Condividi tramite

Sicurezza | SQL Server abilitato da Azure Arc

  • Articolo

Questo articolo descrive l'architettura della sicurezza dei componenti di SQL Server abilitati da Azure Arc.

Per informazioni generali su SQL Server abilitato da Azure Arc, si veda Panoramica | SQL Server abilitato da Azure Arc.

Agente ed estensione

I componenti software più importanti per SQL Server abilitati da Azure Arc sono:

  • Agente Azure Connected Machine
  • Estensione di Azure per SQL Server

L'agente di Azure Connected Machine connette i server ad Azure. L'estensione azure per SQL Server invia dati ad Azure su SQL Server e recupera i comandi da Azure tramite un canale di comunicazione di Inoltro di Azure per intervenire su un'istanza di SQL Server. Insieme, l'agente e l'estensione consentono di gestire le istanze e i database che si trovano ovunque all'esterno di Azure. Un'istanza di SQL Server con l'agente e l'estensione è abilitata da Azure Arc.

L'agente e l'estensione si connettono in modo sicuro ad Azure per stabilire canali di comunicazione con i servizi di Azure gestiti da Microsoft. L'agente può comunicare tramite:

  • Un server proxy HTTPS configurabile tramite Azure ExpressRoute
  • Collegamento privato di Azure
  • Internet con o senza un server proxy HTTPS

Per informazioni dettagliate, si veda la documentazione dell'agente Connected Machine:

Per la raccolta dei dati e la creazione di report, alcuni servizi richiedono l'estensione Agente di monitoraggio di Azure. L'estensione deve essere connessa a un'istanza di Azure Log Analytics. I due servizi che richiedono l'AMA sono:

  • Microsoft Defender for Cloud
  • Valutazione delle procedure consigliate di SQL Server

L'estensione di Azure per SQL Server consente di individuare le modifiche di configurazione dell'host o del sistema operativo (ad esempio, cluster di failover di Windows Server) per tutte le istanze di SQL Server a livello granulare. Ad esempio:

  • Istanze del motore di SQL Server in un computer host
  • Database all’interno di un’istanza di SQL Server
  • Gruppi di disponibilità

L'estensione di Azure per SQL Server consente di gestire, proteggere e gestire centralmente le istanze di SQL Server ovunque, raccogliendo dati per attività quali inventario, monitoraggio e altre attività. Per un elenco completo dei dati raccolti, si veda Raccolta dati e creazione di report.

Il diagramma seguente illustra l'architettura di SQL Server abilitato da Azure Arc.

Diagramma logico di SQL Server abilitato da Azure Arc.

Componenti

Un'istanza di SQL Server abilitata da Azure Arc include componenti e servizi integrati che vengono eseguiti nel server e consentono di connettersi ad Azure. Oltre ai servizi di Agent, un'istanza abilitata include i componenti elencati in questa sezione.

Provider di risorse

Un provider di risorse (RP) espone un insieme di operazioni REST che abilitano le funzionalità di uno specifico servizio Azure attraverso l'API ARM.

Per il funzionamento dell'estensione Azure per SQL Server, registrare i 2 seguenti indirizzi IP:

  • RP Microsoft.HybridCompute: gestisce il ciclo di vita delle risorse del server abilitato da Azure Arc, compresa l'installazione delle estensioni, l'esecuzione dei comandi della macchina connessa ed esegue altre attività di gestione.
  • RP Microsoft.AzureArcData: gestisce il ciclo di vita di SQL Server abilitato dalle risorse di Azure Arc in base ai dati di inventario e utilizzo ricevuti dall'estensione di Azure per SQL Server.

Servizio di elaborazione dati Azure Arc

Azure Arc Data Processing Service (DPS) è un servizio di Azure che riceve i dati relativi a SQL Server forniti dall'estensione di Azure per SQL Server in un server connesso ad Arc. Il servizio DPS esegue queste attività:

  • Elabora i dati di inventario inviati all'endpoint a livello di area dall'estensione di Azure per SQL Server e aggiorna conseguentemente le risorse SqlServerInstance tramite l'API ARM e Microsoft.AzureArcData RP.
  • Elabora i dati di utilizzo inviati all'endpoint a livello di area dall'estensione di Azure per SQL Server e invia le richieste di fatturazione al servizio commerciale di Azure.
  • Esegue il monitoraggio delle risorse della licenza fisica di SQL Server create dall'utente in ARM e invia richieste di fatturazione al servizio commerciale di Azure in base allo stato della licenza.

Il SQL Server abilitato da Azure Arc richiede una connessione in uscita dall'estensione di Azure per SQL Server nell'agente a DPS (*.<region>.arcdataservices.com porta TCP 443). Per informazioni specifiche sui requisiti di comunicazione, si veda Connettersi al servizio di elaborazione dati di Azure Arc.

Distributore

Il programma di distribuzione esegue il bootstrap dell'estensione di Azure per SQL Server durante l'installazione iniziale e gli aggiornamenti della configurazione.

Estensione di Azure per il servizio SQL Server

L'estensione di Azure per il servizio SQL Server viene eseguita in background nel server host. La configurazione del servizio dipende dal sistema operativo:

  • Sistema operativo: Windows

    • Nome servizio: Servizio estensione Microsoft SQL Server
    • Nome visualizzato: Servizio estensione Microsoft SQL Server
    • Viene eseguito come: Sistema locale
    • Percorso log: C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer

  • Sistema operativo: Linux

    • Nome servizio: SqlServerExtension
    • Nome visualizzato: Servizio estensione SQL Server di Azure
    • Viene eseguito come: Root
    • Percorso log: /var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/

Funzionalità

Un'istanza di SQL Server abilitata da Azure Arc esegue le seguenti attività:

  • Inventario di tutte le istanze, i database e i gruppi di disponibilità di SQL Server

    Ogni ora l'estensione di Azure per il servizio SQL Server carica un inventario nel servizio di elaborazione dati. L'inventario include istanze di SQL Server, gruppi di disponibilità Always On e metadati del database.

  • Caricamento dell’utilizzo

    Ogni 12 ore l'estensione di Azure per il servizio SQL Server carica i dati relativi all'utilizzo nel servizio di elaborazione dati.

Sicurezza del server con abilitazione Arc

Per informazioni specifiche sull'installazione, la gestione e la configurazione di server abilitati per Azure Arc, si veda Panoramica della sicurezza dei server con abilitazione di Arc.

Sicurezza di SQL Server abilitato da Azure Arc

Estensione di Azure per i componenti di SQL Server

L'estensione di Azure per SQL Server è costituita da due componenti principali, il programma di distribuzione e il servizio di estensione.

Il programma di distribuzione

Il programma di distribuzione esegue il bootstrap dell'estensione durante l'installazione iniziale e quando vengono installate nuove istanze di SQL Server o le funzionalità vengono abilitate/disabilitate. Durante l'installazione, l'aggiornamento o la disinstallazione, l'agente Arc in esecuzione nel server host esegue il programma di distribuzione per eseguire determinate azioni:

  • Installa
  • Abilitare
  • Update
  • Disabilitazione
  • Disinstalla

Il programma di distribuzione viene eseguito nel contesto del servizio agente di Azure Connected Machine e quindi viene eseguito come Local System.

Il servizio di estensione

Il servizio estensione raccoglie i metadati di inventario e database (solo Windows) e li carica in Azure ogni ora. Viene eseguito come Local System in Windows o root in Linux. Il servizio di estensione offre diverse funzionalità come parte del servizio SQL Server abilitato da Arc.

Esecuzione con privilegi minimi

È possibile configurare il servizio di estensione per l'esecuzione con privilegi minimi. Questa opzione, per applicare il principio dei privilegi minimi, è disponibile per l'anteprima nei server Windows. Per informazioni dettagliate su come abilitare la modalità con privilegi minimi, si veda Modalità privilegi minimi (anteprima).

Se configurato per privilegi minimi, il servizio di estensione viene eseguito come account del servizio NT Service\SQLServerExtension.

L'account NT Service\SQLServerExtension è un account del servizio di Windows locale:

  • Creato e gestito dall'estensione Azure per il programma di distribuzione di SQL Server quando l'opzione con privilegi minimi è abilitata.
  • A cui sono stati concessi le autorizzazioni e i privilegi minimi necessari per eseguire l'estensione Azure per il servizio SQL Server nel sistema operativo Windows. Dispone dell'accesso solo a cartelle ed elenchi usati per leggere e archiviare log di configurazione o scrittura.
  • A cui è stata concessa l'autorizzazione per connettersi ed eseguire query in SQL Server con un nuovo account di accesso specifico per l'account del servizio SQL Server dell’estensione Azure che dispone delle autorizzazioni minime necessarie. Le autorizzazioni minime dipendono dalle funzionalità abilitate.
  • Aggiornato quando le autorizzazioni non sono più necessarie. Ad esempio, le autorizzazioni vengono revocate quando si disabilita una funzionalità, si disabilita la configurazione con privilegi minimi o si disinstalla l'estensione Azure per SQL Server. La revoca garantisce che non rimangano autorizzazioni dopo che non sono più necessarie.

Per un elenco completo delle autorizzazioni, si veda Configurare account di servizio e autorizzazioni di Windows.

Estensione alla comunicazione nel cloud

SQL Server con abilitazione Arc richiede una connessione in uscita al servizio di elaborazione dati Azure Arc.

Ogni server virtuale o fisico deve comunicare con Azure. In particolare, richiedono la connettività a:

  • URL: *.<region>.arcdataservices.com
  • Porta: 443
  • Direzione: in uscita
  • Provider di autenticazione: Microsoft Entra ID

Per ottenere il segmento relativo all'area dell'endpoint a livello di area, rimuovere tutti gli spazi dal nome dell'area di Azure. Ad esempio, per l'area Stati Uniti orientali 2 , il nome dell'area è eastus2.

Ad esempio: *.<region>.arcdataservices.com dovrebbe essere *.eastus2.arcdataservices.com nell'area Stati Uniti orientali 2.

Per un elenco delle aree supportate, vedere Aree di Azure supportate.

Per un elenco di tutte le aree, eseguire questo comando:

az account list-locations -o table

Aspetti della sicurezza a livello di funzionalità

Le diverse funzionalità e servizi hanno aspetti specifici di configurazione della sicurezza. In questa sezione vengono illustrati gli aspetti relativi alla sicurezza delle seguenti funzionalità:

Attività di controllo

È possibile accedere ai log attività dal menu del servizio per SQL Server abilitato dalla risorsa Azure Arc nel portale di Azure. Il log attività acquisisce le informazioni di controllo e la cronologia delle modifiche per le risorse di SQL Server abilitate per Arc in Azure Resource Manager. Per informazioni più dettagliate, si veda Usare i log attività con SQL Server abilitato da Azure Arc.

Valutazione delle procedure consigliate

La valutazione delle procedure consigliate prevede i seguenti requisiti:

  • Assicurarsi che l'istanza di SQL Server basata su Windows sia connessa ad Azure. Seguire le istruzioni in Collegare in automatico SQL Server ad Azure Arc..

    Nota

    La valutazione delle procedure consigliate è attualmente limitata alle istanze di SQL Server in esecuzione in computer Windows. Al momento la valutazione non si applica a SQL Server nei computer Linux.

  • Se il server ospita una singola istanza di SQL Server, assicurarsi che la versione dell'estensione Azure per SQL Server (WindowsAgent.SqlServer) sia 1.1.2202.47 o successiva.

    Se il server ospita più istanze di SQL Server, assicurarsi che la versione dell'estensione Azure per SQL Server (WindowsAgent.SqlServer) sia superiore a 1.1.2231.59.

    Per controllare la versione dell'estensione di Azure per SQL Server ed eseguire l'aggiornamento alla versione più recente, si veda Aggiornamento delle estensioni.

  • Se il server ospita un'istanza denominata di SQL Server, il servizio SQL Server Browser deve essere in esecuzione.

  • Un'area di lavoro Log Analytics deve trovarsi nella stessa sottoscrizione della risorsa di SQL Server abilitato da Azure Arc.

  • L'utente che configura la valutazione delle procedure consigliate di SQL deve disporre delle autorizzazioni seguenti:

    • Ruolo Collaboratore di Log Analytics nel gruppo di risorse o nella sottoscrizione dell'area di lavoro Log Analytics.
    • Ruolo di amministratore della risorsa Azure Connected Machine nel gruppo di risorse o nella sottoscrizione dell’istanza di SQL Server con abilitazione Arc.
    • Ruolo Collaboratore di monitoraggio nel gruppo di risorse o nella sottoscrizione dell'area di lavoro Log Analytics e nel gruppo di risorse o nella sottoscrizione del computer abilitato Azure Arc.

    Gli utenti assegnati ai ruoli predefiniti, ad esempio Collaboratore o Proprietario, dispongono di autorizzazioni sufficienti. Per ulteriori informazioni, si veda Assegnare ruoli di Azure usando il portale di Azure.

  • Le autorizzazioni minime necessarie per accedere o leggere il report di valutazione sono:

    • Ruolo di lettore nel gruppo di risorse o nella sottoscrizione della risorsa SQL Server - Abilitazione Arc.
    • Lettore di Log Analytics
    • Lettore di monitoraggio nel gruppo di risorse o nella sottoscrizione dell'area di lavoro Log Analytics.

    Di seguito sono riportati altri requisiti per l'accesso o la lettura del report di valutazione:

    • L'account di accesso di SQL Server predefinito NT AUTHORITY\SYSTEM deve essere membro del ruolo del server sysadmin di SQL Server, per tutte le istanze di SQL Server in esecuzione nel computer.

    • Se la connettività in uscita è limitata dal firewall o dal server proxy, assicurarsi che questi consentano l'accesso ad Azure Arc sulla porta TCP 443 per questi URL:

      • global.handler.control.monitor.azure.com
      • *.handler.control.monitor.azure.com
      • <log-analytics-workspace-id>.ods.opinsights.azure.com
      • *.ingest.monitor.azure.com

  • L'istanza di SQL Server deve abilitare il protocollo TCP/IP.

  • La valutazione delle procedure consigliate di SQL Server usa l'agente di Monitoraggio di Azure per raccogliere e analizzare i dati dalle istanze di SQL Server. Se AMA è installato nelle istanze di SQL Server prima di abilitare la valutazione delle procedure consigliate, la valutazione usa gli stessi agenti AMA e le stesse impostazioni proxy. Non è necessario intervenire manualmente.

    Se AMA non è installato nelle istanze di SQL Server, la valutazione delle procedure consigliate lo installa automaticamente. La valutazione delle procedure consigliate non configura automaticamente le impostazioni proxy per AMA. È necessario implementare nuovamente AMA con le impostazioni proxy desiderate.

    Per ulteriori informazioni sulle impostazioni di rete e proxy di AMA, si veda Configurazione delle impostazioni proxy.

  • Se si usa il criterio di Azure Configurare i server con abilitazione Arc con l'estensione SQL Server installata per abilitare o disabilitare la valutazione delle procedure consigliate di SQL per abilitare la valutazione su larga scala, è necessario creare un'assegnazione dei Criteri di Azure. La sottoscrizione richiede l'assegnazione del ruolo Collaboratore dei criteri delle risorse per l'ambito di destinazione. L'ambito può essere una sottoscrizione oppure un gruppo di risorse.

    Se si intende creare una nuova identità gestita assegnata dall'utente, è necessaria anche l'assegnazione del ruolo di amministratore dell'accesso utente nella sottoscrizione.

Per informazioni dettagliate, si veda Configurare la valutazione delle procedure consigliate di SQL - SQL Server abilitato da Azure Arc.

Backup automatici

L'estensione Azure per SQL Server può eseguire automaticamente il backup di database utente e di sistema in un'istanza di SQL Server abilitata da Azure Arc. Il servizio di backup all'interno dell'estensione di Azure per SQL Server usa l'account NT AUTHORITY\SYSTEM per eseguire i backup. Se si utilizza SQL Server abilitato da Arc con privilegio minimo, il backup viene eseguito da un account Windows locale - NT Service\SQLServerExtension esegue il backup..

Se viene utilizzata l'estensione di Azure per SQL Server versione 1.1.2504.99 o successiva, le autorizzazioni necessarie vengono concesse automaticamente a NT AUTHORITY\SYSTEM. Non è necessario assegnare manualmente le autorizzazioni.

Se non si usa la configurazione con privilegi minimi, l'account di accesso NT AUTHORITY\SYSTEM predefinito di SQL Server deve essere membro di:

  • Ruolo del server dbcreator a livello di server
  • Ruolo db_backupoperatorin master, modelmsdb e ogni database utente - escluso tempdb.

I backup automatizzati sono disabilitati per impostazione predefinita. Dopo aver configurato i backup automatici, l'estensione Azure per il servizio SQL Server avvierà un backup nella posizione di backup predefinita. I backup sono backup nativi di SQL Server, il che significa che tutta la cronologia dei backup è disponibile nelle tabelle correlate al backup nel database msdb.

Microsoft Defender for Cloud

Microsoft Defender per il cloud richiede Agente di monitoraggio di Azure da configurare nel server abilitato Arc.

Per informazioni dettagliate, si veda Microsoft Defender per il cloud.

Aggiornamenti automatici

Gli aggiornamenti automatici sovrascrivono eventuali impostazioni di aggiornamento preconfigurato o basato su criteri configurate nel server abilitato Arc.

  • Vengono installati solo gli aggiornamenti di Windows e SQL Server contrassegnati come Importante o Critico. Gli altri aggiornamenti di SQL Server, ad esempio i Service Pack e gli aggiornamenti cumulativi che non sono contrassegnati come Importante o Critico, devono essere installati manualmente o con altri metodi. Per altre informazioni sul sistema di classificazione degli aggiornamenti della sicurezza, si veda Security Update Severity Rating System (microsoft.com)
  • Funziona a livello di sistema operativo host e si applica a tutte le istanze di SQL Server installate
  • Attualmente funziona solo su host Windows. Configura Windows Update/Microsoft Update, ovvero il servizio che aggiorna le istanze di SQL Server.

Per informazioni dettagliate, si veda Configurare gli aggiornamenti automatici per le istanze di SQL Server abilitate per Azure Arc.

Monitoraggio

È possibile monitorare SQL Server abilitato da Azure Arc con il dashboard delle prestazioni nel portale di Azure. Le metriche delle prestazioni vengono raccolte in automatico dai set di dati Dynamic Management View (DMV) in istanze idonee di SQL Server abilitato da Azure Arc e inviate alla pipeline di telemetria di Azure per l'elaborazione near real-time. Il monitoraggio è automatico, presupponendo che tutti i prerequisiti siano soddisfatti.

I prerequisiti includono:

  • Il server ha connettività a telemetry.<region>.arcdataservices.com Per ulteriori informazioni, si veda Requisiti di rete.
  • Il tipo di licenza nell'istanza di SQL Server è impostato su License with Software Assurance o Pay-as-you-go.

Per visualizzare il dashboard delle prestazioni nel portale di Azure, è necessario avere un ruolo di Azure con l'azione Microsoft.AzureArcData/sqlServerInstances/getTelemetry/ assegnata. Per praticità, è possibile usare il ruolo predefinito Amministratore di database Azure Hybrid - Ruolo del servizio di sola lettura, che include questa azione. Per altre informazioni, si veda Ulteriori informazioni sui ruoli predefiniti di Azure.

Informazioni dettagliate sulla funzionalità della dashboard delle prestazioni, compresa la modalità di attivazione/disattivazione della raccolta dei dati e i dati raccolti per questa funzione, sono disponibili in Monitoraggio nel portale di Azure.

Microsoft Entra ID

Microsoft Entra ID è un servizio di gestione delle identità e degli accessi basato sul cloud che consente l’accesso a risorse esterne. L'autenticazione di Microsoft Entra offre una sicurezza notevolmente migliorata rispetto alla tradizionale autenticazione basata su nome utente e password. SQL Server abilitato da Azure Arc utilizza Microsoft Entra ID per l'autenticazione, introdotto in SQL Server 2022 (16.x). Rende disponibile una soluzione centralizzata di gestione delle identità e degli accessi a SQL Server.

SQL Server abilitato da Azure Arc archivia il certificato per Microsoft Entra ID in Azure Key Vault. Per informazioni dettagliate, vedere:

Per configurare Microsoft Entra ID, seguire le istruzioni riportate in Esercitazione: Configurare l'autenticazione di Microsoft Entra per SQL Server.

Microsoft Purview

Requisiti chiave per l'uso di Purview:

Procedure consigliate

Implementare le configurazioni seguenti per rispettare le procedure consigliate correnti al fine di proteggere le istanze di SQL Server abilitate da Azure Arc:

Contenuto correlato