Compartilhar via

Configuração de regras de aplicativo do Firewall do Azure com FQDNs do SQL

  • Artigo

Agora é possível configurar as regras de aplicativo do Firewall do Azure com FQDNs do SQL. Isso permite limitar o acesso das redes virtuais apenas às instâncias do SQL Server especificadas.

Com os FQDNs do SQL, é possível filtrar o tráfego:

  • De VNets para um Banco de Dados SQL do Azure ou Azure Synapse Analytics. Por exemplo: Permitir acesso apenas a sql-server1.database.windows.net.
  • Do ambiente local para Instâncias Gerenciadas do SQL do Azure ou do IaaS do SQL em execução nas suas redes virtuais.
  • De spoke-to-spoke para Instâncias Gerenciadas do SQL do Azure ou do IaaS do SQL em execução nas suas redes virtuais.

A filtragem de FQDN do SQL tem suporte apenas no modo de proxy (porta 1433). Se usar o SQL no modo de redirecionamento padrão, você pode filtrar o acesso usando a marca de serviço do SQL como parte das regras de rede. Se usar portas não padrão para o tráfego de IaaS do SQL, você pode configurar essas portas nas regras de aplicativo do firewall.

Configuração usando a CLI do Azure

  1. Implantar um Firewall do Azure usando a CLI do Azure.

  2. Se filtrar o tráfego para Banco de Dados SQL do Azure, Azure Synapse Analytics ou Instância Gerenciada de SQL, verifique se o modo de conectividade de SQL está definido como Proxy. Para saber como alternar o modo de conectividade do SQL, veja Configurações de Conectividade do SQL do Azure.

    Observação

    O modo Proxy do SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar a usar o modo de redirecionamento, que é o padrão para clientes que se conectam com o Azure, filtre o acesso usando a marca de serviço do SQL nas regras de rede do firewall.

  3. Crie uma nova coleção de regras com uma regra de aplicativo usando o FQDN do SQL para permitir acesso a um SQL Server:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Configurar usando o Azure PowerShell

  1. Implante um Firewall do Azure usando o Azure PowerShell.

  2. Se filtrar o tráfego para Banco de Dados SQL do Azure, Azure Synapse Analytics ou Instância Gerenciada de SQL, verifique se o modo de conectividade de SQL está definido como Proxy. Para saber como alternar o modo de conectividade do SQL, veja Configurações de Conectividade do SQL do Azure.

    Observação

    O modo Proxy do SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar a usar o modo de redirecionamento, que é o padrão para clientes que se conectam com o Azure, filtre o acesso usando a marca de serviço do SQL nas regras de rede do firewall.

  3. Crie uma nova coleção de regras com uma regra de aplicativo usando o FQDN do SQL para permitir acesso a um SQL Server:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Configuração usando o portal do Azure

  1. Implantar um Firewall do Azure usando a CLI do Azure.

  2. Se filtrar o tráfego para Banco de Dados SQL do Azure, Azure Synapse Analytics ou Instância Gerenciada de SQL, verifique se o modo de conectividade de SQL está definido como Proxy. Para saber como alternar o modo de conectividade do SQL, veja Configurações de Conectividade do SQL do Azure.

    Observação

    O modo Proxy do SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar a usar o modo de redirecionamento, que é o padrão para clientes que se conectam com o Azure, filtre o acesso usando a marca de serviço do SQL nas regras de rede do firewall.

  3. Adicione a regra de aplicativo com o protocolo, a porta e o FQDN do SQL apropriados e, em seguida, selecione Salvar. regra de aplicativo com FQDN SQL

  4. Acesse o SQL de uma máquina virtual em uma rede virtual que filtra o tráfego através do firewall.

  5. Valide se os logs do Firewall do Azure mostram que o tráfego é permitido.

Próximas etapas

Para saber mais sobre os modos de proxy e redirecionamento do SQL, consulte Arquitetura de conectividade do Banco de Dados SQL do Azure.