مشاركة عبر

الحوكمة والأمان لمثيل SQL المدار الذي يدعم Azure Arc

  • مقالة

توفر هذه المقالة اعتبارات التصميم الرئيسية وأفضل الممارسات للحوكمة والأمان والتوافق لمساعدتك في تخطيط وتنفيذ عمليات توزيع SQL Managed Instance التي تدعم Azure Arc. بينما تغطي وثائق المنطقة المنتقل إليها على نطاق المؤسسة الحوكمةوالأمان كمواضيع منفصلة، يتم دمج مناطق التصميم الهامة هذه في موضوع واحد لمثيل SQL المدار الذي يدعم Arc.

بناء الأنظمة

يوضح الرسم التخطيطي التالي بنية مرجعية مفاهيمية تصور مجالات تصميم الأمان والتوافق والحوكمة لمثيل SQL المدار الذي يدعم Arc:

رسم تخطيطي يوضح الأمان على نطاق المؤسسة والحوكمة لمثيل SQL المدار الذي يدعم Azure Arc.

اعتبارات التصميم

يحتوي هذا القسم على اعتبارات التصميم التي يجب أن تضعها في الاعتبار أثناء التخطيط لأمان وحوكمة مثيل SQL المدار الذي يدعم Arc.

راجع مناطق تصميم الأمانوالحوكمة في مناطق هبوط Azure لتقييم تأثير مثيل SQL المدار الذي يدعم Arc على نماذج الحوكمة والأمان العامة.

ضوابط التحكم

  • راجع منطقة التصميم الهامة لتنظيم الموارد للحصول على أفضل الممارسات حول فرض الحوكمة في منطقة الهبوط الخاصة بك.
  • راجع اصطلاح تسمية مؤسستك وفرضه لمواردك المختلطة مثل مثيل SQL المدار الذي يدعم Arc ووحدة تحكم البيانات والموقع المخصص.
  • راجع ملفات تعريف التكوين المضمنة لوضع الاتصال غير المباشر وقرر ما إذا كانت هناك حاجة إلى أي ملفات تعريف مخصصة وفقا للبنية الأساسية ل Kubernetes.

خصوصية البيانات والإقامة

  • ضع في اعتبارك مناطق Azure التي تخطط لتوزيع مثيل SQL المدار الذي يدعم Arc ووحدات تحكم البيانات داخلها استنادا إلى متطلبات الأمان والتوافق، مع مراعاة أي متطلبات لسيادة البيانات. فهم البيانات التي يتم جمعها من مواردك في وضع الاتصال المباشر وغير المباشر، والتخطيط وفقا لذلك بناء على متطلبات موقع البيانات لمؤسستك.

ملاحظة

لا يتم إرسال أي بيانات قاعدة بيانات إلى Microsoft، فقط البيانات التشغيلية وبيانات الفوترة والمخزون والتشخيصات وبيانات برنامج تحسين المنتجات وفقا لاستخدام العملاء (CEIP).

أمان نظام المجموعة

  • يمكن أن يتواجد مثيل SQL المدار الذي يدعم Arc على مجموعات Kubernetes المختلطة أو متعددة السحابات. راجع اعتبارات الأمان والحوكمة لموفر السحابة الذي اخترته وتوزيع Kubernetes.
  • راجع اعتبارات التصميم في منطقة تصميم حوكمة Kubernetes وتخصصات الأمان الممكنة في Azure Arc.

أمان الشبكة

  • راجع منطقة التصميم الهامة لاتصال الشبكة للحصول على أفضل الممارسات والإرشادات.
  • حدد وضع الاتصال الذي سيتم استخدامه لمثيل SQL المدار الذي يدعم Arc اعتمادا على متطلبات الأمان والتوافق لمؤسستك.
  • اعتمادا على مكان نشر نظام المجموعة الخاص بك، ضع في اعتبارك منافذ الشبكة ونقاط النهاية اللازمة لمراقبة مثيل SQL المدار الذي يدعم Arc باستخدام Grafana وKibana.
  • عند إنشاء وحدة تحكم البيانات، حدد نوع الخدمة الذي ستستخدمه بين Kubernetes LoadBalancer أو NodePort.

إدارة الهوية والوصول

  • راجع إدارة الهوية والوصول لمثيل SQL المدار الذي يدعم Arc للحصول على أفضل الممارسات والإرشادات.
  • أثناء النظر في فصل مؤسستك عن الواجبات ومتطلبات الوصول الأقل امتيازا، حدد إدارة نظام المجموعة والعمليات وإدارة قاعدة البيانات وأدوار المطور داخل مؤسستك. يحدد تعيين كل فريق للإجراءات والمسؤوليات أدوار التحكم في الوصول استنادا إلى الدور (RBAC) في Azure أو Kubernetes ClusterRoleBinding و RoleBinding اعتمادا على وضع الاتصال المستخدم.
  • ضع في اعتبارك استخدام مصفوفة أطراف مسؤولة ومسؤولة ومستشارة ومطلعة (RACI) لدعم هذا الجهد. إنشاء عناصر تحكم في التسلسل الهرمي لنطاق الإدارة الذي تحدده استنادا إلى تناسق الموارد وإرشادات إدارة المخزون .
  • يتطلب نشر Azure Arc Data Controller بعض الأذونات التي يمكن اعتبارها امتيازا عاليا، مثل إنشاء مساحة اسم Kubernetes أو إنشاء دور نظام مجموعة. فهم الأذونات اللازمة لمنع الامتيازات المفرطة.
  • حدد نموذج المصادقة الذي سيتم استخدامه داخل مثيل SQL المدار الذي يدعم Arc، سواء كان مصادقة Azure Active Directory (Azure AD) أو مصادقة SQL. راجع منطقة تصميم إدارة الهوية والوصول لاعتبارات التصميم والتوصيات لاختيار وضع المصادقة الصحيح.
  • ضع في اعتبارك الاختلافات بين علامة التبويب الرئيسية المدارة من قبل النظامومفتاح مدار من قبل العميل لنشر موصل Azure Arc AD لدعم مصادقة Azure AD في مثيل SQL المدار الذي يدعم Arc. تتمتع كلتا الطريقتين بميزة العمليات المبسطة مقارنة بتحكم العملاء الكامل في إدارة حسابات الخدمة وkeytab لدعم المصادقة Azure AD.

أمان مثيل SQL المدار الذي يدعم Azure Arc

  • حدد وضع الاتصال، مع مراعاة المفاضلات بين وجود اتصال مباشر ب Azure وعدم وجوده، وكيف يمكن أن يؤثر على مثيلاتك المختلطة ومتعددة السحابات من استخدام إمكانات الأمان الحالية والمستقبلية التي تم تمكينها بواسطة Azure.
  • راجع قدرات الأمان المتوفرة في مثيل SQL المدار الذي يدعم Arc لأحمال عمل البيانات الخاصة بك.
  • حدد النظام الأساسي للتخزين الذي سيتم استخدامه لوحدات التخزين الثابتة داخل مجموعات Kubernetes وفهم إمكانات الأمان المتاحة لتأمين البيانات الموجودة على وحدات التخزين الثابتة. راجع منطقة التصميم الهامة لتخصصات التخزين أثناء التصميم لمنطقة الهبوط الخاصة بك.
  • راجع متطلبات وبنية تشفير البيانات الشفافة قبل تمكينه على مثيل SQL المدار الذي يدعم Arc.
  • ضع في اعتبارك المواقع المختلفة حيث يمكنك تخزين بيانات اعتماد تشفير البيانات الشفافة استنادا إلى نهج وإجراءات إدارة مفاتيح التشفير الخاصة بمؤسستك.
  • عند توزيع مثيل SQL المدار الممكن بواسطة Arc في وضع الاتصال غير المباشر ، حدد المرجع المصدق الذي سيتم استخدامه لتوفير الشهادة المدارة من قبل المستخدم وفقا لمتطلبات الأمان والتوافق لمؤسستك.
  • يوفر نشر مثيل SQL المدار الذي يدعم Arc في وضع الاتصال المباشر شهادة مدارة من قبل النظام مع قدرات التدوير التلقائي. في وضع الاتصال غير المباشر، يلزم التدخل اليدوي لتدوير شهادة يديرها المستخدم. ضع في اعتبارك العمليات اليدوية ومتطلبات الأمان عند اختيار وضع الاتصال للنشر.
  • ضع في اعتبارك الحاجة إلى الاحتفاظ بمثيل SQL المدار الذي يدعم Arc محدثا بأحدث الإصدارات، سواء تم نشرها في وضع الاتصال المباشر أو غير المباشر. راجع منطقة التصميم الهامة لتخصصات إمكانية الترقية لمزيد من الإرشادات.

استراتيجية المراقبة

توصيات التصميم

أمان الشبكة

  • تأمين لوحات معلومات مراقبة Grafana وKibana باستخدام شهادات SSL/TLS لأمان طبقة النقل.
  • استخدم Kubernetes LoadBalancer كنوع الخدمة عند نشر مثيل SQL المدار الذي يدعم Arc للحصول على توفر أفضل.

إدارة الهوية والوصول

  • تفضل استخدام مصادقة Azure AD لإلغاء تحميل إدارة دورة حياة المستخدم إلى خدمات الدليل، واستخدام مجموعات الأمان في Azure AD لإدارة أذونات المستخدم للوصول إلى قاعدة بيانات SQL.
  • استخدم وضع keytab المدار من قبل النظام لدعم المصادقة Azure AD لإلغاء تحميل حساب المجال ونفقات إدارة علامة التبويب الرئيسية لتبسيط العمليات.
  • إذا تم استخدام مصادقة SQL، فاعتمد نهج كلمة مرور قوية وتمكين التدقيق لمراقبة هويات مستخدم SQL والأذونات الممنوحة للوصول إلى خوادم قواعد البيانات وقواعد البيانات.
  • تخصيص مساحة اسم Kubernetes لتوزيع وحدة تحكم بيانات Azure Arc وتعيين أذونات الامتياز الأقل للتوزيع والإدارة.
  • إنشاء كلمات مرور قوية للوحات معلومات Grafana وKibana والتأكد من التدقيق والتدوير بانتظام.
  • مراقبة سجل نشاط SQL Managed Instance ووحدات تحكم البيانات الممكنة في Arc لتدقيق العمليات المختلفة التي تحدث على مواردك المختلطة. إنشاء تنبيهات للأحداث ذات الصلة والتكامل مع معلومات الأمان وأدوات إدارة الأحداث (SIEM) مثل Microsoft Sentinel لمراقبة الأمان والاستجابة للحوادث.

أمان مثيل SQL المدار الذي يدعم Azure Arc

  • كلما أمكن، اختر وضع الاتصال المباشر عبر توزيع وضع الاتصال غير المباشر لخدمات البيانات التي تدعم Azure Arc ومثيل SQL المدار الذي يدعم Arc للتأكد من حصولك على جميع مزايا ميزة الأمان الحالية والمستقبلية المقترنة بوضع الاتصال المباشر.
  • تمكين تشفير البيانات الشفاف كلما أمكن ذلك لتشفير بياناتك الثابتة.
  • قم بتخزين بيانات اعتماد تشفير البيانات الشفافة على وحدات التخزين الثابتة للحصول على مرونة أفضل.
  • استخدم قدرات النظام الأساسي للتخزين لتشفير وحدات التخزين الثابتة وفقا لمتطلبات الأمان والتوافق لمؤسستك.
  • تأكد من وضع نهج النسخ الاحتياطي الخاص بك وفقا لمتطلباتك للتعافي من فقدان البيانات. راجع مجال تصميم استمرارية الأعمال والإصلاح بعد كارثة للحصول على مزيد من الإرشادات.
  • عند النشر في وضع الاتصال غير المباشر، قم بإنشاء عملية لتدوير الشهادة التي يديرها المستخدم.
  • تأكد من وجود عملية للحفاظ على تحديث مثيل SQL المدار الذي يدعم Arc إلى أحدث الإصدارات، بشكل مستقل عن وضع الاتصال.

استراتيجية المراقبة

  • مراقبة انتهاء صلاحية بيانات الاعتماد أو تغيير كيان الخدمة المستخدم لتحميل المقاييس والسجلات إلى Azure.
  • قم بإنشاء عملية لتدوير بيانات اعتماد كيان الخدمة وفقا لمتطلبات الأمان والتوافق لمؤسستك.

الخطوات التالية

لمزيد من المعلومات حول رحلتك السحابية المختلطة ومتعددة السحابات، راجع المقالات التالية: