Governance en beveiliging voor sql Managed Instance met Azure Arc

  • Artikel

Dit artikel bevat belangrijke ontwerpoverwegingen en aanbevolen procedures voor governance, beveiliging en naleving om u te helpen bij het plannen en implementeren van sql Managed Instance-implementaties met Azure Arc. Hoewel de documentatie voor landingszones op ondernemingsniveau betrekking heeft op governance en beveiliging als afzonderlijke onderwerpen, worden deze kritieke ontwerpgebieden samengevoegd tot één onderwerp voor sql Managed Instance met Arc.

Architectuur

In het volgende diagram ziet u een conceptuele referentiearchitectuur met de ontwerpgebieden voor beveiliging, naleving en governance voor sql Managed Instance met Arc:

Diagram showing enterprise-scale security and governance for Azure Arc-enabled SQL Managed Instance.

Ontwerpoverwegingen

Deze sectie bevat ontwerpoverwegingen waarmee u rekening moet houden bij het plannen van de beveiliging en governance van uw met Arc ingeschakelde SQL Managed Instance.

Bekijk de ontwerpgebieden voor beveiliging en governance van de Azure-landingszones om het effect van sql Managed Instance met Arc te beoordelen op uw algemene governance- en beveiligingsmodellen.

Governancedisciplines

  • Bekijk het kritieke ontwerpgebied van de resourceorganisatie voor best practices voor het afdwingen van governance in uw landingszone.
  • Controleer en dwing de naamconventie van uw organisatie af voor uw hybride resources, zoals het met Arc ingeschakelde SQL Managed Instance, de gegevenscontroller en de aangepaste locatie.
  • Controleer de ingebouwde configuratieprofielen voor indirect Verbinding maken modus en bepaal of er aangepaste profielen nodig zijn op basis van uw Kubernetes-infrastructuur.

Gegevensprivacy en -verblijf

  • Overweeg binnen welke Azure-regio's u van plan bent om uw met Arc beheerde SQL-exemplaar en gegevenscontrollers te implementeren op basis van uw beveiligings- en nalevingsvereisten, rekening houdend met eventuele vereisten voor gegevenssoevereine. Begrijp welke gegevens worden verzameld van uw resources in de modus Direct en Indirect Verbinding maken en plan dienovereenkomstig op basis van de vereisten voor gegevenslocatie van uw organisatie.

Notitie

Er worden geen databasegegevens naar Microsoft verzonden, alleen operationele gegevens, facturerings- en inventarisgegevens, diagnostische gegevens en ceIP-gegevens (Customer Experience Improvement Program).

Clusterbeveiliging

  • Uw MET SQL Managed Instance met Arc kan zich bevinden op hybride kubernetes- of multicloud-kubernetes-clusters. Bekijk de beveiligings- en governanceoverwegingen voor uw gekozen cloudprovider en Kubernetes-distributie.
  • Bekijk de ontwerpoverwegingen in het ontwerpgebied voor Kubernetes-governance en beveiligingsdisciplines met Azure Arc.

Netwerkbeveiliging

  • Bekijk het kritieke ontwerpgebied voor netwerkconnectiviteit voor best practices en richtlijnen.
  • Bepaal welke connectiviteitsmodus moet worden gebruikt voor sql Managed Instance met Arc, afhankelijk van de beveiligings- en nalevingsvereisten van uw organisatie.
  • Afhankelijk van waar uw cluster is geïmplementeerd, moet u rekening houden met de netwerkpoorten en eindpunten die nodig zijn voor het bewaken van uw met Arc ingeschakelde SQL Managed Instance met behulp van Grafana en Kibana.
  • Bepaal bij het maken van de gegevenscontroller welk servicetype u gebruikt tussen Kubernetes LoadBalancer of NodePort.

Identiteits- en toegangsbeheer

  • Bekijk de identiteits- en toegangsbeheer voor sql Managed Instance met Arc voor best practices en richtlijnen.
  • Hoewel u rekening houdt met de scheiding van taken van uw organisatie en vereisten voor minimale bevoegdheden, definieert u clusterbeheer, bewerkingen, databasebeheer en ontwikkelaarsrollen binnen uw organisatie. Het toewijzen van elk team aan acties en verantwoordelijkheden bepaalt RBAC-rollen (op rollen gebaseerd toegangsbeheer) van Azure of de Kubernetes ClusterRoleBinding en RoleBinding, afhankelijk van de gebruikte connectiviteitsmodus.
  • Overweeg om een verantwoordelijke, verantwoordelijke, geraadpleegde en geïnformeerde (RACI)-partijenmatrix te gebruiken om deze inspanning te ondersteunen. Bouw besturingselementen in de hiërarchie van het beheerbereik die u definieert op basis van resourceconsistentie en richtlijnen voor voorraadbeheer .
  • Voor het implementeren van de Azure Arc-gegevenscontroller zijn enkele machtigingen vereist die als hoge bevoegdheden kunnen worden beschouwd, zoals het maken van een Kubernetes-naamruimte of het maken van een clusterrol. Krijg inzicht in de machtigingen die nodig zijn om overmatige bevoegdheden te voorkomen.
  • Beslis over het verificatiemodel dat moet worden gebruikt in uw met Arc ingeschakelde SQL Managed Instance, ongeacht of dit Microsoft Entra-verificatie of SQL-verificatie is. Bekijk het ontwerpgebied voor identiteits- en toegangsbeheer voor ontwerpoverwegingen en aanbevelingen om de juiste verificatiemodus te kiezen.
  • Houd rekening met de verschillen tussen door het systeem beheerde keytab en door de klant beheerde keytab om Azure Arc AD-connector te implementeren ter ondersteuning van Microsoft Entra-verificatie in sql Managed Instance met Arc. Beide methoden hebben het voordeel van vereenvoudigde bewerkingen vergeleken met volledig klantbeheer van het beheren van serviceaccounts en keytab voor ondersteuning voor Microsoft Entra-verificatie.

Beveiliging met SQL Managed Instance met Azure Arc

  • Beslis over de connectiviteitsmodus, rekening houdend met de afwegingen tussen het hebben en niet hebben van directe verbinding met Azure, en hoe dit van invloed kan zijn op uw hybride en multicloud-exemplaren van het gebruik van de huidige en toekomstige beveiligingsmogelijkheden die door Azure zijn ingeschakeld.
  • Bekijk de beveiligingsmogelijkheden die beschikbaar zijn in SQL Managed Instance met Arc voor uw gegevensworkloads.
  • Definieer het opslagplatform dat moet worden gebruikt voor permanente volumes binnen uw Kubernetes-clusters en begrijp de beveiligingsmogelijkheden die beschikbaar zijn voor het beveiligen van gegevens die zich op de permanente volumes bevinden. Bekijk het kritieke ontwerpgebied van opslagdisciplines terwijl u ontwerpt voor uw landingszone.
  • Bekijk de vereisten en architectuur van Transparent Data Encryption voordat u deze inschakelt op uw met Arc ingeschakelde SQL Managed Instance.
  • Houd rekening met de verschillende locaties waar u uw Transparent Data Encryption-referenties kunt opslaan op basis van het cryptografische sleutelbeheerbeleid en de procedures van uw organisatie.
  • Bij het implementeren van SQL Managed Instance met Arc in indirect Verbinding maken modus, besluit u over de certificeringsinstantie die wordt gebruikt om het door de gebruiker beheerde certificaat op te geven volgens de beveiligings- en nalevingsvereisten van uw organisatie.
  • Het implementeren van sql Managed Instance met Arc in de modus Rechtstreeks Verbinding maken biedt een door het systeem beheerd certificaat met mogelijkheden voor automatisch rouleren. In indirect Verbinding maken modus is handmatige interventie nodig om een door de gebruiker beheerd certificaat te roteren. Houd rekening met de handmatige bewerkingen en beveiligingsvereisten bij het kiezen van de connectiviteitsmodus die u wilt implementeren.
  • Houd rekening met de noodzaak om uw met Arc ingeschakelde SQL Managed Instance up-to-date te houden met de nieuwste versies, ongeacht of ze direct of indirect worden geïmplementeerd in de modus Direct of Indirect Verbinding maken ed. Bekijk het kritieke ontwerpgebied van de upgradebaarheidsdisciplines voor meer richtlijnen.

Bewakingsstrategie

  • Bekijk het ontwerp van kritieke ontwerpgebieden voor beheerdisciplines en plan om metrische gegevens en logboeken van uw hybride resources te verzamelen in een Log Analytics-werkruimte voor verdere analyse, controle en waarschuwingen
  • Inzicht in de machtigingen voor minimale bevoegdheden die vereist zijn voor de service-principal om logboeken en metrische gegevens te uploaden naar Azure Monitor.

Ontwerpaanaanvelingen

Netwerkbeveiliging

  • Beveilig uw Grafana- en Kibana-bewakingsdashboards met SSL/TLS-certificaten voor transportlaagbeveiliging.
  • Gebruik Kubernetes LoadBalancer als uw servicetype bij het implementeren van SQL Managed Instance met Arc voor betere beschikbaarheid.

Identiteits- en toegangsbeheer

  • Geef de voorkeur aan het gebruik van Microsoft Entra-verificatie om levenscyclusbeheer van gebruikers te offloaden naar de adreslijstservices en gebruik beveiligingsgroepen in Microsoft Entra ID om gebruikersmachtigingen te beheren voor toegang tot de SQL-database.
  • Gebruik de door het systeem beheerde keytab-modus voor microsoft Entra-verificatieondersteuning om de overhead van domeinaccounts en keytab-beheer te offloaden om bewerkingen te vereenvoudigen.
  • Als SQL-verificatie wordt gebruikt, gebruikt u sterk wachtwoordbeleid en schakelt u controle in voor het bewaken van SQL-gebruikersidentiteiten en -machtigingen die zijn verleend voor toegang tot databaseservers en -databases.
  • Wijs een Kubernetes-naamruimte toe voor de implementatie van de Azure Arc-gegevenscontroller en wijs de machtigingen met minimale bevoegdheden toe om te implementeren en beheren.
  • Maak sterke wachtwoorden voor Grafana- en Kibana-dashboards en zorg ervoor dat u regelmatig controleert en roteert.
  • Bewaak het activiteitenlogboek van uw met Arc beheerde SQL-exemplaar en gegevenscontrollers om de verschillende bewerkingen op uw hybride resources te controleren. Maak waarschuwingen voor relevante gebeurtenissen en integreer met SIEM-hulpprogramma's (Security Information and Event Management), zoals Microsoft Sentinel voor beveiligingsbewaking en incidentrespons.

Beveiliging met SQL Managed Instance met Azure Arc

  • Kies, indien mogelijk, direct Verbinding maken ed modus boven indirect Verbinding maken ed modus implementatie van gegevensservices met Azure Arc en SQL Managed Instance met Arc om ervoor te zorgen dat u alle huidige en toekomstige voordelen van beveiligingsfuncties krijgt die zijn gekoppeld aan de modus Direct Verbinding maken.
  • Schakel Waar mogelijk Transparent Data Encryption in om uw data-at-rest te versleutelen.
  • Sla uw Transparent Data Encryption-referenties op permanente volumes op voor betere tolerantie.
  • Gebruik de mogelijkheden van uw opslagplatform om permanente volumes te versleutelen volgens de beveiligings- en nalevingsvereisten van uw organisatie.
  • Zorg ervoor dat uw back-upbeleid is ingesteld op basis van uw vereisten voor het herstellen van gegevensverlies. Bekijk het kritieke ontwerpgebied voor bedrijfscontinuïteit en herstel na noodgevallen voor meer richtlijnen.
  • Wanneer u in indirect Verbinding maken modus implementeert, maakt u een proces om het door de gebruiker beheerde certificaat te draaien.
  • Zorg ervoor dat u een proces hebt om uw met Arc ingeschakelde SQL Managed Instance bijgewerkt te houden naar de nieuwste versies, onafhankelijk van de connectiviteitsmodus.

Bewakingsstrategie

  • Controleer de verlooptijd van de referenties of de wijziging van de service-principal die wordt gebruikt voor het uploaden van metrische gegevens en logboeken naar Azure.
  • Maak een proces om de referenties van de service-principal te roteren volgens de beveiligings- en nalevingsvereisten van uw organisatie.

Volgende stappen

Zie de volgende artikelen voor meer informatie over uw hybride en multicloudcloudcloudtraject: