Segurança | SQL Server habilitado pelo Azure Arc
Este artigo descreve a arquitetura de segurança dos componentes do SQL Server habilitados pelo Azure Arc.
Para obter informações sobre o SQL Server habilitado pelo Azure Arc, examine Visão geral | SQL Server habilitado pelo Azure Arc.
Agente e extensão
Os componentes de software mais significativos para o SQL Server habilitado pelo Azure Arc são:
- Azure Connected Machine Agent
- Extensão do Azure para SQL Server
O agente do Azure Connected Machine conecta servidores ao Azure. A Extensão do Azure para SQL Server envia dados para o Azure sobre o SQL Server e recupera comandos do Azure por meio de um canal de comunicação de Retransmissão do Azure para executar uma ação em uma instância do SQL Server. Juntos, o agente e a extensão permitem que você gerencie suas instâncias e bancos de dados localizados em qualquer lugar fora do Azure. Uma instância do SQL Server com o agente e a extensão é habilitada pelo Azure Arc.
O agente e a extensão se conectam com segurança ao Azure para estabelecer canais de comunicação com os serviços do Azure gerenciados pela Microsoft. O agente pode se comunicar por meio de:
- Um servidor proxy HTTPS configurável no Azure Express Route
- Link Privado do Azure
- A Internet com ou sem um servidor proxy HTTPS
Para obter detalhes, examine a documentação do agente do Connected Machine:
Para coleta de dados e relatórios, alguns dos serviços exigem a extensão AMA (Agente de Monitoramento do Azure). A extensão precisa estar conectada a um Azure Log Analytics. Os dois serviços que exigem a AMA são:
- Microsoft Defender para Nuvem
- Avaliação de melhores práticas do SQL Server
A Extensão do Azure para SQL Server permite que você descubra alterações de configuração no nível do host ou do sistema operacional (por exemplo, cluster de failover do Windows Server) para todas as instâncias do SQL Server em um nível granular. Por exemplo:
- Instâncias do mecanismo do SQL Server em um computador host
- Bancos de dados em uma instância do SQL Server
- Grupos de disponibilidade
A Extensão do Azure para SQL Server permite que você gerencie, proteja e controle de forma centralizada as instâncias do SQL Server em qualquer lugar, coletando dados para tarefas como inventário, monitoramento e outras tarefas. Para obter uma lista completa dos dados coletados, consulte Coleta de dados e relatórios.
O diagrama a seguir ilustra a arquitetura do SQL Server habilitado para Azure Arc.
Componentes
Uma instância do SQL Server habilitada pelo Azure Arc tem componentes e serviços integrados que são executados em seu servidor e ajudam a se conectar ao Azure. Além dos serviços do Agente, uma instância habilitada tem os componentes listados nesta seção.
Provedores de recursos
Um provedor de recursos (RP) expõe um conjunto de operações REST que habilitam a funcionalidade para um serviço específico do Azure por meio da API do ARM.
Para que a extensão do Azure para SQL Server funcione, registre os seguintes 2 RPs:
- RP
Microsoft.HybridCompute
: gerencia o ciclo de vida dos recursos do servidor habilitado para Azure Arc, incluindo instalações de extensão, execução de comandos do computador conectado e executa outras tarefas de gerenciamento. - RP
Microsoft.AzureArcData
: gerencia o ciclo de vida do SQL Server habilitado pelos recursos do Azure Arc com base no inventário e dados de uso que recebe da extensão do Azure para SQL Server.
Serviço de processamento de dados do Azure Arc
O DPS (Serviço de Processamento de Dados) do Azure Arc é um serviço do Azure que recebe os dados sobre o SQL Server fornecidos pela Extensão do Azure para SQL Server em um servidor conectado ao Arc. O DPS realiza as seguintes tarefas:
- Processa os dados de inventário enviados para o ponto de extremidade regional pela Extensão do Azure para SQL Server e atualiza os recursos SqlServerInstance adequadamente por meio da API do ARM e do RP Microsoft.AzureArcData.
- Processa os dados de uso enviados ao ponto de extremidade regional pela Extensão do Azure para SQL Server e envia as solicitações de cobrança para o serviço de comércio do Azure.
- Monitora os recursos de licença de núcleo físico do SQL Server criados pelo usuário no ARM e envia as solicitações de cobrança ao serviço de comércio do Azure com base no estado da licença.
O SQL Server habilitado pelo Azure Arc requer uma conexão de saída da Extensão do Azure para SQL Server no Agente para DPS (*.<region>.arcdataservices.com
porta TCP 443). Para obter requisitos de comunicação específicos, consulte Conectar ao serviço de processamento de dados do Azure Arc.
Implantador
O Deployer inicializa a Extensão do Azure para SQL Server durante a instalação inicial e as atualizações de configuração.
Extensão do Azure para o Serviço do SQL Server
A Extensão do Azure para o Serviço do SQL Server é executada em segundo plano no servidor host. A configuração do serviço depende do sistema operacional:
Sistema operacional: Windows
- Nome do serviço: Serviço de Extensão do Microsoft SQL Server
- Nome de exibição: Serviço de Extensão do Microsoft SQL Server
- Executado como: sistema local
- Local do log:
C:/ProgramData/GuestConfig/extension_logs/Microsoft.AzureData.WindowsAgent.SqlServer
Sistema Operacional: Linux
- Nome do serviço: SqlServerExtension
- Nome de exibição: Serviço de Extensão do Azure SQL Server
- Executado como: raiz
- Local do log:
/var/lib/GuestConfig/extension_logs/Microsoft.AzureData.LinuxAgent.SqlServer-<Version>/
Funcionalidade
Uma instância do SQL Server habilitada pelo Azure Arc executa as seguintes tarefas:
Inventariar todas as instâncias, bancos de dados e grupos de disponibilidade do SQL Server
A cada hora, o serviço de Extensão do Azure para SQL Server carrega um inventário para o Serviço de Processamento de Dados. O inventário inclui instâncias do SQL Server, grupos de disponibilidade Always On e metadados de banco de dados.
Carregar uso
A cada 12 horas, o serviço de Extensão do Azure para SQL Server carrega dados relacionados ao uso para o Serviço de Processamento de Dados.
Segurança de servidor habilitada para Arc
Para obter informações específicas sobre como instalar, gerenciar e configurar servidores habilitados para Azure Arc, examine Visão geral da segurança de servidores habilitados para Arc.
SQL Server habilitado pelo Azure Arc
Extensão do Azure para componentes do SQL Server
A extensão do Azure para SQL Server consiste em dois componentes principais, o Implantador e o Serviço de Extensão.
O Implantador
O Implantador inicializa a extensão durante a instalação inicial e à medida que novas instâncias do SQL Server são instaladas ou os recursos são habilitados/desabilitados. Durante a instalação, atualização ou desinstalação, o agente do Arc em execução no servidor host executa o Implantador para executar determinadas ações:
- Instalar
- Habilitar
- Atualizar
- Desabilitar
- Desinstalar
O Implantador é executado no contexto do serviço de agente do Azure Connected Machine e, portanto, é executado como Local System
.
O serviço de extensão
O Serviço de Extensão coleta metadados de inventário e banco de dados (somente Windows) e os carrega no Azure a cada hora. Ele é executado como Local System
no Windows ou root no Linux. O Serviço de Extensão fornece vários recursos como parte do serviço SQL Server habilitado para Arc.
Executar com privilégios mínimos
Você pode configurar o Serviço de Extensão para ser executado com privilégios mínimos. Essa opção, para aplicar o princípio do privilégio mínimo, está disponível para versão prévia em servidores Windows. Para obter mais detalhes sobre como configurar o modo de privilégios mínimos, revise Habilitar privilégios mínimos (versão prévia).
Quando configurado para privilégios mínimos, o Serviço de Extensão é executado como a conta de serviço NT Service\SQLServerExtension
.
A conta NT Service\SQLServerExtension
é uma conta de serviço local do Windows:
- Criada e gerenciada pela Extensão do Azure para Implantador do SQL Server quando a opção de privilégios mínimos está habilitada.
- Recebe as permissões e privilégios mínimos necessários para executar a extensão do Azure para o serviço SQL Server no sistema operacional Windows. Só tem acesso a pastas e diretórios usados para ler e armazenar logs de configuração ou de gravação.
- Recebe permissão para se conectar e consultar no SQL Server com um novo logon especificamente para a Extensão do Azure para conta de serviço do SQL Server que tem as permissões mínimas necessárias. As permissões mínimas dependem dos recursos habilitados.
- Atualizada quando as permissões não são mais necessárias. Por exemplo, as permissões são revogadas quando você desabilita um recurso, desabilita a configuração de privilégios mínimos ou desinstala a extensão do Azure para SQL Server. A revogação garante que nenhuma permissão permaneça depois que não forem mais necessárias.
Para obter uma lista completa de permissões, consulte Configurar contas de serviço e permissões do Windows.
Extensão para comunicação em nuvem
O SQL Server habilitado para Arc requer conexão de saída com o Serviço de Processamento de Dados do Azure Arc.
Cada servidor virtual ou físico precisa se comunicar com o Azure. Especificamente, eles precisam de conectividade para:
- URL:
*.<region>.arcdataservices.com
- Porta: 443
- Direção: saída
- Provedor de autenticação: Microsoft Entra ID.
Para obter o segmento de região de um ponto de extremidade regional, remova todos os espaços do nome da região do Azure. Por exemplo, região Leste dos EUA 2, o nome da região é eastus2
.
Por exemplo: *.<region>.arcdataservices.com
deve estar *.eastus2.arcdataservices.com
na região Leste dos EUA 2.
Para obter uma lista de regiões com suporte, examine Regiões do Azure com suporte.
Para ver uma lista de todas as regiões, execute este comando:
az account list-locations -o table
Aspectos de segurança no nível do recurso
Os diferentes recursos e serviços têm aspectos específicos de configuração de segurança. Esta seção discute os aspectos de segurança dos seguintes recursos:
- Atividade de auditoria
- Práticas recomendadas de avaliação
- Backups automáticos
- Microsoft Defender para Nuvem
- Atualizações automáticas
- Monitorar
- Microsoft Entra ID
- Microsoft Purview
Atividade de auditoria
Você pode acessar os logs de atividades no menu de serviço do SQL Server habilitado pelo recurso do Azure Arc no portal do Azure. O log de atividades captura informações de auditoria e histórico de alterações para recursos do SQL Server habilitados para Arc no Azure Resource Manager. Para obter mais detalhes, revise Usar logs de atividade do SQL Server habilitado pelo Azure Arc.
Práticas recomendadas de avaliação
A avaliação de práticas recomendadas tem os seguintes requisitos:
Verifique se instância do SQL Server baseada no Windows está conectada ao Azure. Siga as instruções em Conectar automaticamente seu SQL Server ao Azure Arc.
Observação
Atualmente, a avaliação de práticas recomendadas está limitada ao SQL Server em execução em computadores Windows. A avaliação não se aplica ao SQL Server em computadores Linux no momento.
Se o servidor hospeda uma única instância do SQL Server, verifique se a versão da Extensão do Azure para SQL Server (
WindowsAgent.SqlServer
) é 1.1.2202.47 ou superior.Se o servidor hospeda múltiplas instâncias do SQL Server, verifique se a versão da Extensão do Azure para SQL Server (
WindowsAgent.SqlServer
) é 1.1.2231.59 ou superior.Para verificar a versão da Extensão do Azure para SQL Server e atualizar para a mais recente, revise Atualizar extensões.
Se o servidor hospedar uma instância nomeada do SQL Server, o serviço SQL Server Browser deverá estar em execução.
Um workspace do Log Analytics precisa estar na mesma assinatura que o recurso do SQL Server habilitado para o recurso do Azure Arc.
O usuário que configura práticas recomendadas de avaliação do SQL Server precisa ter as permissões a seguir:
- Função de Colaborador do Log Analytics no grupo de recursos ou assinatura do workspace do Log Analytics.
- Função Administrador de Recursos do Azure Connected Machine no grupo de recursos ou assinatura da instância do SQL Server habilitado para Arc.
- Função Colaborador de monitoramento no grupo de recursos ou assinatura do workspace do Log Analytics e no grupo de recursos ou assinatura do computador habilitado para Azure Arc.
Os usuários atribuídos a funções internas, como Colaborador ou Proprietário têm as permissões necessárias. Para obter mais informações, revise Atribuir funções do Azure usando o portal do Azure.
As permissões mínimas necessárias para acessar ou ler o relatório de avaliação são:
- Função de leitor no grupo de recursos ou assinatura do recurso do SQL Server - Azure Arc.
- Leitor da análise de logs.
- Leitor de monitoramento no grupo de recursos ou assinatura do workspace do Log Analytics.
Aqui estão mais requisitos para acessar ou ler o relatório de avaliação:
O logon interno do SQL Server NT AUTHORITY\SYSTEM deve ser o membro da função de servidor sysadmin do SQL Server para todas as instâncias do SQL Server em execução na máquina.
Se o seu firewall ou servidor proxy restringir a conectividade de saída, verifique se ele permite o Azure Arc pela porta TCP 443 para essas URLs:
global.handler.control.monitor.azure.com
*.handler.control.monitor.azure.com
<log-analytics-workspace-id>.ods.opinsights.azure.com
*.ingest.monitor.azure.com
A instância do SQL Server precisa habilitar o TCP/IP.
A avaliação de melhores práticas do SQL Server usa o AMA (Agente do Azure Monitor) para coletar e analisar dados de instâncias do SQL Server. Se você tiver o AMA instalado em suas instâncias do SQL Server antes de habilitar a avaliação de práticas recomendadas, a avaliação usará as mesmas configurações de agente e proxy do AMA. Você não precisa fazer mais nada.
Se você não tiver o AMA instalado em suas instâncias do SQL Server, a avaliação de práticas recomendadas o instalará para você. A avaliação de práticas recomendadas não define as configurações de proxy para AMA automaticamente. É necessário reimplantar o AMA com as configurações de proxy almejadas.
Para obter mais informações a respeito da rede AMA e configurações do proxy, revise Configuração de proxy.
Se você usar a política do Azure Configurar servidores habilitados para Arc com a extensão SQL Server instalada para habilitar ou desabilitar a avaliação de práticas recomendadas de SQL para habilitar a avaliação em escala, será necessário criar uma atribuição do Azure Policy. Sua assinatura requer a atribuição de função Colaborador da Política de Recursos para o escopo que você está direcionando. O escopo pode ser assinatura ou grupo de recursos.
Se você for planeja uma nova identidade gerenciada atribuída ao usuário, também precisará da atribuição de função Administrador de acesso do usuário na assinatura.
Para mais informações, examine Configurar a avaliação de práticas recomendadas do SQL: SQL Server habilitado pelo Azure Arc.
Backups automáticos
A extensão do Azure para SQL Server pode fazer backup automático de bancos de dados do sistema e do usuário em uma instância do SQL Server habilitada pelo Azure Arc. O serviço de backup na Extensão do Azure para SQL Server usa a conta NT AUTHORITY\SYSTEM
para executar os backups. Caso esteja operando o SQL Server habilitado pelo Azure Arc com menos privilégios, uma conta local do Windows - NT Service\SQLServerExtension
executará o backup.
Se você estiver usando a extensão do Azure para SQL Server versão 1.1.2504.99
ou posterior, as permissões necessárias serão concedidas automaticamente ao NT AUTHORITY\SYSTEM
. Você não precisa atribuir permissões manualmente.
Se você não estiver usando a configuração de privilégios mínimos, o logon interno do SQL Server NT AUTHORITY\SYSTEM
deverá ser membro de:
- Função de servidor
dbcreator
no nível do servidor - Função
db_backupoperator
emmaster
,model
,msdb
e cada banco de dados de usuário - excetotempdb
.
Os backups automatizados estão desabilitados por padrão. Depois que os backups automatizados forem configurados, a extensão do Azure para serviço do SQL Server iniciará um backup de todos os bancos de dados no local de backup padrão configurado. Os backups são nativos do SQL Server, o que significa que todo o histórico de backups está disponível nas tabelas relacionadas ao backup no banco de dados msdb
.
Microsoft Defender para Nuvem
O Microsoft Defender para Nuvem requer que o Agente do Azure Monitor seja configurado no servidor habilitado para Arc.
Para obter detalhes, examine Microsoft Defender para Nuvem.
Atualizações automáticas
As atualizações automáticas substituem todas as configurações de atualização pré-configuradas ou baseadas em políticas do Microsoft Update definidas no servidor habilitado para Arc.
- Somente as atualizações do Windows e do SQL Server marcadas como Importantes ou Críticas são instaladas. Outras atualizações do SQL Server, como service packs e atualizações cumulativas, ou outras atualizações que não estão marcadas como Importantes ou Críticas, precisam ser instaladas manualmente ou de outras maneiras. Para obter mais informações sobre o sistema de classificação de atualizações de segurança, consulte Sistema de classificação de gravidade de atualizações de segurança (microsoft.com)
- Funciona no nível do sistema operacional do host e se aplica a todas as instâncias do SQL Server instaladas
- Atualmente, ela só funciona em hosts do Windows. Ela configura o Windows Update/Microsoft Update, que é o serviço que, em última análise, atualiza as instâncias do SQL Server.
Para obter mais detalhes, revise Configurar atualizações automáticas para instâncias do SQL Server habilitadas para Azure Arc.
Monitor
Você pode monitorar o SQL Server habilitado pelo Azure Arc com um painel de desempenho no portal do Azure. Métricas de desempenho são coletadas automaticamente de conjuntos de dados de exibição de gerenciamento dinâmico (DMV) em instâncias elegíveis do SQL Server habilitado pelo Azure Arc e enviadas ao pipeline de telemetria do Azure para processamento quase em tempo real. O monitoramento é automático, desde que todos os pré-requisitos sejam atendidos.
Os pré-requisitos incluem:
- O servidor tem conectividade para
telemetry.<region>.arcdataservices.com
. Para obter mais informações, consulte Requisitos de rede. - O tipo de licença na instância do SQL Server é definido como
License with Software Assurance
ouPay-as-you-go
.
Para exibir o painel de desempenho no portal do Azure, você deve receber uma função do Azure com a ação Microsoft.AzureArcData/sqlServerInstances/getTelemetry/
atribuída. Por conveniência, você pode usar a função interna Administrador de Banco de Dados Híbrido do Azure - Função de Serviço Somente Leitura, que inclui essa ação. Para obter mais informações, consulte Saiba mais sobre as funções internas do Azure.
Detalhes sobre o recurso do painel de desempenho, incluindo como habilitar/desabilitar a coleta de dados e os dados coletados para esse recurso, podem ser encontrados em Monitorar no portal do Azure.
ID do Microsoft Entra
O Microsoft Entra ID é um serviço de gerenciamento de identidades e acesso baseado em nuvem para permitir aos funcionários acessar recursos externos. A autenticação do Microsoft Entra fornece segurança muito maior em relação à autenticação tradicional baseada em nome de usuário e senha. O SQL Server habilitado pelo Azure Arc utiliza o Microsoft Entra ID para autenticação – introduzido no SQL Server 2022 (16.x). Isso fornece uma solução centralizada de gerenciamento de identidades e acesso para o SQL Server.
O SQL Server habilitado pelo Azure Arc armazena o certificado para o Microsoft Entra ID no Azure Key Vault. Para obter detalhes, analise:
- Girar certificados
- Autenticação do Microsoft Entra para SQL Server.
- Tutorial: configurar a autenticação do Microsoft Entra para SQL Server
Para configurar o Microsoft Entra ID, siga as instruções em Tutorial: Configurar a autenticação do Microsoft Entra para SQL Server.
Microsoft Purview
Principais requisitos para usar o Purview:
- Uma conta do Azure com uma assinatura ativa.
- Uma conta do Microsoft Purview ativa.
- Permissões de Administrador de Fonte de Dados e de Leitor de Dados para registrar uma fonte e gerenciá-la no portal de governança do Microsoft Purview. Confira Controle de acesso no portal de governança do Microsoft Purview para conhecer detalhes.
- O runtime de integração auto-hospedada mais recente. Para saber mais, confira Criar e gerenciar um runtime de integração auto-hospedada.
- Para o RBAC do Azure, você precisa ter o Microsoft Entra ID e o Azure Key Vault habilitados.
Práticas recomendadas
Implemente as seguintes configurações para respeitar as práticas recomendadas atuais para proteger instâncias do SQL Server habilitadas pelo Azure Arc:
- Habilite o modo de privilégios mínimos (visualização).
- Execute a Avaliação de práticas recomendadas de SQL. Revise a avaliação e aplique as recomendações.
- Habilite a autenticação do Microsoft Entra.
- Habilite o Microsoft Defender para nuvem e resolva os problemas apontados pelo Defender para SQL.
- Não habilite a autenticação SQL. Ela está desabilitada por padrão. Revise as Práticas recomendadas de segurança do SQL Server.