Partager via

Sécurité | SQL Server activé par Azure Arc >

  • Article

Cet article décrit l’architecture de sécurité des composants de SQL Server activés par Azure Arc.

Pour plus d’informations sur SQL Server activé par Azure Arc, consultez vue d’ensemble | SQL Server activé par Azure Arc.

Agent et extension

Les composants logiciels les plus importants pour SQL Server activés par Azure Arc sont les suivants :

  • Azure Connected Machine Agent
  • Extension Azure pour SQL Server

L’agent Azure Connected Machine connecte des serveurs à Azure. L’extension Azure pour SQL Server envoie des données à Azure sur SQL Server et récupère des commandes à partir d’Azure via un canal de communication Azure Relay pour prendre des mesures sur une instance SQL Server. Ensemble, l’agent et l’extension vous permettent de gérer vos instances et bases de données situées en dehors d’Azure. Instance de SQL Server avec l’agent et l’extension est activée par Azure Arc.

L’agent et l’extension se connectent en toute sécurité à Azure pour établir des canaux de communication avec les services Azure gérés par Microsoft. L’agent peut communiquer par le biais des points suivants :

  • Un serveur proxy HTTPS configurable sur Azure Express Route
  • Azure Private Link
  • Internet avec ou sans serveur proxy HTTPS

Pour plus d’informations, consultez la documentation de l’agent Connected Machine :

Pour la collecte et la création de rapports de données, certains des services nécessitent l’extension Azure Monitoring Agent (AMA). L’extension doit être connectée à Azure Log Analytics. Les deux services nécessitant l’AMA sont les suivants :

  • Microsoft Defender for Cloud
  • Évaluation des meilleures pratiques avec SQL Server

L’extension Azure pour SQL Server vous permet de découvrir les modifications de configuration de l’hôte ou du système d’exploitation (par exemple, cluster de basculement Windows Server) pour toutes les instances SQL Server sur un niveau granulaire. Par exemple :

  • Instances du moteur SQL Server sur un ordinateur hôte
  • Bases de données au sein d'une instance de SQL Server
  • Groupes de disponibilité

L’extension Azure pour SQL Server vous permet de gérer, de sécuriser et de régir les instances SQL Server n’importe où en collectant des données pour des tâches telles que l’inventaire, la surveillance et d’autres tâches. Pour obtenir la liste complète des données collectées, passez en revue la collecte et la création de rapports de données.

Le diagramme suivant illustre l’architecture de SQL Server avec Azure Arc.

Diagramme logique de SQL Server activé par Azure Arc.

Composants

Une instance de SQL Server activée par Azure Arc a des composants et des services intégrés qui s’exécutent sur votre serveur et aident à se connecter à Azure. En plus des services de l’agent, une instance activée contient les composants répertoriés dans cette section.

Fournisseurs de ressources

Un fournisseur de ressources (RP) expose un ensemble d'opérations REST qui permettent la fonctionnalité d'un service Azure spécifique via l'API ARM.

Pour que l’extension Azure pour SQL Server fonctionne, inscrivez les 2 RP suivantes :

  • RP Microsoft.HybridCompute : gère le cycle de vie des ressources serveur avec Azure Arc, notamment les installations d’extension, l’exécution de commandes de l’ordinateur connecté et effectue d’autres tâches de gestion.
  • RP Microsoft.AzureArcData : gère le cycle de vie de SQL Server activé par les ressources Azure Arc en fonction des données d’inventaire et d’utilisation qu’il reçoit de l’extension Azure pour SQL Server.

Service de traitement des données Azure Arc

Azure Arc Data Processing Service (DPS) est un service Azure qui reçoit les données relatives à SQL Server fournies par l’extension Azure pour SQL Server sur un serveur connecté à Arc. DPS effectue les tâches suivantes :

  • Traite les données d’inventaire envoyées au point de terminaison régional par l’extension Azure pour SQL Server et met à jour les ressources SqlServerInstance en conséquence via l’API ARM et Microsoft.AzureArcData RP.
  • Traite les données d’utilisation envoyées au point de terminaison régional par l’extension Azure pour SQL Server et envoie les demandes de facturation au service de commerce Azure.
  • Surveille les ressources de licence de base physique SQL Server créées par l’utilisateur dans ARM et envoie les demandes de facturation au service de commerce Azure en fonction de l’état de la licence.

SQL Server activé par Azure Arc nécessite une connexion sortante à partir de l’extension Azure pour SQL Server dans l’agent vers DPS (port TCP *.<region>.arcdataservices.com 443). Pour les exigences spécifiques en matière de communication, passez en revue Connexion au service de traitement de données Azure Arc.

Système de déploiement

L’éditeur de déploiement démarre l’extension Azure pour SQL Server lors de l’installation initiale et des mises à jour de configuration.

Extension Azure pour le service SQL Server

L’extension Azure pour le service SQL Server s’exécute en arrière-plan sur le serveur hôte. La configuration du service dépend du système d’exploitation :

  • Système d’exploitation : Windows

    • Nom du service : service d’extension Microsoft SQL Server
    • Nom complet : service d’extension Microsoft SQL Server
    • S’exécute en tant que : système local
    • Emplacement du journal : C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

  • Système d’exploitation : Linux

    • Nom du service : SqlServerExtension
    • Nom complet : service d’extension Azure SQL Server
    • S’exécute en tant que : racine
    • Emplacement du journal : /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Fonctionnalités

Une instance de SQL Server activée par Azure Arc effectue les tâches suivantes :

  • Inventaire de toutes les instances, bases de données et groupes de disponibilité SQL Server

    Toutes les heures, l’extension Azure pour le service SQL Server charge un inventaire dans le service de traitement des données. L’inventaire inclut des instances SQL Server, des groupes de disponibilité Always On et des métadonnées de base de données.

  • Charger l’utilisation

    Toutes les 12 heures, l’extension Azure pour le service SQL Server charge les données associées à l’utilisation dans le service de traitement des données.

Sécurité du serveur avec Arc

Pour plus d’informations sur l’installation, la gestion et la configuration des serveurs avec Azure Arc, consultez la vue d’ensemble de la sécurité des serveurs avec Arc.

SQL Server activé par la sécurité Azure Arc

Extension Azure pour les composants du SQL Server

L’extension Azure pour SQL Server se compose de deux composants principaux, le deployer et le service d’extension.

Le déployeur

L’éditeur de déploiement démarre l’extension pendant l’installation initiale et lorsque de nouvelles instances SQL Server sont installées ou que les fonctionnalités sont activées/désactivées. Lors de l’installation, de la mise à jour ou de la désinstallation, l’agent Arc s’exécutant sur le serveur hôte exécute le Deployer pour effectuer certaines actions :

  • Installer
  • Enable
  • Update
  • Disable
  • Désinstaller

Le deployer s’exécute dans le contexte du service d’agent Azure Connected Machine et s’exécute donc comme Local System.

Le service d’extension

Le service d’extension collecte les métadonnées d’inventaire et de base de données (Windows uniquement) et les charge sur Azure toutes les heures. Il s’exécute comme Local System sur Windows ou racine sur Linux. Le service d’extension fournit différentes fonctionnalités dans le cadre du service SQL Server avec Arc.

Exécuter avec les privilèges minimum

Vous pouvez configurer le service d’extension pour qu’il s’exécute avec des privilèges minimaux. Cette option, pour appliquer le principe des privilèges minimum, est disponible en préversion sur les serveurs Windows. Pour les détails concernant la configuration du mode privilège minimum, consultez Mode privilège minimum (préversion).

Lorsqu’il est configuré pour un privilège minimum, le service d’extension s’exécute en tant que compte de service NT Service\SQLServerExtension.

Le compte NT Service\SQLServerExtension est un compte de service Windows local :

  • Créé et géré par l’extension Azure pour SQL Server Deployer lorsque l’option des privilèges minimum est activée.
  • Autorisations et privilèges minimum requis accordés pour exécuter l’extension Azure pour le service SQL Server sur le système d’exploitation Windows. Il n’a accès qu’aux dossiers et annuaires utilisés pour lire et stocker la configuration ou écrire des journaux.
  • Autorisation accordée pour se connecter et envoyer des requêtes dans SQL Server avec une nouvelle connexion spécifique à cette extension Azure pour le compte du service SQL Server disposant des autorisations minimales requises. Les autorisations minimales dépendent des fonctionnalités activées.
  • Mise à jour lorsque les autorisations ne sont plus nécessaires. Par exemple, les autorisations sont révoquées lorsque vous désactivez une fonctionnalité, désactivez la configuration des privilèges minimum ou désinstallez l’extension Azure pour SQL Server. La révocation garantit qu’il n’y a plus aucune autorisation une fois qu’elles ne sont plus requises.

Pour obtenir la liste complète des autorisations, consultez Configurer des comptes de service Windows et des autorisations.

Extension à la communication cloud

SQL Server avec Arc nécessite une connexion sortante au service de traitement des données Azure Arc.

Chaque serveur physique ou virtuel doit communiquer avec Azure. Plus précisément, ils nécessitent une connectivité à :

  • URL : *.<region>.arcdataservices.com
  • Port : 443
  • Direction : sortant
  • Fournisseur d’authentification : Microsoft Entra ID

Pour obtenir le segment de région d’un point de terminaison régional, supprimez tous les espaces du nom de la région Azure. Par exemple, région USA Est 2 , le nom de la région est eastus2.

Par exemple : *.<region>.arcdataservices.com doit se trouver *.eastus2.arcdataservices.com dans la région USA Est 2.

Pour obtenir la liste des régions prises en charge, consultez Régions Azure prises en charge.

Pour obtenir la liste de toutes les régions, exécutez cette commande :

az account list-locations -o table

Aspects de sécurité au niveau des fonctionnalités

Les différentes fonctionnalités et services ont des aspects spécifiques de la configuration de la sécurité. Cette section décrit les aspects de sécurité des fonctionnalités suivantes :

Activité d’audit

Vous pouvez accéder aux journaux d’activité à partir du menu de service pour la ressource SQL Server activée par la ressource Azure Arc dans Portail Azure. Le journal d’activité capture les informations d’audit et l’historique des modifications pour les ressources SQL Server avec Arc dans Azure Resource Manager. Pour plus d’informations, passez en revue Utiliser des journaux d’activité avec SQL Server activé par Azure Arc.

Évaluation des bonnes pratiques

L’évaluation des meilleures pratiques présente les exigences suivantes :

  • Assurez-vous que votre instance de SQL Server Windows est connectée à Azure. Suivez les instructions de Connecter automatiquement votre SQL Server à Azure Arc.

    Remarque

    L’évaluation des bonnes pratiques est actuellement limitée à SQL Server s’exécutant sur des machines Windows. L’évaluation ne s’applique pas actuellement à SQL Server sur les machines Linux.

  • Si le serveur héberge une seule instance SQL Server, assurez-vous que la version de l’extension Azure pour SQL Server (WindowsAgent.SqlServer) est 1.1.2202.47 ou supérieure.

    Si le serveur héberge plusieurs instances SQL Server, assurez-vous que la version de l’extension Azure pour SQL Server (WindowsAgent.SqlServer) est supérieure à 1.1.2231.59.

    Pour vérifier la version de l’extension Azure pour SQL Server et la mettre à jour vers la dernière version, passez en revue Mettre à niveau les extensions.

  • Si le serveur héberge une instance nommée de SQL Server, le service SQL Server Browser doit être en cours d’exécution.

  • Un espace de travail Log Analytics doit se trouver dans le même abonnement que votre Azure Arc activé par votre ressource SQL Server.

  • L’utilisateur qui configure l’évaluation des meilleures pratiques SQL doit disposer des autorisations suivantes :

    • Rôle Contributeur Log Analytics sur le groupe de ressources ou l’abonnement de l’espace de travail Log Analytics.
    • Rôle Administrateur des ressources Azure Connected Machine sur le groupe de ressources ou l’abonnement de l’instance SQL Server avec Arc.
    • Rôle Collaborateur de monitoring sur le groupe de ressources ou l'abonnement de l'espace de travail Log Analytics et sur le groupe de ressources ou l'abonnement de la machine Azure Arc.

    Les utilisateurs affectés à des rôles intégrés tels que Contributeur ou Propriétaire disposent d’autorisations suffisantes. Pour plus d’informations, passez en revue Attribuer des rôles Azure à l’aide du portail Azure.

  • Voici les autorisations minimales nécessaires pour accéder au rapport d’évaluation et le lire :

    • Rôle lecteur sur le groupe de ressources ou l’abonnement de la ressource SQL Server - Azure Arc.
    • Lecteur Log Analytics.
    • Lecteur de supervision sur le groupe de ressources ou abonnement de l’espace de travail Log Analytics.

    Voici d’autres exigences pour accéder ou lire le rapport d’évaluation :

    • Le compte de connexion SQL Server prédéfini NT AUTHORITY\SYSTEM doit être membre du rôle serveur SQL Server sysadmin pour toutes les instances SQL Server s'exécutant sur l'ordinateur.

    • Si votre pare-feu ou votre serveur proxy limite la connectivité sortante, assurez-vous qu’il autorise Azure Arc sur le port TCP 443 pour ces URL :

      • global.handler.control.monitor.azure.com
      • *.handler.control.monitor.azure.com
      • <log-analytics-workspace-id>.ods.opinsights.azure.com
      • *.ingest.monitor.azure.com

  • Votre instance de serveur SQL doit activer TCP/IP.

  • L'évaluation des meilleures pratiques SQL Server utilise l’agent Azure Monitor (AMA) pour collecter et analyser les données de vos instances SQL Server. Si vous avez installé AMA sur vos instances SQL Server avant d’activer l’évaluation des meilleures pratiques, l’évaluation utilise les mêmes paramètres d’agent AMA et de proxy. Vous n’avez rien d’autre à faire.

    Si AMA n’est pas installé sur vos instances SQL Server, l’évaluation des meilleures pratiques l’installe pour vous. L’évaluation des meilleures pratiques ne configure pas automatiquement les paramètres de proxy pour AMA. Vous devez redéployer AMA avec les paramètres de proxy souhaités.

    Pour plus d'informations sur les paramètres du réseau AMA et du proxy, passez en revue Configuration du proxy.

  • Si vous utilisez la stratégie Azure Configurer les serveurs avec Arc avec l’extension SQL Server installée pour activer ou désactiver l’évaluation des meilleures pratiques SQL pour activer l’évaluation à l’échelle, vous devez créer une affectation Azure Policy. Votre abonnement nécessite l’attribution de rôle Contributeur de stratégie de ressources pour l’étendue que vous ciblez. L’étendue peut être un abonnement ou un groupe de ressources.

    Si vous prévoyez de créer une nouvelle identité managée affectée par l'utilisateur, vous devez également disposer de l'attribution du rôle d'administrateur d'accès aux utilisateurs dans l'abonnement.

Pour plus de détails, passez en revue Configuration de l’évaluation des meilleures pratiques SQL – SQL Server avec Azure Arc.

Sauvegardes automatiques

L’extension Azure pour SQL Server peut sauvegarder automatiquement des bases de données système et utilisateur sur une instance de SQL Server activée par Azure Arc. Le service de sauvegarde dans l’extension Azure pour SQL Server utilise le compte NT AUTHORITY\SYSTEM pour effectuer les sauvegardes. Si vous utilisez SQL Server activé par Azure Arc avec le moins de privilèges possible, c'est un compte Windows local - NT Service\SQLServerExtension qui effectue la sauvegarde.

Si vous utilisez l'extension Azure pour SQL Server version 1.1.2504.99 ou ultérieure, les autorisations nécessaires sont accordées automatiquement à NT AUTHORITY\SYSTEM. Il n'est pas nécessaire d'attribuer des autorisations manuellement.

Si vous n’utilisez pas la configuration des privilèges minimum, la connexion intégrée NT AUTHORITY\SYSTEM SQL Server doit être membre des éléments suivants :

  • Rôle serveur dbcreator au niveau du serveur
  • Rôle db_backupoperator dans master, model, msdb, et chaque base de données utilisateur - à l’exclusion de tempdb.

Les sauvegardes automatisées sont désactivées par défaut. Une fois les sauvegardes automatisées configurées, l'extension Azure pour le service SQL Server lance une sauvegarde vers l'emplacement de sauvegarde par défaut. Les sauvegardes sont des sauvegardes natives de SQL Server, de sorte que tout l'historique des sauvegardes est disponible dans les tables liées aux sauvegardes dans la base de données msdb.

Microsoft Defender for Cloud

Microsoft Defender pour le cloud nécessite Azure Monitoring Agent à configurer sur le serveur avec Arc.

Pour plus d’informations, passez en revue Microsoft Defender pour le cloud.

Mises à jour automatiques

Les mises à jour automatiques remplacent les paramètres microsoft Update préconfigurés ou basés sur une stratégie configurés sur le serveur avec Arc.

  • Seules les mises à jour Windows et SQL Server Importantes et Critiques sont installées. Les autres mises à jour de SQL Server, telles que les Service Packs, les mises à jour cumulatives ou d'autres mises à jour qui ne sont pas marquées comme importantes ou critiques, doivent être installées manuellement ou par d'autres moyens. Pour plus d’informations sur le système d’évaluation des mises à jour de sécurité, consultez Security Update Severity Rating System (microsoft.com)
  • Fonctionne au niveau du système d’exploitation hôte et s’applique à toutes les instances SQL installées
  • Fonctionne actuellement, uniquement sur les hôtes Windows. Il configure Windows Update/Microsoft Update qui est le service qui met à jour les instances de SQL Server.

Pour plus d’informations, passez en revue Configurer les mises à jour automatiques pour les instances SQL Server activées pour Azure Arc.

Monitor

Vous pouvez surveiller le SQL Server activé par Azure Arc à l'aide d'un tableau de bord des performances dans le portail Azure. Les indicateurs de performance sont automatiquement collectés à partir de jeux de données de la vue de gestion dynamique (DMV) sur les instances SQL Server activé par Azure Arc éligibles et envoyés au pipeline de télémétrie Azure pour un traitement en quasi-temps réel. La surveillance est automatique, en supposant que toutes les conditions préalables sont remplies.

Les prérequis incluent :

  • Le serveur est connecté à telemetry.<region>.arcdataservices.com Pour plus d'informations, voir Configuration réseau requise.
  • Le type de licence sur l’instance SQL Server est défini sur License with Software Assurance ou Pay-as-you-go.

Pour afficher le tableau de bord des performances dans le portail Azure, vous devez être titulaire d'un rôle Azure auquel l'action Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ est attribuée. Pour plus de facilité, vous pouvez utiliser le rôle intégré Administrateurs Bases de données Azure Hybrid - Rôle de service en lecture seule, qui inclut cette action. Pour plus d'informations, consultez En savoir plus sur les rôles intégrés Azure.

Vous trouverez plus d’informations sur la fonctionnalité de tableau de bord de performances, notamment sur la façon d’activer/désactiver la collecte de données et les données collectées pour cette fonctionnalité peuvent être trouvés à Gérer dans Portail Azure.

Microsoft Entra ID

Microsoft Entra ID est un service de gestion des identités et des accès basé sur le cloud qui permet d'accéder à des ressources externes. L’authentification Microsoft Entra offre une sécurité considérablement renforcée par rapport à l’authentification traditionnelle basée sur le nom d’utilisateur et le mot de passe. SQL Server activé par Azure Arc utilise Microsoft Entra ID pour l’authentification , introduit dans SQL Server 2022 (16.x). Cela fournit une solution centralisée de gestion des identités et des accès à SQL Server.

SQL Server activé par Azure Arc stocke le certificat pour Microsoft Entra ID dans Azure Key Vault. Pour plus d'informations, passez en revue :

Pour configurer Microsoft Entra ID, suivez les instructions du tutoriel : Configurer l’authentification Microsoft Entra pour SQL Server.

Microsoft Purview

Exigences clés pour utiliser Purview :

Bonnes pratiques

Implémentez les configurations suivantes pour vous conformer aux meilleures pratiques actuelles pour sécuriser les instances de SQL Server activé par Azure Arc :

Contenu connexe