Delen via


Azure SQL Managed Instance veilig gebruiken met openbare eindpunten

Van toepassing op: Azure SQL Managed Instance

Azure SQL Managed Instance kan gebruikersconnectiviteit bieden via openbare eindpunten. In dit artikel wordt uitgelegd hoe u deze configuratie veiliger maakt.

Scenario's

Azure SQL Managed Instance biedt een lokaal VNet-eindpunt om connectiviteit vanuit het virtuele netwerk mogelijk te maken. De standaardoptie is om maximale isolatie te bieden. Er zijn echter scenario's waarin u een openbare eindpuntverbinding moet opgeven:

  • Het beheerde exemplaar moet worden geïntegreerd met paaS-aanbiedingen (Platform as a Service) met meerdere tenants.
  • U hebt een hogere doorvoer van gegevensuitwisseling nodig dan mogelijk is wanneer u een VPN gebruikt.
  • Bedrijfsbeleid verbiedt PaaS in bedrijfsnetwerken.

Een beheerd exemplaar implementeren voor toegang tot openbare eindpunten

Hoewel dit niet verplicht is, is het algemene implementatiemodel voor een beheerd exemplaar met openbare eindpunttoegang het maken van het exemplaar in een toegewezen geïsoleerd virtueel netwerk. In deze configuratie wordt het virtuele netwerk alleen gebruikt voor isolatie van virtuele clusters. Het maakt niet uit of de IP-adresruimte van het beheerde exemplaar overlapt met de IP-adresruimte van een bedrijfsnetwerk.

Gegevens in beweging beveiligen

Gegevensverkeer van SQL Managed Instance wordt altijd versleuteld als het clientstuurprogramma versleuteling ondersteunt. Gegevens die worden verzonden tussen het beheerde exemplaar en andere virtuele Azure-machines of Azure-services verlaten nooit de backbone van Azure. Als er een verbinding is tussen het beheerde exemplaar en een on-premises netwerk, raden we u aan Azure ExpressRoute te gebruiken. Met ExpressRoute kunt u voorkomen dat u gegevens verplaatst via het openbare internet. Voor lokale connectiviteit van beheerde exemplaren kan alleen persoonlijke peering worden gebruikt.

Binnenkomende en uitgaande connectiviteit vergrendelen

In het volgende diagram ziet u de aanbevolen beveiligingsconfiguraties:

Security configurations for locking down inbound and outbound connectivity

Een beheerd exemplaar heeft een openbaar eindpuntadres dat is toegewezen aan een klant. Dit eindpunt deelt het IP-adres met het beheereindpunt , maar gebruikt een andere poort. Net als bij een VNet-lokaal eindpunt kan het openbare eindpunt veranderen na bepaalde beheerbewerkingen. Bepaal altijd het adres van het openbare eindpunt door de FQDN-record van het eindpunt op te lossen, bijvoorbeeld bij het configureren van firewallregels op toepassingsniveau.

Om ervoor te zorgen dat verkeer naar het beheerde exemplaar afkomstig is van vertrouwde bronnen, raden we u aan verbinding te maken vanuit bronnen met bekende IP-adressen. Gebruik een netwerkbeveiligingsgroep om de toegang tot het openbare eindpunt van het beheerde exemplaar op poort 3342 te beperken.

Wanneer clients een verbinding vanuit een on-premises netwerk moeten initiëren, moet u ervoor zorgen dat het oorspronkelijke adres wordt vertaald naar een bekende set IP-adressen. Als u dit niet kunt doen (bijvoorbeeld een mobiel personeel dat een typisch scenario is), raden we u aan punt-naar-site-VPN-verbindingen en een VNet-lokaal eindpunt te gebruiken.

Als verbindingen worden gestart vanuit Azure, raden we u aan dat verkeer afkomstig is van een bekend toegewezen virtueel IP-adres (bijvoorbeeld een virtuele machine). Als u het beheren van virtuele IP-adressen (VIP)-adressen eenvoudiger wilt maken, wilt u mogelijk openbare IP-adresvoorvoegsels gebruiken.

Volgende stappen