Keamanan | SQL Server diaktifkan oleh Azure Arc

Artikel ini menjelaskan arsitektur keamanan komponen SQL Server yang diaktifkan oleh Azure Arc.

Untuk latar belakang tentang SQL Server yang diaktifkan oleh Azure Arc, tinjau Gambaran Umum | SQL Server diaktifkan oleh Azure Arc.

Agen dan ekstensi

Komponen perangkat lunak paling signifikan untuk SQL Server yang diaktifkan oleh Azure Arc adalah:

• Agen Azure Connected Machine
• Ekstensi Azure untuk SQL Server

Agen Azure Connected Machine menyambungkan server ke Azure. Ekstensi Azure untuk SQL Server mengirim data ke Azure tentang SQL Server dan mengambil perintah dari Azure melalui saluran komunikasi Azure Relay untuk mengambil tindakan pada instans SQL Server. Bersama-sama, agen dan ekstensi memungkinkan Anda mengelola instans dan database yang terletak di mana saja di luar Azure. Instans SQL Server dengan agen dan ekstensi diaktifkan oleh Azure Arc.

Agen dan ekstensi terhubung dengan aman ke Azure untuk membangun saluran komunikasi dengan layanan Azure yang dikelola Microsoft. Agen dapat berkomunikasi melalui:

• Server proksi HTTPS yang dapat dikonfigurasi melalui Azure Express Route
• Azure Private Link
• Internet dengan atau tanpa server proksi HTTPS

Untuk detailnya, tinjau dokumentasi agen Connected Machine:

• Ringkasan
• Persyaratan jaringan
• Prasyarat

Untuk pengumpulan dan pelaporan data, beberapa layanan memerlukan ekstensi Azure Monitoring Agent (AMA). Ekstensi perlu disambungkan ke Azure Log Analytics. Dua layanan yang memerlukan AMA adalah:

• Microsoft Defender untuk Cloud
• Penilaian praktik terbaik SQL Server

Ekstensi Azure untuk SQL Server memungkinkan Anda menemukan perubahan konfigurasi tingkat host atau OS (misalnya, kluster failover Windows Server) untuk semua instans SQL Server pada tingkat terperinci. Contohnya:

• Instans mesin SQL Server pada komputer host
• Database dalam instans SQL Server
• Grup ketersediaan

Ekstensi Azure untuk SQL Server memungkinkan Anda mengelola, mengamankan, dan mengatur instans SQL Server secara terpusat di mana saja dengan mengumpulkan data untuk tugas seperti inventori, pemantauan, dan tugas lainnya. Untuk daftar lengkap data yang dikumpulkan, tinjau Pengumpulan dan pelaporan data.

Diagram berikut mengilustrasikan arsitektur SQL Server dengan dukungan Azure Arc.

Catatan

Untuk mengunduh diagram arsitektur ini dalam resolusi tinggi, kunjungi Jumpstart Gems.

Komponen

Instans SQL Server yang diaktifkan oleh Azure Arc memiliki komponen dan layanan terintegrasi yang berjalan di server Anda dan membantu menyambungkan ke Azure. Selain layanan Agen, instans yang diaktifkan memiliki komponen yang tercantum di bagian ini.

Penyedia sumber

Penyedia sumber daya (RP) mengekspos serangkaian operasi REST yang memungkinkan fungsionalitas untuk layanan Azure tertentu melalui ARM API.

Agar ekstensi Azure agar SQL Server berfungsi, daftarkan 2 RPs berikut:

• Microsoft.HybridCompute RP: Mengelola siklus hidup sumber daya Server dengan dukungan Azure Arc termasuk penginstalan ekstensi, eksekusi perintah komputer yang terhubung, dan melakukan tugas manajemen lainnya.
• Microsoft.AzureArcData RP: Mengelola siklus hidup SQL Server yang diaktifkan oleh sumber daya Azure Arc berdasarkan inventori dan data penggunaan yang diterimanya dari ekstensi Azure untuk SQL Server.

Layanan Pemrosesan Data Azure Arc

Azure Arc Data Processing Service (DPS) adalah layanan Azure yang menerima data tentang SQL Server yang disediakan oleh Ekstensi Azure untuk SQL Server di server yang terhubung dengan Arc. DPS melakukan tugas-tugas berikut:

• Memproses data inventori yang dikirim ke titik akhir regional oleh Ekstensi Azure untuk SQL Server, dan memperbarui sumber daya SqlServerInstance yang sesuai melalui ARM API dan Microsoft.AzureArcData RP.
• Memproses data penggunaan yang dikirim ke titik akhir regional oleh Ekstensi Azure untuk SQL Server dan mengirimkan permintaan penagihan ke layanan perdagangan Azure.
• Memantau sumber daya lisensi inti fisik SQL Server yang dibuat pengguna di ARM dan mengirimkan permintaan penagihan ke layanan perdagangan Azure berdasarkan status lisensi.

SQL Server yang diaktifkan oleh Azure Arc memerlukan koneksi keluar dari Ekstensi Azure untuk SQL Server di Agen ke DPS (*.<region>.arcdataservices.com port TCP 443). Untuk persyaratan komunikasi tertentu, tinjau Menyambungkan ke layanan pemrosesan data Azure Arc.

Penyebar

Deployer melakukan bootstrap Ekstensi Azure untuk SQL Server selama penginstalan awal dan pembaruan konfigurasi.

Ekstensi Azure untuk Layanan SQL Server

Ekstensi Azure untuk Layanan SQL Server berjalan di latar belakang di server host. Konfigurasi layanan tergantung pada sistem operasi:

• Sistem Operasi: Windows

  • Nama layanan: Layanan Ekstensi Microsoft SQL Server
  • Nama tampilan: Layanan Ekstensi Microsoft SQL Server
  • Berjalan sebagai: Sistem Lokal
  • Lokasi log: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

• Sistem operasi: Linux

  • Nama layanan: SqlServerExtension
  • Nama tampilan: Azure SQL Server Extension Service
  • Berjalan sebagai: Root
  • Lokasi log: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Fungsi

Instans SQL Server yang diaktifkan oleh Azure Arc melakukan tugas-tugas berikut:

• Inventarisi semua instans, database, dan grup ketersediaan SQL Server

  Setiap jam layanan Ekstensi Azure untuk SQL Server mengunggah inventaris ke Layanan Pemrosesan Data. Inventori mencakup instans SQL Server, grup ketersediaan AlwaysOn, dan metadata database.

• Mengunggah penggunaan

  Setiap 12 jam, layanan Ekstensi Azure untuk SQL Server mengunggah data terkait penggunaan ke Layanan Pemrosesan Data.

Keamanan Server dengan dukungan Arc

Untuk informasi spesifik tentang menginstal, mengelola, dan mengonfigurasi Server dengan dukungan Azure Arc, tinjau Gambaran umum Keamanan Server berkemampuan Arc.

SQL Server diaktifkan oleh keamanan Azure Arc

Ekstensi Azure untuk komponen SQL Server

Ekstensi Azure untuk SQL Server terdiri dari dua komponen utama, Deployer dan Extension Service.

The Deployer

Deployer melakukan bootstrap ekstensi selama penginstalan awal dan karena instans SQL Server baru diinstal atau fitur diaktifkan/dinonaktifkan. Selama penginstalan, pembaruan, atau penghapusan instalasi, agen Arc yang berjalan di server host menjalankan Deployer untuk melakukan tindakan tertentu:

• Instal
• Aktifkan
• Pembaruan
• Nonaktifkan
• Menghapus instalan

Deployer berjalan dalam konteks layanan agen Azure Connected Machine dan karenanya berjalan sebagai Local System.

Layanan Ekstensi

Extension Service mengumpulkan inventori dan metadata database (Hanya Windows) dan mengunggahnya ke Azure setiap jam. Ini berjalan seperti Local System pada Windows, atau root di Linux. Layanan Ekstensi menyediakan berbagai fitur sebagai bagian dari layanan SQL Server dengan dukungan Arc.

Jalankan dengan hak istimewa paling sedikit

Anda dapat mengonfigurasi Layanan Ekstensi untuk dijalankan dengan hak istimewa minimal. Opsi ini, untuk menerapkan prinsip hak istimewa paling sedikit, tersedia untuk pratinjau di server Windows. Untuk detail tentang cara mengonfigurasi mode hak istimewa terkecil, tinjau Aktifkan hak istimewa terkecil (pratinjau).

Saat dikonfigurasi untuk hak istimewa paling sedikit, Layanan Ekstensi berjalan sebagai NT Service\SQLServerExtension akun layanan.

Akun ini NT Service\SQLServerExtension adalah akun layanan Windows lokal:

• Dibuat dan dikelola oleh Ekstensi Azure untuk Penyebar SQL Server saat opsi hak istimewa paling sedikit diaktifkan.
• Memberikan izin dan hak istimewa minimum yang diperlukan untuk menjalankan layanan Ekstensi Azure untuk SQL Server pada sistem operasi Windows. Ini hanya memiliki akses ke folder dan direktori yang digunakan untuk membaca dan menyimpan konfigurasi atau menulis log.
• Diberikan izin untuk menyambungkan dan mengkueri di SQL Server dengan login baru khusus untuk akun layanan Ekstensi Azure untuk SQL Server yang memiliki izin minimum yang diperlukan. Izin minimum bergantung pada fitur yang diaktifkan.
• Diperbarui ketika izin tidak lagi diperlukan. Misalnya, izin dicabut saat Anda menonaktifkan fitur, menonaktifkan konfigurasi hak istimewa paling sedikit, atau menghapus instalan Ekstensi Azure untuk SQL Server. Pencabutan memastikan bahwa tidak ada izin yang tersisa setelah tidak lagi diperlukan.

Untuk daftar lengkap izin, lihat Mengonfigurasi akun dan izin layanan Windows.

Ekstensi ke komunikasi cloud

SQL Server dengan dukungan Arc memerlukan koneksi keluar ke Azure Arc Data Processing Service.

Setiap server virtual atau fisik perlu berkomunikasi dengan Azure. Secara khusus, mereka memerlukan konektivitas untuk:

• URL: *.<region>.arcdataservices.com
  • Untuk wilayah Virginia Pemerintah AS, gunakan *.<region>.arcdataservices.azure.us.
• Port: 443
• Arah: Keluar
• Penyedia autentikasi: ID Microsoft Entra

Untuk mendapatkan segmen wilayah titik akhir regional, hapus semua spasi dari nama wilayah Azure. Misalnya, wilayah US Timur 2 , nama wilayahnya adalah eastus2.

Misalnya: *.<region>.arcdataservices.com harus berada *.eastus2.arcdataservices.com di wilayah US Timur 2.

Untuk daftar wilayah yang didukung, tinjau Wilayah Azure yang didukung.

Untuk daftar semua wilayah, jalankan perintah ini:

az account list-locations -o table

Aspek keamanan tingkat fitur

Berbagai fitur dan layanan memiliki aspek konfigurasi keamanan tertentu. Bagian ini membahas aspek keamanan dari fitur berikut:

• Aktivitas audit
• Penilaian praktik terbaik
• Pencadangan Otomatis
• Microsoft Defender untuk Cloud
• Pembaruan Otomatis
• Pemantauan
• Microsoft Entra ID
• Microsoft Purview

Aktivitas audit

Anda dapat mengakses log aktivitas dari menu layanan untuk SQL Server yang diaktifkan oleh sumber daya Azure Arc di portal Azure. Log aktivitas menangkap informasi audit dan riwayat perubahan untuk sumber daya SQL Server dengan dukungan Arc di Azure Resource Manager. Untuk detailnya, tinjau Menggunakan log aktivitas dengan SQL Server yang diaktifkan oleh Azure Arc.

Penilaian praktik terbaik

Penilaian praktik terbaik memiliki persyaratan berikut:

• Pastikan instans SQL Server berbasis Windows Anda tersambung ke Azure. Ikuti instruksi di Menyambungkan SQL Server Anda secara otomatis ke Azure Arc.

  Catatan

  Penilaian praktik terbaik saat ini terbatas pada SQL Server yang berjalan pada komputer Windows. Penilaian saat ini tidak berlaku untuk SQL Server di komputer Linux.

• Jika server menghosting satu instans SQL Server, pastikan versi Ekstensi Azure untuk SQL Server (WindowsAgent.SqlServer) adalah 1.1.2202.47 atau yang lebih baru.

  Jika server menghosting beberapa instans SQL Server, pastikan versi Ekstensi Azure untuk SQL Server (WindowsAgent.SqlServer) lebih baru dari 1.1.2231.59.

  Untuk memeriksa versi Ekstensi Azure untuk SQL Server dan memperbarui ke yang terbaru, tinjau Ekstensi peningkatan.

• Jika server menghosting instans SQL Server bernama, layanan Browser SQL Server harus berjalan.

• Ruang kerja Analitik Log harus berada dalam langganan yang sama dengan sumber daya SQL Server dengan dukungan Azure Arc Anda.

• Pengguna yang mengonfigurasi penilaian praktik terbaik SQL Server harus memiliki izin berikut:

  • Peran Kontributor Analitik Log pada grup sumber daya atau langganan ruang kerja Analitik Log.
  • Peran Administrator Sumber Daya Azure Connected Machine pada grup sumber daya atau langganan instans SQL Server dengan dukungan Arc.
  • Memantau peran Kontributor pada grup sumber daya atau langganan ruang kerja Analitik Log dan pada grup sumber daya atau langganan komputer berkemampuan Azure Arc.

  Pengguna yang ditetapkan ke peran bawaan seperti Kontributor atau Pemilik memiliki izin yang memadai. Untuk informasi selengkapnya, tinjau Menetapkan peran Azure menggunakan portal Azure.

• Izin minimum yang diperlukan untuk mengakses atau membaca laporan penilaian adalah:

  • Peran pembaca pada grup sumber daya atau langganan sumber daya SQL Server - Sumber daya Azure Arc .
  • Pembaca analitik log.
  • Pembaca pemantauan pada grup sumber daya atau langganan ruang kerja Analitik Log.

  Berikut adalah persyaratan lebih lanjut untuk mengakses atau membaca laporan penilaian:

  • Login bawaan SQL Server NT AUTHORITY\SYSTEM harus menjadi anggota peran server sysadmin SQL Server untuk semua instans SQL Server yang berjalan di komputer.

  • Jika firewall atau server proksi Anda membatasi konektivitas keluar, pastikan firewall atau server tersebut mengizinkan Azure Arc melalui port TCP 443 untuk URL ini:

    • global.handler.control.monitor.azure.com
    • *.handler.control.monitor.azure.com
    • <log-analytics-workspace-id>.ods.opinsights.azure.com
    • *.ingest.monitor.azure.com

• Instans SQL Server Anda harus mengaktifkan TCP/IP.

• Penilaian praktik terbaik SQL Server menggunakan Azure Monitor Agent (AMA) untuk mengumpulkan dan menganalisis data dari instans SQL Server Anda. Jika Anda telah menginstal AMA pada instans SQL Server sebelum mengaktifkan penilaian praktik terbaik, penilaian menggunakan agen AMA dan pengaturan proksi yang sama. Anda tidak perlu melakukan hal lain.

  Jika Anda tidak menginstal AMA pada instans SQL Server Anda, penilaian praktik terbaik akan menginstalnya untuk Anda. Penilaian praktik terbaik tidak menyiapkan pengaturan proksi untuk AMA secara otomatis. Anda perlu menyebarkan ulang AMA dengan pengaturan proksi yang Anda inginkan.

  Untuk informasi selengkapnya tentang pengaturan jaringan dan proksi AMA, tinjau Konfigurasi proksi.

• Jika Anda menggunakan konfigurasi Server berkemampuan Arc dengan ekstensi SQL Server yang diinstal untuk mengaktifkan atau menonaktifkan kebijakan Azure penilaian praktik terbaik SQL untuk mengaktifkan penilaian dalam skala besar, Anda perlu membuat penetapan Azure Policy. Langganan Anda memerlukan penetapan peran Kontributor Kebijakan Sumber Daya untuk cakupan yang Anda targetkan. Cakupan dapat berupa langganan atau grup sumber daya.

  Jika Anda berencana untuk membuat identitas terkelola baru yang ditetapkan pengguna, Anda juga memerlukan penetapan peran Administrator Akses Pengguna dalam langganan.

Untuk informasi selengkapnya, tinjau Mengonfigurasi penilaian praktik terbaik SQL - SQL Server yang diaktifkan oleh Azure Arc.

Pencadangan Otomatis

Ekstensi Azure untuk SQL Server dapat secara otomatis mencadangkan database sistem dan pengguna pada instans SQL Server yang diaktifkan oleh Azure Arc. Layanan cadangan dalam Ekstensi Azure untuk SQL Server menggunakan NT AUTHORITY\SYSTEM akun untuk melakukan pencadangan. Jika Anda mengoperasikan SQL Server yang diaktifkan oleh Azure Arc dengan hak istimewa paling sedikit, akun Windows lokal - NT Service\SQLServerExtension melakukan pencadangan.

Jika Anda menggunakan ekstensi Azure untuk versi SQL Server atau yang 1.1.2504.99 lebih baru, izin yang diperlukan diberikan untuk NT AUTHORITY\SYSTEM secara otomatis. Anda tidak perlu menetapkan izin secara manual.

Jika Anda tidak menggunakan konfigurasi hak istimewa paling sedikit, login NT AUTHORITY\SYSTEM bawaan SQL Server harus menjadi anggota:

• dbcreator peran server di tingkat server
• db_backupoperator peran dalam master, model, msdb, dan setiap database pengguna - tidak termasuk tempdb.

Pencadangan otomatis dinonaktifkan secara default. Setelah pencadangan otomatis dikonfigurasi, layanan Ekstensi Azure untuk SQL Server memulai pencadangan ke lokasi cadangan default. Cadangan adalah cadangan SQL Server asli, sehingga semua riwayat cadangan tersedia dalam tabel terkait cadangan dalam msdb database.

Microsoft Defender untuk Cloud

Microsoft Defender untuk Cloud memerlukan Azure Monitoring Agent yang akan dikonfigurasi di server berkemampuan Arc.

Untuk detailnya, tinjau Microsoft Defender untuk Cloud.

Pembaruan otomatis

Pembaruan otomatis menimpa pengaturan Pembaruan Microsoft yang telah dikonfigurasi sebelumnya atau berbasis kebijakan yang dikonfigurasi di server berkemampuan Arc.

• Hanya pembaruan Windows dan SQL Server yang ditandai sebagai Penting atau Kritis yang akan dipasang. Pembaruan SQL Server lainnya seperti paket layanan, pembaruan kumulatif, atau pembaruan lain yang tidak ditandai sebagai Penting atau Penting, harus diinstal secara manual atau cara lain. Untuk informasi selengkapnya tentang sistem peringkat pembaruan keamanan, lihat Sistem Peringkat Tingkat Keparahan Pembaruan Keamanan (microsoft.com)
• Bekerja di tingkat sistem operasi host dan berlaku untuk semua instans SQL Server yang diinstal
• Saat ini, hanya berfungsi pada host Windows. Ini mengonfigurasi Windows Update/Microsoft Update yang merupakan layanan yang pada akhirnya memperbarui instans SQL Server.

Untuk detailnya, tinjau Mengonfigurasi pembaruan otomatis untuk instans SQL Server yang diaktifkan untuk Azure Arc.

Pemantau

Anda dapat memantau SQL Server yang diaktifkan oleh Azure Arc dengan dasbor performa di portal Azure. Metrik performa dikumpulkan secara otomatis dari himpunan data Tampilan Manajemen Dinamis (DMV) pada instans SQL Server yang memenuhi syarat yang diaktifkan oleh Azure Arc dan dikirim ke alur telemetri Azure untuk pemrosesan hampir real time. Pemantauan bersifat otomatis, dengan asumsi semua prasyarat terpenuhi.

Prasyarat meliputi:

• Server memiliki konektivitas ke telemetry.<region>.arcdataservices.com Untuk informasi selengkapnya, lihat Persyaratan Jaringan.
• Jenis lisensi pada instans SQL Server diatur ke License with Software Assurance atau Pay-as-you-go.

Untuk melihat dasbor performa di portal Azure, Anda harus diberi peran Azure dengan tindakan Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ yang ditetapkan. Untuk kenyamanan, Anda dapat menggunakan peran bawaan Administrator Azure Hybrid Database - Peran Layanan Baca Saja, yang mencakup tindakan ini. Untuk informasi selengkapnya, lihat Pelajari selengkapnya tentang peran bawaan Azure.

Detail tentang fitur dasbor performa, termasuk cara mengaktifkan/menonaktifkan pengumpulan data dan data yang dikumpulkan untuk fitur ini dapat ditemukan di Monitor di portal Azure.

Microsoft Entra ID

ID Microsoft Entra adalah layanan manajemen identitas dan akses berbasis cloud untuk mengaktifkan akses ke sumber daya eksternal. Autentikasi Microsoft Entra memberikan keamanan yang sangat ditingkatkan atas nama pengguna tradisional dan autentikasi berbasis kata sandi. SQL Server yang diaktifkan oleh Azure Arc menggunakan MICROSOFT Entra ID untuk autentikasi - diperkenalkan di SQL Server 2022 (16.x). Ini menyediakan solusi manajemen identitas dan akses terpusat ke SQL Server.

SQL Server yang diaktifkan oleh Azure Arc menyimpan sertifikat untuk ID Microsoft Entra di Azure Key Vault. Untuk detailnya, tinjau:

• Memutar sertifikat
• Autentikasi Microsoft Entra untuk SQL Server.
• Tutorial: Menyiapkan autentikasi Microsoft Entra untuk SQL Server

Untuk menyiapkan ID Microsoft Entra, ikuti instruksi di Tutorial: Menyiapkan autentikasi Microsoft Entra untuk SQL Server.

Microsoft Purview

Persyaratan utama untuk menggunakan Purview:

• Akun Azure dengan langganan aktif.
• Akun Microsoft Purview aktif.
• Izin Administrator Sumber Data dan Pembaca Data untuk mendaftarkan sumber dan mengelolanya di portal tata kelola Microsoft Purview. Lihat Kontrol akses di portal tata kelola Microsoft Purview untuk detailnya.
• Runtime integrasi terbaru yang dihost sendiri. Untuk informasi selengkapnya, lihat Membuat dan mengelola runtime integrasi yang dihost sendiri.
• Untuk Azure RBAC, Anda harus mengaktifkan MICROSOFT Entra ID dan Azure Key Vault.

Praktik terbaik

Terapkan konfigurasi berikut untuk mematuhi praktik terbaik saat ini untuk mengamankan instans SQL Server yang diaktifkan oleh Azure Arc:

• Aktifkan mode hak istimewa terkecil (pratinjau).
• Jalankan penilaian praktik terbaik SQL. Tinjau penilaian dan terapkan rekomendasi.
• Aktifkan autentikasi Microsoft Entra.
• Aktifkan Microsoft Defender untuk Cloud dan atasi masalah yang ditujukan oleh Defender untuk SQL.
• Jangan aktifkan autentikasi SQL. Ini dinonaktifkan secara default. Tinjau praktik terbaik keamanan SQL Server.

Konten terkait

• Dasar-dasar keamanan Azure
• Gambaran umum keamanan untuk server dengan dukungan Azure Arc