Exercício – Proteger a sua rede
Neste exercício, você examinará e gerenciará as suas regras de firewall usando o portal do Azure. Você também vai configurar a conexão mais segura enquanto estiver usando o ponto de extremidade público.
Abra o portal do Azure usando o botão a seguir se você ainda não tiver feito isso.
Proteger a rede
Quando você implantou seu banco de dados no Banco de Dados SQL do Azure, o script que você executou habilitou Permitir que os serviços e recursos do Azure acessem esse servidor, autorizando que qualquer recurso de qualquer região ou assinatura acesse o seu recurso. É importante desmarcar a configuração para garantir a configuração mais segura do ponto de extremidade público. Quando a definição Permitir que os serviços e recursos do Azure acessem esse servidor estiver desmarcada, ela bloqueará todas as conexões e redes que não sejam as que você adicionou.
Neste exercício, você aprenderá a exibir e editar as regras de firewall. A configuração de regras de firewall pode ser complicada, pois você precisará especificar um intervalo de endereços IP para todas as conexões – que, às vezes, podem usar endereços IP dinâmicos. Métodos alternativos para proteger sua rede são fornecidos em um vídeo de demonstração ao final deste exercício.
Gerenciar regras de firewall no portal do Azure
No menu de recursos do portal do Azure, selecione Bancos de dados SQL e, em seguida, selecione seu Banco de Dados SQL do Azure (AdventureWorks).
Na barra de comandos do banco de dados SQL, selecione Definir firewall do servidor.
Para Permitir que os serviços e recursos do Azure acessem esse servidor, desmarque a caixa ao lado da configuração.
O sistema deve ter adicionado o endereço IP do cliente do seu computador durante a implantação, mas se nenhuma das regras corresponder ao IP do seucliente, adicione seu endereço IP em Nome da regra para permitir que você faça logon no SQL Server Management Studio (SSMS).
Selecione Salvar para salvar as alterações. No menu do Banco de Dados SQL, selecione Visão geral para voltar à página de visão geral.
Para confirmar que você ainda tem acesso a partir do computador local, vá para o SSMS. Clique com o botão direito do mouse em seu banco de dados no Pesquisador de Objetos e selecione Atualizar para atualizar as conexões do Banco de Dados SQL do Azure com o servidor lógico. Se não ocorrer nenhum erro, você configurou com êxito o acesso seguro ao servidor lógico do Banco de Dados SQL do Azure para o seu endereço IP.
Opcionalmente, você pode ver como o SSMS está se conectando à sua instância do Banco de Dados SQL do Azure executando este código a partir da Novo Consulta no SSMS:
SELECT client_net_address FROM sys.dm_exec_connections WHERE session_id=@@SPID;O resultado deve ser o endereço IP público do seu computador local. Você pode verificar seu endereço IP executando o seguinte comando em uma instância local do PowerShell (não o Azure Cloud Shell):
(Invoke-WebRequest -UseBasicParsing -Uri "https://ipinfo.io/ip").ContentVocê usou um comando semelhante para localizar o endereço IP no início do módulo. Essa consulta deve retornar o mesmo endereço IP.
Gerenciar regras de firewall com o Azure Cloud Shell
Você também pode usar o comando az sql server firewall-rule da CLI do Azure para criar, excluir e exibir regras de firewall no nível do servidor. Você pode usar a CLI do Azure por meio da interface de linha de comando da sua VM (máquina virtual) do Azure ou de um notebook do PowerShell. Para este exercício, você experimentará o Cloud Shell. Você pode abrir um terminal do Cloud Shell por meio do portal do Azure, mas por enquanto, use o terminal integrado da área restrita à direita, que é essencialmente a mesma coisa.
Execute o seguinte comando para configurar o seu ambiente:
$database_name = "AdventureWorks" $server = Get-AzureRmSqlServer -ResourceGroupName <rgn>Sandbox resource group name</rgn> $logical_server = $server.ServerNameDigite o seguinte comando para listar as configurações de firewall do seu servidor:
az sql server firewall-rule list -g <rgn>Sandbox resource group name</rgn> -s $logical_serverA saída deve ser um objeto JSON para cada regra na configuração Regras de firewall do menu Rede do servidor lógico SQL do Azure no portal do Azure.
Configurar as regras de firewall no nível do servidor usando o portal do Azure ou o Cloud Shell concede o acesso ao endereço IP do cliente a todos os bancos de dados que estão no servidor lógico. Você pode configurar regras de firewall no nível do banco de dados, que se aplicam a bancos de dados individuais, usando o comando T-SQL EXECUTE sp_set_database_firewall_rule no SSMS. O T-SQL é o único método disponível para configurar regras de firewall para um banco de dados específico. Para obter mais informações, confira as referências na página Resumo deste módulo.
Saiba mais
Agora você já sabe como atualizar as regras de firewall de IP para endereços IP específicos ou intervalos de endereços IP no servidor e no nível do banco de dados. Em um ambiente de produção, você também pode precisar de acesso de várias redes virtuais ou recursos, como aplicativos do Azure ou VMs do Azure. As VMs do Azure têm endereços IP dinâmicos, o que significa que os endereços mudam ao longo do tempo. Você pode configurar endereços IP estáticos, que podem ser difíceis de manter usando as regras de firewall. Como alternativa, você pode usar regras de rede virtual para gerenciar o acesso por meio de sub-redes específicas que contêm suas VMs ou outros serviços. Também é possível configurar um ponto de extremidade privado, a maneira mais segura de conectar-se a um servidor lógico do Banco de Dados SQL do Azure.
Você também pode definir a Versão mínima do TLS permitida de conexões de cliente para o servidor lógico usando o menu Rede e acessando a guia Conectividade do servidor lógico SQL do Azure.
Neste vídeo, você aprenderá a criar, configurar e comparar os vários métodos de conexão a um banco de dados no Banco de Dados SQL do Azure:
- Permitir acesso aos recursos do Azure
- Regras de firewall
- Regras de rede virtual
- Ponto de extremidade privado