Безопасное использование управляемого экземпляра SQL Azure с общедоступными конечными точками
Область применения: Управляемый экземпляр SQL Azure
Управляемый экземпляр SQL Azure может обеспечивать подключение пользователей через общедоступные конечные точки. В этой статье объясняется, как сделать эту конфигурацию более безопасной.
Сценарии
Управляемый экземпляр SQL Azure предоставляет Локальная конечная точка виртуальной сети, позволяющая подключаться из своей виртуальной сети. По умолчанию используется максимальная изоляция. Однако существуют сценарии, в которых необходимо предоставить подключение к общедоступной конечной точке:
- Управляемый экземпляр должен интегрироваться с предложениями "платформа как услуга" (PaaS) только для нескольких клиентов.
- Вам нужна более высокая пропускная способность обмена данными, чем это возможно при использовании VPN.
- Политика компании запрещает PaaS внутри корпоративных сетей.
Обратите внимание, что общедоступная конечная точка всегда использует тип прокси-подключения независимо от параметра типа подключения.
Развертывание управляемого экземпляра для доступа к общедоступной конечной точке
Хотя это и не обязательно, общая модель развертывания управляемого экземпляра с доступом к общедоступной конечной точке заключается в создании экземпляра в выделенной изолированной виртуальной сети. В этой конфигурации виртуальная сеть используется только для изоляции виртуального кластера. Не имеет значения, перекрывается ли пространство IP-адресов управляемого экземпляра с пространством IP-адресов корпоративной сети.
Защищайте данные в движении
Трафик данных управляемого экземпляра SQL всегда шифруется, если драйвер клиента поддерживает шифрование. Данные, передаваемые между управляемым экземпляром и другими виртуальными машинами Azure или службами Azure, никогда не покидают магистраль Azure. Если есть соединение между управляемым экземпляром и локальной сетью, мы рекомендуем использовать Azure ExpressRoute. ExpressRoute помогает избежать передачи данных через общедоступный Интернет. Для локального подключения управляемого экземпляра можно использовать только частный пиринг.
Блокируйте входящие и исходящие подключения
На следующей схеме показаны рекомендуемые конфигурации безопасности:
Управляемый экземпляр имеет адрес общедоступной конечной точки, выделенный для клиента. Эта конечная точка использует IP-адрес с конечной точкой управления, но использует другой порт. Как и локальная конечная точка виртуальной сети, общедоступная конечная точка может измениться после определенных операций управления. Всегда определять общедоступный адрес конечной точки, разрешая запись полного доменного имени конечной точки, например при настройке правил брандмауэра на уровне приложения.
Чтобы гарантировать, что трафик к управляемому экземпляру идет из надежных источников, мы рекомендуем подключаться из источников с хорошо известными IP-адресами. Используйте группу безопасности сети, чтобы ограничить доступ к общедоступной конечной точке управляемого экземпляра через порт 3342.
Когда клиентам необходимо инициировать подключение из локальной сети, убедитесь, что исходный адрес преобразован в хорошо известный набор IP-адресов. Если этого не удается сделать (например, мобильные сотрудники, которые являются типичным сценарием), рекомендуется использовать VPN-подключения типа "точка — сеть" и локальную конечную точку виртуальной сети.
Если подключения запускаются из Azure, мы рекомендуем, чтобы трафик шел с хорошо известного назначенного виртуального IP-адреса (например, виртуальной машины). Чтобы упростить управление виртуальными IP-адресами (VIP), вы можете использовать префиксы общедоступных IP-адресов.
Следующие шаги
- Узнайте, как настроить общедоступную конечную точку для управления экземплярами: Настройка общедоступной конечной точки