Configuration du pare-feu pour SQL Server Machine Learning Services
S’applique à : SQL Server 2016 (13.x) et versions ultérieures
Cet article dresse la liste des éléments que l’administrateur ou l’architecte doit prendre en considération pour configurer le pare-feu avec SQL Server Machine Learning Services.
Règles de pare-feu par défaut
Par défaut, le programme d’installation SQL Server désactive les connexions sortantes en créant des règles de pare-feu.
Dans SQL Server 2016 et 2017, ces règles étaient basées sur les comptes d’utilisateurs locaux. Le programme d’installation créait une règle de trafic sortant pour SQLRUserGroup qui refusait l’accès réseau à ses membres (chaque compte de travail était répertorié comme un principal local soumis à la règle). Pour plus d’informations sur SQLRUserGroup, consultez Vue d’ensemble de la sécurité de l’infrastructure d’extensibilité dans SQL Server Machine Learning Services.
Dans SQL Server 2019, dans le cadre de la migration vers les éléments AppContainers, il existe de nouvelles règles de pare-feu basées sur les SID AppContainer : une pour chacun des 20 éléments AppContainers créés par le programme d’installation SQL Server. Les conventions d’affectation de noms pour le nom de la règle de pare-feu sont Bloquer l’accès réseau pour AppContainer-00 dans l’instance SQL Server MSSQLSERVER, où 00 est le numéro de l’élément AppContainer (00-20 par défaut) et MSSQLSERVER est le nom de l’instance SQL Server.
Notes
Si des appels réseau sont nécessaires, vous pouvez désactiver les règles de trafic sortant dans le pare-feu Windows.
Restreindre l’accès réseau
Dans une installation par défaut, une règle de pare-feu Windows est utilisée pour bloquer tout accès réseau sortant des processus d’exécution externes. Des règles de pare-feu doivent être créées pour éviter que les processus d’exécution externe téléchargent des packages ou passent d’autres appels réseau potentiellement malveillants.
Si vous utilisez un autre programme de pare-feu, vous pouvez aussi créer des règles pour bloquer les connexions réseau sortantes pour les runtimes externes en définissant des règles pour les comptes d’utilisateurs locaux ou pour le groupe représenté par le pool de comptes d’utilisateurs.
Nous vous recommandons vivement d’activer le pare-feu Windows (ou le pare-feu de votre choix) pour empêcher tout accès réseau non restreint par les runtimes R ou Python.
Étapes suivantes
Configurer le pare-feu Windows pour les connexions entrantes