Megosztás:

Biztonság | Az Azure Arc által engedélyezett SQL Server

Ez a cikk az Azure Arc által engedélyezett SQL Server összetevőinek biztonsági architektúráját ismerteti.

Az Azure Arc által engedélyezett SQL Serverrel kapcsolatos háttérért tekintse át az Áttekintés | Az Azure Arc által engedélyezett SQL Server.

Ügynök és bővítmény

Az Azure Arc által engedélyezett SQL Server legfontosabb szoftverösszetevői a következők:

  • Azure Connected Machine-ügynök
  • Azure-bővítmény AZ SQL Serverhez

Az Azure Connected Machine-ügynök csatlakoztatja a kiszolgálókat az Azure-hoz. Az SQL ServerHez készült Azure-bővítmény adatokat küld az Azure-nak az SQL Serverről, és parancsokat kér le az Azure-ból egy Azure Relay kommunikációs csatornán keresztül, hogy végrehajtsa a műveletet egy SQL Server-példányon. Az ügynök és a bővítmény együttesen lehetővé teszi az Azure-on kívüli példányok és adatbázisok kezelését. Az SQL Server egyik példánya, az ügynökkel és a bővítménysel, engedélyezve van az Azure Arc által.

Az ügynök és a bővítmény biztonságosan csatlakozik az Azure-hoz, hogy kommunikációs csatornákat hozzon létre a Microsoft által felügyelt Azure-szolgáltatásokkal. Az ügynök a következő kapcsolaton keresztül tud kommunikálni:

  • Konfigurálható HTTPS-proxykiszolgáló az Azure Express Route-on keresztül
  • Azure Private Link
  • Az internet HTTPS-proxykiszolgálóval vagy anélkül

Részletekért tekintse át a Csatlakoztatott gép ügynök dokumentációját:

Adatgyűjtéshez és jelentéskészítéshez egyes szolgáltatásokhoz az Azure Monitoring Agent (AMA) bővítményre van szükség. A bővítményt egy Azure Log Analyticshez kell csatlakoztatni. Az AMA-t igénylő két szolgáltatás:

  • Felhőhöz készült Microsoft Defender
  • Az SQL Server ajánlott eljárásainak felmérése

Az SQL Serverhez készült Azure-bővítmény lehetővé teszi a gazdagép- vagy operációs rendszer-szintű (például a Windows Server feladatátvevő fürt) konfigurációs változások felderítését az összes SQL Server-példány esetében részletesebb szinten. Például:

  • SQL Server-motorpéldányok egy gazdagépen
  • SQL Server-példányon belüli adatbázisok
  • Rendelkezésre állási csoportok

Az SQL Serverhez készült Azure Extension lehetővé teszi az SQL Server-példányok központi felügyeletét, védelmét és szabályozását bárhol, ha adatokat gyűjt olyan feladatokhoz, mint a leltározás, a monitorozás és más feladatok. Az összegyűjtött adatok teljes listájáért tekintse át az adatgyűjtést és a jelentéskészítést.

Az alábbi ábra az Azure Arc-kompatibilis SQL Server architektúráját mutatja be.

Az Azure Arc által engedélyezett SQL Server logikai diagramja.

Megjegyzés:

Az architektúradiagram nagy felbontású letöltéséhez látogasson el a Jumpstart Gems webhelyre.

Összetevők

Az Azure Arc által engedélyezett SQL Server-példány integrált összetevőkkel és szolgáltatásokkal rendelkezik, amelyek a kiszolgálón futnak, és segítenek csatlakozni az Azure-hoz. Az ügynökségi szolgáltatások mellett az engedélyezett példányok az ebben a szakaszban felsorolt összetevőkkel is rendelkeznek.

Erőforrás-szolgáltatók

Az erőforrás-szolgáltató (RP) olyan REST-műveleteket tesz elérhetővé, amelyek az ARM API-n keresztül engedélyezik egy adott Azure-szolgáltatás funkcióit.

Az Azure SQL Serverhez készült kiterjesztés működéséhez a következő két RP-t kell regisztrálnia:

  • Microsoft.HybridCompute RP: Felügyeli az Azure Arc-kompatibilis kiszolgálói erőforrások életciklusát, beleértve a bővítménytelepítéseket, a csatlakoztatott gépi parancsok végrehajtását és egyéb felügyeleti feladatokat.
  • Microsoft.AzureArcData RP: Az Azure Arc-erőforrások által engedélyezett SQL Server életciklusát kezeli az SQL Server Azure-bővítményétől kapott leltár- és használati adatok alapján.

Azure Arc-adatfeldolgozási szolgáltatás

Az Azure Arc Data Processing Service (DPS) egy Azure-szolgáltatás, amely az Sql Serverhez készült Azure-bővítmény által biztosított SQL Server-adatokhoz jut egy Arc-csatlakoztatott kiszolgálón. A DPS a következő feladatokat hajtja végre:

  • Feldolgozza az SQL Serverhez készült Azure-bővítmény által a regionális végpontra küldött leltáradatokat, és ennek megfelelően frissíti az SqlServerInstance-erőforrásokat az ARM API és a Microsoft.AzureArcData RP használatával.
  • Feldolgozza az SQL Serverhez készült Azure-bővítmény által a regionális végpontra küldött használati adatokat, és elküldi a számlázási kérelmeket az Azure kereskedelmi szolgáltatásnak.
  • Figyeli a felhasználó által létrehozott SQL Server fizikai alap licencerőforrásait az ARM-ben, és a licencállapot alapján elküldi a számlázási kéréseket az Azure kereskedelmi szolgáltatásnak.

Az Azure Arc által engedélyezett SQL Serverhez szükséges, hogy az Azure Extension for SQL Server az Ügynökből kimenő kapcsolatot létesítsen a DPS-sel (*.<region>.arcdataservices.com 443-as TCP-port). Konkrét kommunikációs követelményekért tekintse át a Connect to Azure Arc adatfeldolgozási szolgáltatást.

Üzembe helyező

A deployer a kezdeti telepítési és konfigurációs frissítések során elindítja az SQL Serverhez készült Azure-bővítményt.

Azure-bővítmény az SQL Server Service-hez

Az SQL Server Service-hez készült Azure-bővítmény a háttérben fut a gazdakiszolgálón. A szolgáltatás konfigurációja az operációs rendszertől függ:

  • Operációs rendszer: Windows

    • Szolgáltatás neve: Microsoft SQL Server Extension Service
    • Megjelenítendő név: Microsoft SQL Server Extension Service
    • Futtatás következőként: Helyi rendszer
    • Napló helye: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

  • Operációs rendszer: Linux

    • Szolgáltatásnév: SqlServerExtension
    • Megjelenítendő név: Azure SQL Server Extension Service
    • Futtatás a következőként: root
    • Napló helye: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Funkcionalitás

Az Azure Arc által engedélyezett SQL Server-példány a következő feladatokat hajtja végre:

  • Az összes SQL Server-példány, adatbázis és rendelkezésre állási csoport leltározása

    Az AZURE Extension for SQL Server szolgáltatás óránként feltölt egy leltárt az adatfeldolgozási szolgáltatásba. A leltár tartalmazza az SQL Server-példányokat, az Always On rendelkezésre állási csoportokat és az adatbázis metaadatait.

  • Használat feltöltése

    Az SQL Server azure-bővítménye 12 óránként feltölti a használattal kapcsolatos adatokat az adatfeldolgozási szolgáltatásba.

Arc-kompatibilis kiszolgáló biztonsága

Az Azure Arc-kompatibilis kiszolgálók telepítésével, kezelésével és konfigurálásával kapcsolatos további információkért tekintse át az Arc-kompatibilis kiszolgálók biztonsági áttekintését.

Az Azure Arc security által engedélyezett SQL Server

Azure-bővítmény SQL Server-összetevőkhöz

Az SQL Server Azure-bővítménye két fő összetevőből áll, a Deployerből és a Bővítményszolgáltatásból.

Az üzembe helyező

A Deployer a kezdeti telepítés során elindítja a bővítményt, és az új SQL Server-példányok telepítésekor vagy a funkciók engedélyezése/letiltása esetén. A telepítés, frissítés vagy eltávolítás során a gazdakiszolgálón futó Arc-ügynök futtatja a Deployert bizonyos műveletek végrehajtásához:

  • Felszerel
  • Engedélyezés
  • Frissítés
  • Kikapcsol
  • Program eltávolítása

A Deployer az Azure Connected Machine-ügynökszolgáltatás kontextusában fut, ezért a következőként Local Systemfut: .

A Bővítmény szolgáltatás

A bővítményszolgáltatás óránként összegyűjti a leltár- és adatbázis-metaadatokat (csak Windows rendszeren), és feltölti az Azure-ba. Windows rendszeren Local System felhasználóként, vagy Linuxon root felhasználóként fut. A bővítményszolgáltatás az Arc-kompatibilis SQL Server szolgáltatás részeként különböző funkciókat biztosít.

Futtatás minimális jogosultsággal

A bővítményszolgáltatást úgy konfigurálhatja, hogy minimális jogosultságokkal fusson. A minimális jogosultsági mód konfigurálásáról további információt a Legkevésbé jogosultság engedélyezése című cikkben talál.

Ha a minimális jogosultságra van konfigurálva, a bővítményszolgáltatás szolgáltatásfiókként NT Service\SQLServerExtension fut.

A NT Service\SQLServerExtension fiók egy helyi Windows-szolgáltatásfiók:

  • Az SQL Server Deployer azure-bővítménye hozza létre és felügyeli, ha a minimális jogosultsági beállítás engedélyezve van.
  • Megkapta a minimálisan szükséges engedélyeket és jogosultságokat az SQL Server azure-bővítményének Windows operációs rendszeren való futtatásához. Csak a konfigurációk olvasásához és tárolásához vagy naplók írásához használt mappákhoz és könyvtárakhoz fér hozzá.
  • Engedélyt kapott az SQL Serveren való csatlakozásra és lekérdezésre egy olyan új bejelentkezéssel, amely kifejezetten az SQL Serverhez készült Azure-bővítmény szolgáltatásfiókhoz szükséges minimális engedélyekkel rendelkezik. A minimális engedélyek az engedélyezett funkcióktól függenek.
  • Frissítve, ha már nincs szükség engedélyekre. A rendszer például visszavonja az engedélyeket, amikor letilt egy funkciót, letiltja a minimális jogosultsági konfigurációt, vagy eltávolítja az SQL ServerHez készült Azure-bővítményt. A visszavonás biztosítja, hogy a már nem szükséges engedélyek ne maradjanak meg.

Az engedélyek teljes listáját a Windows-szolgáltatásfiókok és -engedélyek konfigurálása című témakörben találja.

Bővítmény a felhőbeli kommunikációhoz

Az Arc-kompatibilis SQL Server kimenő kapcsolatot igényel az Azure Arc Data Processing Service-hez.

Minden virtuális vagy fizikai kiszolgálónak kommunikálnia kell az Azure-ral. Konkrétan a következőhöz kell csatlakozniuk:

  • URL-cím: *.<region>.arcdataservices.com
    • Az Egyesült Államok kormányzatának virginiai régióihoz használja a *.<region>.arcdataservices.azure.us-t.
  • Port: 443
  • Irány: Kimenő
  • Hitelesítésszolgáltató: Microsoft Entra ID

A regionális végpont régiószegmensének lekéréséhez távolítsa el az összes szóközt az Azure-régió nevéből. Például az USA 2. keleti régiója, a régió neve .eastus2

Például: Az USA 2. keleti régiójában a *.<region>.arcdataservices.com-nak *.eastus2.arcdataservices.com-nek kell lennie.

A támogatott régiók listájáért tekintse át Támogatott Azure régiók.

Az összes régió listájához futtassa ezt a parancsot:

az account list-locations -o table

Szolgáltatásszintű biztonsági szempontok

A különböző funkciók és szolgáltatások speciális biztonsági konfigurációs szempontokat tartalmaznak. Ez a szakasz a következő funkciók biztonsági aspektusait ismerteti:

Auditálási tevékenység

A tevékenységnaplókat az Azure Arc-erőforrás által engedélyezett SQL Server szolgáltatásmenüjében érheti el az Azure Portalon. A tevékenységnapló rögzíti az Arc-kompatibilis SQL Server-erőforrások naplózási adatait és változási előzményeit az Azure Resource Managerben. További részletekért tekintse át a tevékenységnaplók használatát az Azure Arc által engedélyezett SQL Serverrel.

Ajánlott eljárások értékelése

Az ajánlott eljárások értékelése a következő követelményekkel rendelkezik:

  • Győződjön meg arról, hogy a Windows-alapú SQL Server-példány csatlakozik az Azure-hoz. Kövesse az SQL Server automatikus csatlakoztatása az Azure Arccímű témakör utasításait.

    Megjegyzés:

    Az ajánlott eljárások értékelése jelenleg a Windows rendszerű gépeken futó SQL Serverre korlátozódik. Az értékelés jelenleg nem vonatkozik a Linux rendszerű gépeken futó SQL Serverre.

  • Ha a kiszolgáló egyetlen SQL Server-példányt üzemeltet, győződjön meg arról, hogy az AZURE Extension for SQL Server (WindowsAgent.SqlServer) verziója 1.1.2202.47-es vagy újabb.

    Ha a kiszolgáló több SQL Server-példányt is üzemeltet, győződjön meg arról, hogy az SQL Serverhez készült Azure Extension (WindowsAgent.SqlServer) verziója 1.1.2231.59-nél későbbi.

    Az AZURE Extension for SQL Server verziójának ellenőrzéséhez és a legújabb verzióra való frissítéshez tekintse át bővítmények frissítését.

  • Ha a kiszolgáló az SQL Server egy elnevezett példányát üzemelteti, az SQL Server Browser szolgáltatásnak kell futnia.

  • Log Analytics-munkaterület ugyanabban az előfizetésben kell lennie, mint az Azure Arc-kompatibilis SQL Server-erőforrásnak.

  • Az SQL Server ajánlott eljárásainak értékelését konfiguráló felhasználónak a következő engedélyekkel kell rendelkeznie:

    • Log Analytics-közreműködői szerepkör a Log Analytics-munkaterület erőforráscsoportjában vagy előfizetésében.
    • Az Arc-kompatibilis SQL Server-példány erőforráscsoportján vagy előfizetésén található Azure Connected Machine Resource Administrator szerepkör.
    • Közreműködői szerepkör figyelése a Log Analytics-munkaterület erőforráscsoportján vagy előfizetésén, valamint az Azure Arc-kompatibilis gép erőforráscsoportján vagy előfizetésén.

    A beépített szerepkörökhöz, például közreműködőhöz vagy tulajdonoshoz rendelt felhasználók megfelelő engedélyekkel rendelkeznek. További információ: Azure-szerepkörök hozzárendelése az Azure Portalhasználatával.

  • Az értékelési jelentés eléréséhez vagy olvasásához szükséges minimális engedélyek a következők:

    • Az SQL Server - Azure Arc erőforráscsoportjának vagy előfizetésének olvasói szerepköre.
    • Log Analytics olvasó.
    • Monitorozási olvasó a Log Analytics-munkaterület erőforráscsoportján vagy előfizetésén.

    Az értékelési jelentés eléréséhez vagy olvasásához az alábbi további követelmények szükségesek:

    • Az SQL Server beépített bejelentkezési NT AUTHORITY\SYSTEM tagja kell hogy legyen az SQL Server sysadmin kiszolgálói szerepkörnek minden SQL Server-példány esetében, amely ezen a gépen fut.

    • Ha a tűzfal vagy a proxykiszolgáló korlátozza a kimenő kapcsolatot, győződjön meg arról, hogy engedélyezi az Azure Arc számára a 443-es TCP-porton keresztül az alábbi URL-címeket:

      • global.handler.control.monitor.azure.com
      • *.handler.control.monitor.azure.com
      • <log-analytics-workspace-id>.ods.opinsights.azure.com
      • *.ingest.monitor.azure.com

  • Az SQL Server-példánynak engedélyeznie kell a TCP/IP-.

  • Az SQL Server ajánlott eljárásainak értékelése az Azure Monitor Agent (AMA) használatával gyűjti és elemzi az SQL Server-példányokból származó adatokat. Ha az ajánlott eljárások értékelése előtt telepítette az AMA-t az SQL Server-példányokra, az értékelés ugyanazokat az AMA-ügynök- és proxybeállításokat használja. Semmi mást nem kell tennie.

    Ha nincs telepítve az AMA az SQL Server-példányokra, az ajánlott eljárásokat értékelő eszköz automatikusan telepíti azt az Ön számára. Az ajánlott eljárások értékelése nem állítja be automatikusan az AMA proxybeállítását. Az AMA-t újra kell üzembe helyeznie a kívánt proxybeállításokkal.

    Az AMA hálózat és a proxybeállítások további információiért tekintse át a proxy konfiguráció.

  • Ha az Arc-kompatibilis kiszolgálók konfigurálása telepített SQL Server-bővítménysel az SQL ajánlott eljárások felmérésének engedélyezéséhez vagy letiltásához Azure-szabályzattal engedélyezi az értékelést skálázási, létre kell hoznia egy Azure Policy-hozzárendelést. Az előfizetéshez az "Erőforrásházirend-közreműködő" szerepkör hozzárendelése szükséges az Ön által megcélzott hatókörhöz. A hatókör lehet előfizetés vagy erőforráscsoport.

    Ha új, felhasználó által hozzárendelt felügyelt identitást szeretne létrehozni, szüksége lesz a felhasználói hozzáférés-rendszergazda szerepkör-hozzárendelésre is az előfizetésben.

További információkért tekintse át az SQL ajánlott eljárások értékelésének konfigurálásával kapcsolatos dokumentációt – Azure Arc által engedélyezett SQL Server.

Automatikus biztonsági mentések

Az SQL Server Azure-bővítménye automatikusan biztonsági másolatot készíthet a rendszer- és felhasználói adatbázisokról az Azure Arc által engedélyezett SQL Server-példányon. Az SQL ServerHez készült Azure-bővítmény biztonsági mentési szolgáltatása a NT AUTHORITY\SYSTEM fiókot használja a biztonsági mentések végrehajtásához. Ha az Azure Arc által engedélyezett SQL Servert a legkisebb jogosultsággal működteti, egy helyi Windows-fiók NT Service\SQLServerExtension végzi a biztonsági mentést.

Ha az Azure-bővítményt használja az SQL Server 1.1.2504.99 vagy újabb verziójához, a szükséges engedélyek NT AUTHORITY\SYSTEM automatikusan megadódnak. Nem kell manuálisan hozzárendelnie az engedélyeket.

Ha nem a legkisebb jogosultság elvét alkalmazza a konfigurációban, akkor a beépített SQL Server bejelentkezés NT AUTHORITY\SYSTEM a következő csoportok egyikének tagja kell, hogy legyen:

  • dbcreator kiszolgálói szerepkör a szerver szintjén
  • db_backupoperator szerepkör a master, model, msdb, és minden felhasználói adatbázisban – kivéve tempdb.

Az automatikus biztonsági mentések alapértelmezés szerint le vannak tiltva. Az automatikus biztonsági mentések konfigurálása után az AZURE Extension for SQL Server szolgáltatás biztonsági mentést kezdeményez az alapértelmezett biztonsági mentési helyre. A biztonsági másolatok natív SQL Server-biztonsági mentések, így az összes biztonsági mentési előzmény elérhető az msdb adatbázis biztonsági mentéssel kapcsolatos tábláiban.

Felhőhöz készült Microsoft Defender

A Microsoft Defender for Cloud megköveteli az Azure Monitoring Agent konfigurálását az Arc-kompatibilis kiszolgálón.

További részletekért tekintse át a Microsoft Defender for Cloud alkalmazást.

Automatikus frissítések

Az automatikus frissítések felülírják az Arc-kompatibilis kiszolgálón konfigurált, előre konfigurált vagy szabályzatalapú frissítési Microsoft Update-beállításokat.

  • Csak a fontosként vagy kritikusként megjelölt Windows- és SQL Server-frissítések vannak telepítve. Az SQL Server egyéb frissítéseit, például szervizcsomagokat, kumulatív frissítéseket vagy egyéb, nem fontosként vagy kritikusként megjelölt frissítéseket manuálisan vagy más módon kell telepíteni. További információ a biztonsági frissítés minősítési rendszeréről: Security Update Severity Rating System (microsoft.com)
  • A gazda operációs rendszer szintjén működik, és az összes telepített SQL Server példányokra vonatkozik
  • Jelenleg csak Windows rendszerű gazdagépeken működik. Konfigurálja a Windows Update/Microsoft Update szolgáltatást, amely végső soron frissíti az SQL Server-példányokat.

További részletekért tekintse át az Azure Archoz engedélyezett SQL Server-példányok automatikus frissítéseinek konfigurálását.

Kijelző

Az Azure Arc által engedélyezett SQL Servert egy teljesítmény-irányítópulttal figyelheti az Azure Portalon. A teljesítménymetrikákat a rendszer automatikusan összegyűjti a Dinamikus felügyeleti nézet (DMV) adathalmazaiból az Azure Arc által engedélyezett SQL Server-példányokon, és közel valós idejű feldolgozás céljából elküldi őket az Azure telemetriai folyamatának. A monitorozás automatikus, feltéve, hogy minden előfeltétel teljesül.

Az előfeltételek a következők:

  • A kiszolgáló kapcsolattal telemetry.<region>.arcdataservices.com rendelkezik. További információ: Hálózati követelmények.
  • Az SQL Server-példány licenctípusa a következőre License with Software Assurance van állítva: vagy Pay-as-you-go.

Az Azure portalon a teljesítmény irányítópult megtekintéséhez egy olyan Azure-szerepkört kell kapnia, amelyhez a Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ művelet hozzárendelésre került. Az egyszerűség kedvéért használhatja a beépített Azure Hybrid Database Administrator – Csak olvasható szolgáltatási szerepkört, amely tartalmazza ezt a műveletet. További információ: További információ az Azure beépített szerepköreiről.

A teljesítményműszerfal funkcióról, beleértve az adatgyűjtés engedélyezését/letiltását és az ehhez a funkcióhoz gyűjtött adatokat, részleteket az Azure portal Monitor oldalán talál.

Microsoft Entra ID

A Microsoft Entra ID egy felhőalapú identitás- és hozzáférés-kezelési szolgáltatás, amely lehetővé teszi a külső erőforrásokhoz való hozzáférést. A Microsoft Entra-hitelesítés jelentősen megnövelt biztonságot nyújt a hagyományos felhasználónévvel és jelszóalapú hitelesítésvel szemben. Az Azure Arc által engedélyezett SQL Server a Microsoft Entra-azonosítót használja a hitelesítéshez – az SQL Server 2022-ben (16.x). Ez egy központosított identitás- és hozzáférés-kezelési megoldást biztosít az SQL Server számára.

Az Azure Arc által engedélyezett SQL Server a Microsoft Entra ID tanúsítványát az Azure Key Vaultban tárolja. Részletekért tekintse át a következőt:

A Microsoft Entra ID beállításához kövesse az oktatóanyag utasításait : Microsoft Entra-hitelesítés beállítása AZ SQL Serverhez.

Microsoft Purview

A Purview használatának legfontosabb követelményei:

Ajánlott eljárások

Az Azure Arc által engedélyezett SQL Server-példányok biztonságossá tételéhez kövesse az alábbi konfigurációkat, hogy megfeleljenek az aktuális ajánlott eljárásoknak:

Kapcsolódó tartalom

  • Last updated on