Regras de firewall de saída para o Banco de Dados SQL do Azure e o Azure Synapse Analytics
Aplica-se a:
Banco de DadosSQL do Azure Synapse Analytics (somente pools SQL dedicados)
As regras de firewall de saída limitam o tráfego de rede do servidor lógico SQL do Azure para uma lista definida pelo cliente de contas de Armazenamento do Azure e servidores lógicos SQL do Azure. Qualquer tentativa de acesso a contas de armazenamento ou bases de dados que não estejam nesta lista é negada. Os seguintes recursos do Banco de Dados SQL do Azure dão suporte a esse recurso:
- Auditoria
- Avaliação de vulnerabilidades
- Serviço de importação/exportação
- OPENROWSET
- Inserção em massa
- sp_invoke_external_rest_endpoint
Importante
- Este artigo aplica-se ao Banco de Dados SQL do Azure e ao pool SQL dedicado (anteriormente SQL DW) no Azure Synapse Analytics. Essas configurações se aplicam a todos os bancos de dados SQL e bancos de dados dedicados do pool SQL (anteriormente SQL DW) associados ao servidor. Para simplificar, o termo 'banco de dados' refere-se a ambos os bancos de dados no Banco de Dados SQL do Azure e no Azure Synapse Analytics. Da mesma forma, quaisquer referências a 'servidor' referem-se ao servidor SQL lógico que hospeda o Banco de Dados SQL do Azure e o pool SQL dedicado (anteriormente SQL DW) no Azure Synapse Analytics. Este artigo não se aplica à Instância Gerenciada SQL do Azure ou pools SQL dedicados em espaços de trabalho do Azure Synapse Analytics.
- As regras de firewall de saída são definidas no servidor lógico. Os grupos de replicação geográfica e failover exigem que o mesmo conjunto de regras seja definido no primário e em todos os secundários.
Definir regras de firewall de saída no portal do Azure
Navegue até a seção Rede de saída na folha Firewalls e redes virtuais do Banco de Dados SQL do Azure e selecione Configurar restrições de rede de saída.
Isso abrirá a seguinte lâmina no lado direito:
Marque a caixa de seleção intitulada Restringir rede de saída e adicione o FQDN para as contas de armazenamento (ou bancos de dados SQL) usando o botão Adicionar domínio .
Depois de terminar, você verá uma tela semelhante à abaixo. Selecione OK para aplicar essas configurações.
Definir regras de firewall de saída usando o PowerShell
Importante
O Banco de Dados SQL do Azure ainda dá suporte ao módulo PowerShell Azure Resource Manager, mas todo o desenvolvimento futuro é para o módulo Az.Sql. Para esses cmdlets, consulte AzureRM.Sql. Os argumentos para os comandos no módulo Az e nos módulos AzureRm são substancialmente idênticos. O script a seguir requer o módulo do Azure PowerShell.
O seguinte script do PowerShell mostra como alterar a configuração de rede de saída (usando a propriedade RestrictOutboundNetworkAccess ):
# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess
# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force
Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString -RestrictOutboundNetworkAccess "Enabled"
Use esses cmdlets do PowerShell para configurar regras de firewall de saída
# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>
# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1
# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>
#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>
Definir regras de firewall de saída usando a CLI do Azure
Importante
Todos os scripts nesta seção exigem a CLI do Azure.
CLI do Azure em um shell bash
O script CLI a seguir mostra como alterar a configuração de rede de saída (usando a propriedade restrictOutboundNetworkAccess ) em um shell bash:
# Get current setting for Outbound Networking
az sql server show -n sql-server-name -g sql-server-group --query "restrictOutboundNetworkAccess"
# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set restrictOutboundNetworkAccess="Enabled"
Use estes comandos da CLI para configurar regras de firewall de saída
# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name
# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN
# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN
# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN
Próximos passos
- Para obter uma visão geral da segurança do Banco de Dados SQL do Azure, consulte Protegendo seu banco de dados.
- Para obter uma visão geral da conectividade do Banco de Dados SQL do Azure, consulte Arquitetura de Conectividade SQL do Azure.
- Saiba mais sobre o Banco de Dados SQL do Azure e os controles de acesso à rede do Azure Synapse Analytics.
- Saiba mais sobre o Azure Private Link para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.