uma instância gerenciada com acesso de ponto de extremidade público é criar a instância em uma rede virtual isolada dedicada. Nessa configuração, a rede virtual é usada somente para o isolamento do cluster virtual. Não importa se o espaço de endereço IP da instância gerenciada se sobrepõe ao espaço de endereço IP de uma rede corporativa.

Proteger dados em movimento

O tráfego de dados da Instância Gerenciada de SQL será sempre criptografado se o driver do cliente dar suporte à criptografia. Os dados enviados entre a instância gerenciada e outras máquinas virtuais do Azure ou serviços do Azure nunca deixam o backbone do Azure. Se houver uma conexão entre a instância gerenciada e uma rede local, recomendamos que você use o Azure ExpressRoute. O ExpressRoute ajuda você a evitar a movimentação de dados pela Internet pública. Para a conectividade local da instância gerenciada, somente o emparelhamento privado pode ser usado.

Bloquear conectividade de entrada e saída

O seguinte diagrama mostra as configurações de segurança recomendadas:

Configurações de segurança para bloquear a conectividade de entrada e saída

Uma instância gerenciada tem um endereço de ponto de extremidade público dedicado a um cliente. Esse ponto de extremidade compartilha o endereço IP com o ponto de extremidade de gerenciamento, mas usa uma porta diferente. Assim como ocorre em um ponto de extremidade local da VNet, o ponto de extremidade público pode ser alterado após determinadas operações de gerenciamento. Sempre determine o endereço do ponto de extremidade público resolvendo o registro FQDN do ponto de extremidade, por exemplo, ao configurar regras de firewall no nível do aplicativo.

Para garantir que o tráfego para a instância gerenciada seja proveniente de fontes confiáveis, recomendamos conectar-se de fontes com endereços IP conhecidos. Use um grupo de segurança de rede para limitar o acesso ao ponto de extremidade público de instância gerenciada na porta 3342.

Quando os clientes precisarem iniciar uma conexão de rede local, verifique se o endereço de origem está traduzido para um conjunto conhecido de endereços IP. Se você não puder fazer isso (por exemplo, uma força de trabalho móvel sendo um cenário típico), recomendaremos que você use conexões VPN ponto a site e um ponto de extremidade local da VNet.

Se as conexões forem iniciadas no Azure, recomendamos que o tráfego venha de um endereço IP virtual atribuído conhecido (por exemplo, uma máquina virtual). Para facilitar o gerenciamento de endereços VIP (IP virtual), convém usar prefixos de endereços IP públicos.

Próximas etapas