Bagikan melalui

Konfigurasi keamanan pisah-gabung

  • Artikel

Berlaku untuk: Azure SQL Database

Untuk menggunakan layanan Pisahkan/Gabungkan, Anda harus mengonfigurasi keamanan dengan benar. Layanan ini merupakan bagian dari fitur Skala Elastis dari Azure SQL Database. Untuk informasi selengkapnya, lihat Tutorial Layanan Pemisahan dan Penggabungan Skala Elastis.

Mengonfigurasi sertifikat

Sertifikat dikonfigurasi dengan dua cara.

  1. Untuk Mengonfigurasi Sertifikat TLS/SSL
  2. Untuk Mengonfigurasi Sertifikat Klien

Untuk mendapatkan sertifikat

Sertifikat dapat diperoleh dari Otoritas Sertifikat publik (OS) atau dari Layanan Sertifikat Windows. Ini adalah metode yang lebih diutamakan untuk mendapatkan sertifikat.

Jika opsi tersebut tidak tersedia, Anda dapat membuat sertifikat yang ditandatangani sendiri.

Alat untuk menghasilkan sertifikat

Untuk menjalankan alat

Untuk mengonfigurasi sertifikat TLS/SSL

Sertifikat TLS/SSL diperlukan untuk mengenkripsi komunikasi dan mengautentikasi server. Pilih yang paling sesuai dari tiga skenario di bawah ini, dan jalankan semua langkahnya:

Membuat sertifikat baru yang ditandatangani sendiri

  1. Buat Sertifikat yang Ditandatangani Sendiri
  2. Buat file PFX untuk sertifikat TLS/SSL yang Ditandatangani Sendiri
  3. Unggah Sertifikat TLS/SSL ke Layanan Awan
  4. Perbarui Sertifikat TLS/SSL dalam File Konfigurasi Layanan
  5. Impor Otoritas Sertifikasi TLS/SSL

Untuk menggunakan sertifikat yang sudah ada dari penyimpanan sertifikat

  1. Ekspor Sertifikat TLS/SSL Dari Penyimpanan Sertifikat
  2. Unggah Sertifikat TLS/SSL ke Layanan Awan
  3. Perbarui Sertifikat TLS/SSL dalam File Konfigurasi Layanan

Untuk menggunakan sertifikat yang ada dalam file PFX

  1. Unggah Sertifikat TLS/SSL ke Layanan Awan
  2. Perbarui Sertifikat TLS/SSL dalam File Konfigurasi Layanan

Untuk mengonfigurasi sertifikat klien

Sertifikat klien diperlukan untuk mengautentikasi permintaan ke layanan. Pilih yang paling sesuai dari tiga skenario di bawah ini, dan jalankan semua langkahnya:

Nonaktifkan sertifikat klien

  1. Nonaktifkan Autentikasi Berbasis Sertifikat Klien

Terbitkan sertifikat klien baru yang ditandatangani sendiri

  1. Membuat Otoritas Sertifikasi yang Ditandatangani Sendiri
  2. Unggah Sertifikat OS ke Layanan Awan
  3. Perbarui Sertifikat OS dalam File Konfigurasi Layanan
  4. Terbitkan Sertifikat Klien
  5. Buat file PFX untuk Sertifikat Klien
  6. Impor Sertifikat Klien
  7. Salin Thumbprint Sertifikat Klien
  8. Konfigurasikan Klien yang Diizinkan dalam File Konfigurasi Layanan

Gunakan sertifikat klien yang sudah ada

  1. Temukan Kunci Umum OS
  2. Unggah Sertifikat OS ke Layanan Awan
  3. Perbarui Sertifikat OS dalam File Konfigurasi Layanan
  4. Salin Thumbprint Sertifikat Klien
  5. Konfigurasikan Klien yang Diizinkan dalam File Konfigurasi Layanan
  6. Konfigurasikan Pemeriksaan Pencabutan Sertifikat Klien

Alamat IP yang diizinkan

Akses ke titik akhir layanan dapat dibatasi untuk rentang alamat IP tertentu.

Untuk mengkonfigurasi enkripsi untuk penyimpanan

Sertifikat diperlukan untuk mengenkripsi informasi masuk yang disimpan di penyimpanan metadata. Pilih yang paling sesuai dari tiga skenario di bawah ini, dan jalankan semua langkahnya:

Gunakan sertifikat baru yang ditandatangani sendiri

  1. Buat Sertifikat yang Ditandatangani Sendiri
  2. Buat berkas PFX untuk Sertifikat Enkripsi yang Ditandatangani Sendiri
  3. Unggah Sertifikat Enkripsi ke Layanan Awan
  4. Perbarui Sertifikat Enkripsi dalam File Konfigurasi Layanan

Gunakan sertifikat yang ada dari penyimpanan sertifikat

  1. Ekspor Sertifikat Enkripsi Dari Penyimpanan Sertifikat
  2. Unggah Sertifikat Enkripsi ke Layanan Awan
  3. Perbarui Sertifikat Enkripsi dalam File Konfigurasi Layanan

Gunakan sertifikat yang ada dalam file PFX

  1. Unggah Sertifikat Enkripsi ke Layanan Awan
  2. Perbarui Sertifikat Enkripsi dalam File Konfigurasi Layanan

Konfigurasi default

Konfigurasi default menolak semua akses ke titik akhir HTTP. Ini adalah pengaturan yang direkomendasikan, karena permintaan ke titik akhir ini dapat membawa informasi sensitif seperti informasi masuk database. Konfigurasi default memungkinkan semua akses ke titik akhir HTTPS. Pengaturan ini mungkin dibatasi lebih lanjut.

Mengubah Konfigurasi

Grup aturan kontrol akses yang berlaku untuk dan titik akhir dikonfigurasi di bagian <EndpointAcls> di file konfigurasi layanan.

<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpIn" accessControl="DenyAll" />
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="AllowAll" />
</EndpointAcls>

Aturan dalam grup kontrol akses dikonfigurasi di bagian <AccessControl name=""> dari file konfigurasi layanan.

Format dijelaskan dalam dokumentasi Daftar Kontrol Akses Jaringan. Misalnya, untuk mengizinkan hanya IP dalam rentang 100.100.0.0 hingga 100.100.255.255 untuk mengakses titik akhir HTTPS, aturannya akan terlihat seperti ini:

<AccessControl name="Retricted">
    <Rule action="permit" description="Some" order="1" remoteSubnet="100.100.0.0/16"/>
    <Rule action="deny" description="None" order="2" remoteSubnet="0.0.0.0/0" />
</AccessControl>
<EndpointAcls>
    <EndpointAcl role="SplitMergeWeb" endPoint="HttpsIn" accessControl="Restricted" />
</EndpointAcls>

Penolakan pencegahan layanan

Ada dua mekanisme berbeda yang didukung untuk mendeteksi dan mencegah Penolakan Serangan Layanan:

  • Batasi jumlah permintaan serentak per host jarak jauh (nonaktif secara default)
  • Batasi tingkat akses per host jarak jauh (diaktifkan secara default)

Ini didasarkan pada fitur yang didokumentasikan lebih lanjut dalam Keamanan IP Dinamis di IIS (Layanan Informasi Internet). Saat mengubah konfigurasi ini, waspadai faktor-faktor berikut:

  • Perilaku proksi dan perangkat Network Address Translation (NAT) melalui informasi host jarak jauh
  • Setiap permintaan ke sumber daya apa pun dalam peran web dipertimbangkan (misalnya, memuat skrip, gambar, dll)

Membatasi jumlah akses bersamaan

Pengaturan yang mengonfigurasi perilaku ini adalah:

<Setting name="DynamicIpRestrictionDenyByConcurrentRequests" value="false" />
<Setting name="DynamicIpRestrictionMaxConcurrentRequests" value="20" />

Ubah DynamicIpRestrictionDenyByConcurrentRequests ke true untuk mengaktifkan perlindungan ini.

Membatasi laju akses

Pengaturan yang mengonfigurasi perilaku ini adalah:

<Setting name="DynamicIpRestrictionDenyByRequestRate" value="true" />
<Setting name="DynamicIpRestrictionMaxRequests" value="100" />
<Setting name="DynamicIpRestrictionRequestIntervalInMilliseconds" value="2000" />

Mengonfigurasi respons terhadap permintaan yang ditolak

Pengaturan berikut mengonfigurasi respons terhadap permintaan yang ditolak:

<Setting name="DynamicIpRestrictionDenyAction" value="AbortRequest" />

Lihat dokumentasi untuk Keamanan IP Dinamis di IIS untuk nilai lain yang didukung.

Operasi untuk mengonfigurasi sertifikat layanan

Topik ini hanya untuk referensi. Ikuti langkah-langkah konfigurasi yang diuraikan dalam:

  • Konfigurasikan sertifikat TLS/SSL
  • Konfigurasikan sertifikat klien

Membuat sertifikat yang ditandatangani sendiri

Jalankan:

makecert ^
  -n "CN=myservice.cloudapp.net" ^
  -e MM/DD/YYYY ^
  -r -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.1" ^
  -a sha256 -len 2048 ^
  -sv MySSL.pvk MySSL.cer

Untuk kustomisasi:

  • -n dengan URL layanan. Karakter kartubebas ("CN=*.cloudapp.net") dan nama alternatif ("CN=myservice1.cloudapp.net, CN=myservice2.cloudapp.net") didukung.
  • -e dengan tanggal kedaluwarsa sertifikat Buat kata sandi yang kuat dan tentukan ketika diminta.

Buat file PFX untuk sertifikat TLS/SSL yang ditandatangani sendiri

Jalankan:

pvk2pfx -pvk MySSL.pvk -spc MySSL.cer

Masukkan kata sandi lalu ekspor sertifikat dengan opsi ini:

  • Ya, ekspor kunci privat
  • Ekspor semua properti tambahan

Ekspor sertifikat TLS/SSL dari penyimpanan sertifikat

  • Temukan sertifikat
  • Klik Tindakan -> Semua tugas -> Ekspor…
  • Ekspor sertifikat ke dalam . File PFX dengan opsi ini:
    • Ya, ekspor kunci privat
    • Sertakan semua sertifikat dalam jalur sertifikasi jika memungkinkan *Ekspor semua properti tambahan

Unggah sertifikat TLS/SSL ke layanan awan

Unggah sertifikat dengan file .PFX yang sudah ada atau yang dibuat dengan pasangan kunci TLS:

  • Masukkan kata sandi yang melindungi informasi kunci privat

Perbarui sertifikat TLS/SSL dalam file konfigurasi layanan

Perbarui nilai thumbprint dari pengaturan berikut dalam file konfigurasi layanan dengan thumbprint sertifikat yang diunggah ke layanan awan:

<Certificate name="SSL" thumbprint="" thumbprintAlgorithm="sha1" />

Impor otoritas sertifikasi TLS/SSL

Ikuti langkah-langkah ini di semua akun/mesin yang akan berkomunikasi dengan layanan:

  • Klik dua kali pada file .CER di Windows Explorer
  • Dalam dialog Sertifikat, klik Pasang Sertifikat
  • Impor sertifikat ke dalam penyimpanan Otoritas Sertifikasi Akar Tepercaya

Nonaktifkan autentikasi berbasis sertifikat klien

Hanya autentikasi berbasis sertifikat klien yang didukung dan menonaktifkannya akan memungkinkan akses publik ke titik akhir layanan, kecuali ada mekanisme lain (misalnya, Microsoft Azure Virtual Network).

Ubah pengaturan ini menjadi false dalam file konfigurasi layanan untuk menonaktifkan fitur:

<Setting name="SetupWebAppForClientCertificates" value="false" />
<Setting name="SetupWebserverForClientCertificates" value="false" />

Kemudian, salin thumbprint yang sama dengan sertifikat TLS/SSL dalam pengaturan sertifikat OS:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Buat otoritas sertifikasi yang ditandatangani sendiri

Jalankan langkah-langkah berikut untuk membuat sertifikat yang ditandatangani sendiri untuk bertindak sebagai Otoritas Sertifikasi:

makecert ^
-n "CN=MyCA" ^
-e MM/DD/YYYY ^
 -r -cy authority -h 1 ^
 -a sha256 -len 2048 ^
  -sr localmachine -ss my ^
  MyCA.cer

Untuk mengkustomisasinya

  • -e dengan tanggal kedaluwarsa sertifikasi

Temukan kunci umum OS

Semua sertifikat klien harus telah diterbitkan oleh Otoritas Sertifikasi yang dipercaya oleh layanan. Temukan kunci umum ke Otoritas Sertifikasi yang menerbitkan sertifikat klien yang akan digunakan untuk autentikasi guna mengunggahnya ke layanan awan.

Jika file dengan kunci umum tidak tersedia, ekspor dari penyimpanan sertifikat:

  • Temukan sertifikat
    • Cari sertifikat klien yang dikeluarkan oleh Otoritas Sertifikasi yang sama
  • Klik dua kali pada sertifikat.
  • Pilih tab Jalur Sertifikasi dalam dialog Sertifikat.
  • Klik dua kali pada entri OS di jalur tersebut.
  • Catat properti sertifikat.
  • Tutup dialog Sertifikat.
  • Temukan sertifikat
    • Cari OS yang disebutkan di atas.
  • Klik Tindakan -> Semua tugas -> Ekspor…
  • Ekspor sertifikat ke dalam . CER dengan opsi berikut:
    • Tidak, jangan ekspor kunci privat
    • Sertakan semua sertifikat dalam jalur sertifikasi jika memungkinkan.
    • Ekspor semua properti tambahan.

Unggah sertifikat OS ke layanan awan

Unggah sertifikat dengan file .CER yang sudah ada atau yang dibuat dengan kunci umum OS.

Perbarui sertifikat OS dalam file konfigurasi layanan

Perbarui nilai thumbprint dari pengaturan berikut dalam file konfigurasi layanan dengan thumbprint sertifikat yang diunggah ke layanan awan:

<Certificate name="CA" thumbprint="" thumbprintAlgorithm="sha1" />

Perbarui nilai pengaturan berikut dengan thumbprint yang sama:

<Setting name="AdditionalTrustedRootCertificationAuthorities" value="" />

Terbitkan sertifikat klien

Setiap individu yang berwenang untuk mengakses layanan harus memiliki sertifikat klien yang dikeluarkan untuk penggunaan eksklusif mereka dan harus memilih kata sandi kuat mereka sendiri untuk melindungi kunci privatnya.

Langkah-langkah berikut harus dijalankan di mesin yang sama di mana sertifikat OS yang ditandatangani sendiri dihasilkan dan disimpan:

makecert ^
  -n "CN=My ID" ^
  -e MM/DD/YYYY ^
  -cy end -sky exchange -eku "1.3.6.1.5.5.7.3.2" ^
  -a sha256 -len 2048 ^
  -in "MyCA" -ir localmachine -is my ^
  -sv MyID.pvk MyID.cer

Menyesuaikan:

  • -n dengan ID untuk klien yang akan diautentikasi dengan sertifikat ini
  • -e dengan tanggal kedaluwarsa sertifikat
  • MyID.pvk dan MyID.cer dengan nama file unik untuk sertifikat klien ini

Perintah ini akan meminta kata sandi dibuat lalu digunakan sekali. Gunakan kata sandi yang kuat.

Buat file PFX untuk sertifikat klien

Untuk setiap sertifikat klien yang dihasilkan, jalankan:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Menyesuaikan:

MyID.pvk and MyID.cer with the filename for the client certificate

Masukkan kata sandi lalu ekspor sertifikat dengan opsi ini:

  • Ya, ekspor kunci privat
  • Ekspor semua properti tambahan
  • Individu yang menerima sertifikat ini harus memilih kata sandi ekspor

Impor sertifikat klien

Setiap individu yang sertifikat kliennya telah diterbitkan harus mengimpor pasangan kunci di mesin yang akan mereka gunakan untuk berkomunikasi dengan layanan:

  • Klik dua kali pada file .PFX di Windows Explorer
  • Impor sertifikat ke penyimpanan Pribadi dengan setidaknya opsi ini:
    • Sertakan semua properti tambahan yang diperiksa

Salin thumbprint sertifikat klien

Setiap individu yang sertifikat kliennya telah diterbitkan harus mengikuti langkah-langkah ini untuk mendapatkan thumbprint sertifikat mereka, yang akan ditambahkan ke file konfigurasi layanan:

  • Jalankan certmgr.exe
  • Pilih tab Personal
  • Klik dua kali pada sertifikat klien yang akan digunakan untuk autentikasi
  • Dalam dialog Sertifikat yang terbuka, pilih tab Detail
  • Pastikan Show menampilkan All
  • Pilih bidang bernama Thumbprint dalam daftar
  • Salin nilai thumbprint
    • Hapus karakter Unicode yang tidak terlihat di depan digit pertama
    • Hapus semua spasi

Konfigurasikan Klien yang diizinkan dalam file konfigurasi layanan

Perbarui nilai pengaturan berikut dalam file konfigurasi layanan dengan daftar thumbprint yang dipisahkan koma dari sertifikat klien yang diizinkan mengakses layanan:

<Setting name="AllowedClientCertificateThumbprints" value="" />

Konfigurasikan pemeriksaan pencabutan sertifikat klien

Pengaturan default tidak cocok dengan Otoritas Sertifikasi untuk status pencabutan sertifikat klien. Untuk mengaktifkan pemeriksaan, jika Otoritas Sertifikasi yang menerbitkan sertifikat klien mendukung pemeriksaan tersebut, ubah pengaturan berikut dengan salah satu nilai yang ditentukan dalam Enumerasi X509RevocationMode:

<Setting name="ClientCertificateRevocationCheck" value="NoCheck" />

Buat file PFX untuk sertifikat enkripsi yang ditandatangani sendiri

Untuk sertifikat enkripsi, jalankan:

pvk2pfx -pvk MyID.pvk -spc MyID.cer

Menyesuaikan:

MyID.pvk and MyID.cer with the filename for the encryption certificate

Masukkan kata sandi lalu ekspor sertifikat dengan opsi ini:

  • Ya, ekspor kunci privat
  • Ekspor semua properti tambahan
  • Anda akan memerlukan kata sandi saat mengunggah sertifikat ke layanan awan.

Ekspor sertifikat enkripsi dari penyimpanan sertifikat

  • Temukan sertifikat
  • Klik Tindakan -> Semua tugas -> Ekspor…
  • Ekspor sertifikat ke dalam . File PFX dengan opsi ini:
    • Ya, ekspor kunci privat
    • Sertakan semua sertifikat dalam jalur sertifikasi jika memungkinkan
  • Ekspor semua properti tambahan

Unggah sertifikat enkripsi ke layanan awan

Unggah sertifikat dengan file .PFX yang sudah ada atau yang dibuat dengan pasangan kunci enkripsi:

  • Masukkan kata sandi yang melindungi informasi kunci privat

Perbarui sertifikat enkripsi dalam file konfigurasi layanan

Perbarui nilai thumbprint dari pengaturan berikut dalam file konfigurasi layanan dengan thumbprint sertifikat yang diunggah ke layanan awan:

<Certificate name="DataEncryptionPrimary" thumbprint="" thumbprintAlgorithm="sha1" />

Operasi sertifikat umum

  • Konfigurasikan sertifikat TLS/SSL
  • Konfigurasikan sertifikat klien

Temukan sertifikat

Ikuti langkah-langkah ini:

  1. Jalankan mmc.exe.
  2. File -> Tambahkan/Hapus Snap-in…
  3. Pilih Sertifikat.
  4. Klik Tambahkan.
  5. Pilih lokasi penyimpanan sertifikat.
  6. Klik Selesai.
  7. Klik OK.
  8. Luaskan Sertifikat.
  9. Luaskan simpul penyimpanan sertifikat.
  10. Luaskan node anak Sertifikat.
  11. Pilih sertifikat dalam daftar.

Mengekspor sertifikat

Dalam Wizard Ekspor Sertifikat:

  1. Klik Berikutnya.
  2. Pilih Ya, lalu Ekspor kunci privat.
  3. Klik Berikutnya.
  4. Pilih format file output yang diinginkan.
  5. Periksa opsi yang diinginkan.
  6. Periksa Kata Sandi.
  7. Masukkan kata sandi yang kuat dan konfirmasikan.
  8. Klik Berikutnya.
  9. Ketik atau telusuri nama file tempat menyimpan sertifikat (gunakan ekstensi .PFX).
  10. Klik Selanjutnya.
  11. Klik Selesai.
  12. Klik OK.

Mengimpor sertifikat

Dalam Wizard Impor Sertifikat:

  1. Pilih lokasi penyimpanan.

    • Pilih Pengguna Saat Ini jika hanya proses yang berjalan di bawah pengguna saat ini yang akan mengakses layanan
    • Pilih Mesin Lokal jika proses lain di komputer ini akan mengakses layanan

  2. Klik Berikutnya.

  3. Jika mengimpor dari file, konfirmasi jalur file.

  4. Jika mengimpor file .PFX:

    1. Masukkan kata sandi yang melindungi kunci privat
    2. Pilih opsi impor

  5. Pilih "Tempatkan" sertifikat di penyimpanan berikut

  6. Klik Telusuri.

  7. Pilih penyimpanan yang diinginkan.

  8. Klik Selesai.

    • Jika penyimpanan Otoritas Sertifikasi Akar Tepercaya dipilih, klik Ya.

  9. Klik OK pada semua jendela dialog.

Mengunggah sertifikat

Di portal Microsoft Azure

  1. Pilih Cloud Services.
  2. Pilih layanan awan.
  3. Pada menu atas, klik Sertifikat.
  4. Pada bilah bawah, klik Unggah.
  5. Pilih file sertifikat.
  6. Jika itu adalah file .PFX, masukkan kata sandi untuk kunci privat.
  7. Setelah selesai, salin thumbprint sertifikat dari entri baru dalam daftar.

Pertimbangan keamanan lainnya

Pengaturan TLS yang dijelaskan dalam dokumen ini mengenkripsi komunikasi antara layanan dan kliennya ketika titik akhir HTTPS digunakan. Ini penting karena kredensial untuk akses database dan informasi lainnya yang berpotensi bersifat sensitif terkandung dalam komunikasi. Namun, perhatikan bahwa layanan ini tetap berstatus internal, termasuk informasi masuk, dalam tabel internalnya dalam database di Azure SQL Database yang telah Anda sediakan untuk penyimpanan metadata di langganan Microsoft Azure Anda. Database tersebut didefinisikan sebagai bagian dari pengaturan berikut dalam file konfigurasi layanan Anda (file .CSCFG):

<Setting name="ElasticScaleMetadata" value="Server=…" />

Informasi masuk yang tersimpan dalam database ini dienkripsi. Namun, sebagai praktik terbaik, pastikan bahwa peran web dan pekerja dari penyebaran layanan Anda selalu diperbarui dan aman karena keduanya memiliki akses ke database metadata dan sertifikat yang digunakan untuk enkripsi dan dekripsi informasi masuk yang disimpan.

Sumber Daya Tambahan:

Belum menggunakan alat database elastis? Lihat Panduan Memulai kami. Jika memiliki pertanyaan, hubungi kami di halaman pertanyaan Tanya Jawab Microsoft untuk SQL Database dan untuk permintaan fitur, tambahkan ide-ide baru atau ambil suara terbanyak untuk ide yang sudah ada di forum umpan balik SQL Database.