Compartir a través de

Seguridad | SQL Server habilitado por Azure Arc

  • Artículo

En este artículo se describe la arquitectura de seguridad de los componentes de SQL Server habilitado por Azure Arc.

Para obtener más información sobre SQL Server habilitado por Azure Arc, consulte Información general | SQL Server habilitado por Azure Arc.

Agente y extensiones

Los componentes de software más significativos para SQL Server habilitados por Azure Arc son:

  • Agente Azure Connected Machine
  • Extensión de Azure para SQL Server

El agente de Azure Connected Machine conecta servidores a Azure. La extensión de Azure para SQL Server envía datos a Azure sobre SQL Server y recupera comandos de Azure a través de un canal de comunicación de Azure Relay para realizar acciones en una instancia de SQL Server. Juntos, el agente y la extensión le permiten administrar las instancias y las bases de datos ubicadas en cualquier lugar fuera de Azure. Azure Arc habilita una instancia de SQL Server con el agente y la extensión.

El agente y la extensión se conectan de forma segura a Azure para establecer canales de comunicación con los servicios de Azure administrados por Microsoft. El agente puede comunicarse a través de:

  • Un servidor proxy HTTPS configurable a través de Azure Express Route
  • Azure Private Link
  • Internet con o sin un servidor proxy HTTPS

Para obtener más información, consulte la documentación del agente de Connected Machine:

Para la recopilación de datos y los informes, algunos de los servicios requieren la extensión Azure Monitoring Agent (AMA). La extensión debe estar conectada a una instancia de Azure Log Analytics. Los dos servicios que requieren AMA son:

  • Microsoft Defender for Cloud
  • Evaluación de procedimientos recomendados de SQL Server

La extensión de Azure para SQL Server le permite detectar cambios de configuración de host o de nivel de sistema operativo (por ejemplo, clúster de conmutación por error de Windows Server) para todas las instancias de SQL Server en un nivel granular. Por ejemplo:

  • Instancias del motor de SQL Server en un equipo host
  • Bases de datos dentro de una instancia de SQL Server
  • Grupos de disponibilidad

La extensión de Azure para SQL Server le permite administrar, proteger y controlar de forma centralizada las instancias de SQL Server en cualquier lugar mediante la recopilación de datos para tareas como el inventario, la supervisión y otras tareas. Para obtener una lista completa de los datos recopilados, revise Recopilación de datos e informes.

En el siguiente diagrama se ilustra la arquitectura de SQL Server habilitado para Azure Arc.

Diagrama lógico de SQL Server habilitado por Azure Arc.

Componentes

Una instancia de SQL Server habilitado por Azure Arc tiene componentes y servicios integrados que se ejecutan en el servidor y ayudan a conectarse a Azure. Además de los servicios del Agente, una instancia habilitada tiene los componentes enumerados en esta sección.

Proveedores de recursos

Un proveedor de recursos (RP) es un conjunto de operaciones REST que permiten la funcionalidad para un servicio específico de Azure a través de la API ARM.

Para que la extensión de Azure para SQL Server funcione, registre los siguientes 2 RP:

  • Microsoft.HybridCompute RP: administra el ciclo de vida de los recursos de servidor habilitados para Azure Arc, incluidas las instalaciones de extensión, la ejecución de comandos de la máquina conectada y realiza otras tareas de administración.
  • Microsoft.AzureArcData RP: administra el ciclo de vida de los recursos de SQL Server habilitado por Azure Arc en función del inventario y los datos de uso que recibe de la extensión de Azure para SQL Server.

Servicio de procesamiento de datos de Azure Arc

Azure Arc Data Processing Service (DPS) es un servicio de Azure que recibe los datos sobre SQL Server proporcionados por la extensión de Azure para SQL Server en un servidor conectado a Arc. DPS realiza las tareas siguientes:

  • Procesa los datos de inventario enviados al punto de conexión regional por la extensión de Azure para SQL Server y actualiza los recursos de SqlServerInstance en consecuencia a través de la API de ARM y el RP Microsoft.AzureArcData.
  • Procesa los datos de uso enviados al punto de conexión regional por la extensión de Azure para SQL Server y envía las solicitudes de facturación al servicio de comercio de Azure.
  • Supervisa los recursos de licencia de núcleo físico de SQL Server creados por el usuario en ARM y envía las solicitudes de facturación al servicio de comercio de Azure en función del estado de la licencia.

SQL Server habilitado por Azure Arc requiere una conexión saliente desde la extensión de Azure para SQL Server en el Agente a DPS (*.<region>.arcdataservices.com puerto TCP 443). Para obtener información sobre los requisitos de comunicación específica, consulte Conexión al servicio de procesamiento de datos de Azure Arc.

Implementador

El implementador arranca la extensión de Azure para SQL Server durante las actualizaciones iniciales de instalación y configuración.

Extensión de Azure para el servicio SQL Server

La extensión de Azure para el servicio SQL Server se ejecuta en segundo plano en el servidor host. La configuración del servicio depende del sistema operativo:

  • Sistema operativo: Windows

    • Nombre del servicio: Servicio de extensión de Microsoft SQL Server
    • Nombre para mostrar: Servicio de extensión de Microsoft SQL Server
    • Se ejecuta como: Sistema local
    • Ubicación del registro: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

  • Sistema operativo: Linux

    • Nombre del servicio: SqlServerExtension
    • Nombre para mostrar: Servicio de extensión de Azure SQL Server
    • Se ejecuta como: Raíz
    • Ubicación del registro: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Funcionalidad

Una instancia de SQL Server habilitado por Azure Arc realiza las siguientes tareas:

  • Inventario de todas las instancias, bases de datos y grupos de disponibilidad de SQL Server

    Cada hora, la extensión de Azure para el servicio SQL Server carga un inventario en el servicio de procesamiento de datos. El inventario incluye instancias de SQL Server, grupos de disponibilidad AlwaysOn y metadatos de base de datos.

  • Uso de carga

    Cada 12 horas, la extensión de Azure para el servicio SQL Server carga los datos relacionados con el uso en el servicio de procesamiento de datos.

Seguridad del servidor habilitado para Arc

Para obtener información específica sobre la instalación, administración y configuración de servidores habilitados para Azure Arc, consulte Introducción a la seguridad de servidores habilitados para Arc.

Seguridad de SQL Server habilitado por Azure Arc

Componentes de la extensión de Azure para SQL Server

La extensión de Azure para SQL Server consta de dos componentes principales, el implementador y el servicio de extensión.

El implementador

El implementador arranca la extensión durante la instalación inicial y a medida que se instalan o se habilitan o deshabilitan las nuevas instancias de SQL Server. Durante la instalación, actualización o desinstalación, el agente de Arc que se ejecuta en el servidor host ejecuta el implementador para realizar determinadas acciones:

  • Instalar
  • Habilitar
  • Actualizar
  • Deshabilitar
  • Desinstalar

El implementador se ejecuta en el contexto del servicio del agente de Azure Connected Machine y, por tanto, se ejecuta como Local System.

Servicio de extensión

El servicio de extensión recopila los metadatos de inventario y base de datos (solo Windows) y los carga en Azure cada hora. Se ejecuta como Local System en Windows o raíz en Linux. El servicio de extensión proporciona varias características como parte del servicio SQL Server habilitado para Arc.

Ejecución con privilegios mínimos

Puede configurar el servicio de extensión para que se ejecute con privilegios mínimos. Esta opción, para aplicar el principio de privilegios mínimos, está disponible para la versión preliminar en servidores Windows. Para obtener información sobre cómo configurar el modo de privilegios mínimos, revise Habilitar privilegios mínimos (versión preliminar).

Cuando se configura para privilegios mínimos, el servicio de extensión se ejecuta como la cuenta de servicio NT Service\SQLServerExtension.

La cuenta NT Service\SQLServerExtension es una cuenta de servicio de Windows local:

  • Creada y administrada por la extensión de Azure para el implementador de SQL Server cuando está habilitada la opción con privilegios mínimos.
  • Se conceden los permisos y privilegios mínimos necesarios para ejecutar la extensión de Azure para el servicio SQL Server en el sistema operativo Windows. Solo tiene acceso a carpetas y directorios usados para leer y almacenar registros de configuración o escritura.
  • Se concede permiso para conectarse y consultar en SQL Server con un nuevo inicio de sesión específico para la cuenta de servicio de SQL Server que tenga los permisos mínimos necesarios. Los permisos mínimos dependen de las características habilitadas.
  • Se actualiza cuando los permisos ya no son necesarios. Por ejemplo, los permisos se revocan al deshabilitar una característica, deshabilitar la configuración con privilegios mínimos o desinstalar la extensión de Azure para SQL Server. La revocación garantiza que no permanezcan permisos después de que ya no sean necesarios.

Para obtener una lista completa de los permisos, consulte Configurar cuentas y permisos de servicio de Windows.

Extensión a la comunicación en la nube

SQL Server habilitado para Arc requiere una conexión saliente al servicio de procesamiento de datos de Azure Arc.

Cada servidor virtual o físico debe comunicarse con Azure. En concreto, requieren conectividad a:

  • Dirección URL: *.<region>.arcdataservices.com
  • Puerto: 443
  • Dirección: saliente
  • Proveedor de autenticación: Microsoft Entra ID

Para obtener el segmento de región de un punto de conexión regional, quite todos los espacios del nombre de la región de Azure. Por ejemplo, en la región Este de EE. UU. 2, el nombre de la región es eastus2.

Por ejemplo: *.<region>.arcdataservices.com debe ser *.eastus2.arcdataservices.com en la región Este de EE. UU. 2.

Para obtener una lista de las regiones admitidas, consulte Regiones de Azure admitidas.

Para obtener una lista de todas las regiones, ejecute este comando:

az account list-locations -o table

Aspectos de seguridad de nivel de característica

Las diferentes características y servicios tienen aspectos de configuración de seguridad específicos. En esta sección se describen los aspectos de seguridad de las siguientes características:

Actividad de auditoría

Puede acceder a los registros de actividad desde el menú del servicio de SQL Server habilitado por el recurso de Azure Arc en Azure Portal. El registro de actividad captura la información de auditoría y el historial de cambios de los recursos de SQL Server habilitados para Arc en Azure Resource Manager. Para obtener más información, consulte Uso de los registros de actividad con SQL Server habilitado por Azure Arc.

Valoración de procedimientos recomendados

La evaluación de procedimientos recomendados tiene los siguientes requisitos:

  • Asegúrese de que la instancia de SQL Server basada en Windows está conectada a Azure. Siga las instrucciones de Conexión automática de SQL Server a Azure Arc.

    Nota:

    Actualmente la valoración de procedimientos recomendados está limitada a SQL Server en ejecución en máquinas Windows. La evaluación no se aplica actualmente a SQL Server en máquinas Linux.

  • Si el servidor hospeda una instancia de SQL Server única, asegúrese de que la versión de la extensión de Azure para SQL Server (WindowsAgent.SqlServer) es 1.1.2202.47 o posterior.

    Si el servidor hospeda varias instancias de SQL Server, asegúrese de que la versión de la extensión de Azure para SQL Server (WindowsAgent.SqlServer) es posterior a 1.1.2231.59.

    Para comprobar la versión de la extensión de Azure para SQL Server y actualizarla a la versión más reciente, consulte Actualización de extensiones.

  • Si el servidor hospeda una instancia con nombre de SQL Server, el servicio SQL Server Browser debe estar ejecutándose.

  • Un área de trabajo de Log Analytics debe estar en la misma suscripción que el recurso de SQL Server habilitado por Azure Arc.

  • El usuario que configura la valoración de procedimientos recomendados de SQL Server debe tener los permisos siguientes:

    • Rol de colaborador de Log Analytics en el grupo de recursos o la suscripción del área de trabajo de Log Analytics.
    • Rol de administrador de recursos de Azure Connected Machine en el grupo de recursos o la suscripción de la instancia de SQL Server habilitada para Arc.
    • Supervisión del rol Colaborador en el grupo de recursos o la suscripción del área de trabajo de Log Analytics y el grupo de recursos o suscripción de la máquina habilitada por Azure Arc.

    Los usuarios asignados a roles integrados, como los de Colaborador o Propietario, tienen permisos suficientes. Para obtener más información, consulte Asignación de roles de Azure mediante Azure Portal.

  • Los permisos mínimos necesarios para acceder o leer el informe de evaluación son:

    • Rol de lector en el grupo de recursos o la suscripción del recurso de SQL Server - Azure Arc.
    • Lector de Log Analytics
    • Lector de supervisión en el grupo de recursos o la suscripción del área de trabajo de Log Analytics.

    Estos son más requisitos para acceder o leer el informe de evaluación:

    • El inicio de sesión integrado NT AUTHORITY\SYSTEM de SQL Server debe ser miembro del rol del servidor sysadmin de SQL Server para todas las instancias de SQL Server que se ejecutan en la máquina.

    • Si el firewall o el servidor proxy restringen la conectividad saliente, asegúrese de que permiten a Azure Arc a través del puerto TCP 443 para estas direcciones URL:

      • global.handler.control.monitor.azure.com
      • *.handler.control.monitor.azure.com
      • <log-analytics-workspace-id>.ods.opinsights.azure.com
      • *.ingest.monitor.azure.com

  • La instancia de SQL Server debe tener habilitado el protocolo TCP/IP.

  • La evaluación de los procedimientos recomendados de SQL Server usa el Agente de Azure Monitor (AMA) para recopilar y analizar datos de las instancias de SQL Server. Si tiene AMA instalado en las instancias de SQL Server antes de habilitar la evaluación de procedimientos recomendados, la evaluación usa la misma configuración de proxy y agente AMA. No es necesario hacer nada más.

    Si no tiene AMA instalado en las instancias de SQL Server, la evaluación de procedimientos recomendados la instala automáticamente. La evaluación de procedimientos recomendados no configura automáticamente la configuración de proxy para AMA. Debe volver a implementar AMA con la configuración de proxy que desee.

    Revise la Configuración de proxy para obtener más información sobre la configuración de proxy y red AMA.

  • Si usa Configuración de servidores habilitados para Arc con la extensión de SQL Server instalada para habilitar o deshabilitar la valoración de procedimientos recomendados de SQL, la directiva de Azure para habilitar la evaluación a escala, debe crear una asignación de Azure Policy. La suscripción requiere la asignación del rol de colaborador de directiva de recursos para el ámbito al que se dirige. El ámbito puede ser una suscripción o un grupo de recursos.

    Si va a crear una nueva identidad administrada asignada por el usuario, necesita la asignación del rol de administrador en la suscripción.

Para obtener más información, consulte Configuración de la valoración de procedimientos recomendados de SQL: SQL Server habilitado por Azure Arc.

Copias de seguridad automáticas

La extensión de Azure para SQL Server puede realizar automáticamente copias de seguridad de bases de datos de usuario y del sistema en una instancia de SQL Server habilitado por Azure Arc. El servicio de copia de seguridad de la extensión de Azure para SQL Server usa la cuenta NT AUTHORITY\SYSTEM para realizar las copias de seguridad. Si usa SQL Server habilitado por Azure Arc con privilegios mínimos, la copia de seguridad se realiza mediante la cuenta local de Windows - NT Service\SQLServerExtension.

Si usa la extensión de Azure para SQL Server versión 1.1.2504.99 o posterior, los permisos necesarios se conceden automáticamente a NT AUTHORITY\SYSTEM. No es necesario que asigne permisos manualmente.

Si no usa la configuración con privilegios mínimos, el inicio de sesión NT AUTHORITY\SYSTEM integrado de SQL Server debe ser miembro de:

  • Rol de servidor dbcreator en el nivel de servidor
  • Rol db_backupoperator en master, model, msdb y cada base de datos de usuario: excluyendo tempdb.

Las copias de seguridad automatizadas están deshabilitadas de forma predeterminada. Una vez configuradas las copias de seguridad automatizadas, la extensión de Azure para el servicio SQL Server inicia una copia de seguridad en la ubicación de copia de seguridad predeterminada. Las copias de seguridad son copias de seguridad nativas de SQL Server; es decir, todo el historial de copias de seguridad está disponible en las tablas relacionadas con la copia de seguridad de la base de datos msdb.

Microsoft Defender for Cloud

Microsoft Defender for Cloud requiere que Azure Monitoring Agent se configure en el servidor habilitado para Arc.

Para obtener más información, revise Microsoft Defender for Cloud.

Actualizaciones automáticas

Las actualizaciones automáticas sobrescriben cualquier actualización preconfigurada o basada en directivas de Microsoft Update configurada en el servidor habilitado para Arc.

  • Solo se instalan las actualizaciones de Windows y SQL Server marcadas como Importantes o Críticas. Otras actualizaciones de SQL Server, como los paquetes de servicio, las actualizaciones acumulativas u otras actualizaciones que no están marcadas como Importantes o Críticas se deben instalar de forma manual o de otras formas. Para obtener más información sobre el sistema de clasificación de actualizaciones de seguridad, consulte Security Update Severity Rating System (microsoft.com)
  • Funciona en el nivel de sistema operativo host y se aplica a todas las instancias de SQL Server instaladas
  • Actualmente solo funciona en hosts de Windows. Configura Windows Update o Microsoft Update, que es el servicio que, en última instancia, actualiza las instancias de SQL Server.

Para obtener más información, consulte Configuración de las actualizaciones automáticas para instancias de SQL Server habilitado para Azure Arc.

Monitor

Puede supervisar SQL Server habilitado por Azure Arc con el panel de rendimiento en Azure Portal. Las métricas de rendimiento se recopilan automáticamente de conjuntos de datos de la vista de administración dinámica (DMV) en instancias aptas de SQL Server habilitado por Azure Arc y se envían a la canalización de telemetría de Azure para realizar un procesamiento casi en tiempo real. La supervisión es automática, suponiendo que se cumplen todos los requisitos previos.

Los requisitos previos son:

  • El servidor tiene conectividad a telemetry.<region>.arcdataservices.com (para obtener más información, consulte Requisitos de red).
  • El tipo de licencia de la instancia de SQL Server se establece en License with Software Assurance o Pay-as-you-go.

Para ver el panel de rendimiento en Azure Portal, debe tener asignado un rol de Azure con la acción Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ asignada. Para mayor comodidad, puede usar el rol integrado Administrador de base de datos híbrido de Azure - Rol de servicio de solo lectura, que incluye esta acción. Para obtener más información, consulte Saber más sobre los roles integrados en Azure.

Puede encontrar detalles sobre la característica del panel de rendimiento, incluido cómo habilitar o deshabilitar la recopilación de datos y los datos recopilados para esta característica en Supervisión en Azure Portal.

Microsoft Entra ID

Microsoft Entra ID es un servicio de administración de identidades y acceso basado en la nube que permite a los empleados acceder a los recursos externos. La autenticación de Microsoft Entra proporciona una seguridad considerablemente mejorada respecto al nombre de usuario tradicional y la autenticación basada en contraseña. SQL Server habilitado por Azure Arc usa Microsoft Entra ID para la autenticación, introducido en SQL Server 2022 (16.x). Esto proporciona una solución centralizada de administración de identidades y acceso a SQL Server.

SQL Server habilitado por Azure Arc almacena el certificado de Microsoft Entra ID en Azure Key Vault. Para obtener más información, revise:

Para configurar Microsoft Entra ID, siga las instrucciones de Tutorial: Configuración de la autenticación de Microsoft Entra para SQL Server.

Microsoft Purview

Requisitos clave para usar Purview:

procedimientos recomendados

Implementa las siguientes configuraciones para cumplir los procedimientos recomendados actuales para proteger instancias de SQL Server habilitadas por Azure Arc:

Contenido relacionado