Konfigurieren von Firewallregeln für Server und Datenbanken
Mithilfe von Firewalls wird verhindert, dass nicht autorisierte Benutzer Zugriff auf geschützte Ressourcen erhalten. Jede Azure SQL-Datenbank-Instanz ist einer öffentlichen IP-Adresse zugeordnet, die von Microsoft gehostet wird. Jede Azure-Region verfügt über eine oder mehrere öffentliche IP-Adressen, über die Sie Ihr Datenbankgateway erreichen können, das Sie dann zu Ihrer Datenbank weiterleitet.
Funktionsweise der Firewall
Wie im folgenden Diagramm veranschaulicht, müssen Verbindungsversuche aus dem Internet und von Azure zunächst die Firewall durchlaufen, bevor sie den Server oder die Datenbank erreichen.
Wie in der obigen Abbildung zu sehen ist, bietet Azure integrierte Firewalls zur Einschränkung des Zugriffs, um Ihre Datenbank und Ihre Daten zu schützen. In Azure SQL-Datenbank gibt es zwei unterschiedliche Arten von Firewallregeln: Firewallregeln auf Serverebene und Firewallregeln auf Datenbankenebene.
Firewallregeln auf Serverebene
Sowohl Firewalls auf Server- als auch auf Datenbankebene verwenden IP-Adressregeln anstelle von SQL Server-Anmeldungen und erlauben allen Benutzern mit derselben öffentlichen IP-Adresse den Zugriff auf die SQL Server-Instanz. Für die meisten Unternehmen ist dies ihre ausgehende IP-Adresse.
Firewalls auf Serverebene werden so konfiguriert, dass Benutzer auf alle Datenbanken des Servers zugreifen können. Firewallregeln auf Datenbankebene werden verwendet, um bestimmten IP-Adressen den Zugriff auf bestimmte Datenbanken zu gewähren oder zu verweigern.
Firewallregeln auf Serverebene können über das Azure-Portal oder mithilfe der gespeicherten Prozedur sp_set_firewall_rule in der Masterdatenbank konfiguriert werden.
Hinweis
Die Einstellung Azure-Diensten und -Ressourcen den Zugriff auf diese Servergruppe gestatten zählt als einzelne Firewallregel, wenn sie aktiviert ist.
Firewallregeln auf Datenbankebene
Firewallregeln auf Datenbankebene können nur über T-SQL konfiguriert werden, indem die gespeicherte Prozedur sp_set_database_firewall_rule in der Benutzerdatenbank verwendet wird.
Beim Herstellen der Verbindung sucht Azure SQL-Datenbank zunächst nach einer Firewallregel auf Datenbankebene für den in der Verbindungszeichenfolge angegebenen Datenbanknamen. Wenn er nicht vorhanden ist, überprüft die Firewall die IP-Firewallregeln auf Serverebene. IP-Firewallregeln auf Serverebene gelten für alle Datenbanken auf dem Server. Wenn eine dieser beiden vorhanden ist, wird die Verbindung hergestellt.
Falls keine dieser beiden vorhanden ist und der Benutzer die Verbindung über SQL Server Management Studio oder Azure Data Studio herstellt, wird er aufgefordert, eine Firewallregel zu erstellen (siehe unten).
Endpunkte im virtuellen Netzwerk
Virtuelle Netzwerkendpunkte ermöglichen den Datenverkehr aus einer bestimmten Azure Virtual Network-Instanz. Diese Regeln gelten auf Serverebene, nicht nur auf Datenbankebene.
Darüber hinaus gilt der Dienstendpunkt nur für eine Region: für die des zugrunde liegenden Endpunkts.
Das virtuelle Netzwerk, das eine Verbindung mit Azure SQL-Datenbank herstellt, muss zudem über ausgehenden Zugriff auf die zugehörige öffentliche IP-Adresse verfügen. Dieser kann mithilfe von Diensttags für Azure SQL-Datenbank konfiguriert werden.
Private Link
Das Private Link-Feature ermöglicht die Verbindungsherstellung mit Azure SQL-Datenbank und anderen PaaS-Angeboten über einen privaten Endpunkt.
Dank des privaten Endpunkts kann die Verbindung zu Azure SQL-Datenbank vollständig über das Backbonenetzwerk von Azure anstatt über das öffentliche Internet hergestellt werden.
Dieses Feature stellt eine private IP-Adresse in Ihrer Virtual Network-Instanz bereit. Auf diesem Weg ermöglicht Private Link auch Azure ExpressRoute-Verbindungen.
Private Link bietet darüber hinaus zahlreiche Vorteile wie regionsübergreifende private Konnektivität und Schutz vor Datenverlust, indem nur Verbindungen zu bestimmten Ressourcen zugelassen werden.