Управление и безопасность Управляемый экземпляр SQL с поддержкой Azure Arc

В этой статье содержатся основные рекомендации по проектированию и рекомендациям по управлению, безопасности и соответствию требованиям, которые помогут вам спланировать и реализовать Управляемый экземпляр SQL развертывания с поддержкой Azure Arc. В то время как документация по целевой зоне корпоративного масштаба охватывает управление и безопасность в виде отдельных разделов, эти критически важные области проектирования объединяются в одну тему для Управляемый экземпляр SQL с поддержкой Arc.

Архитектура

На следующей схеме показана концептуальная эталонная архитектура, которая отображает области проектирования безопасности, соответствия и управления для Управляемый экземпляр SQL с поддержкой Arc:

Рекомендации по проектированию

В этом разделе содержатся рекомендации по проектированию, которые следует учитывать при планировании безопасности и управления Управляемый экземпляр SQL с поддержкой Arc.

Просмотрите области проектирования безопасности и управления целевых зон Azure, чтобы оценить влияние Управляемый экземпляр SQL с поддержкой Arc на общие модели управления и безопасности.

Система управления

• Ознакомьтесь с критической областью разработки организации ресурсов, чтобы ознакомиться с рекомендациями по обеспечению управления в целевой зоне.
• Просмотрите и примените соглашение об именовании организации для гибридных ресурсов, таких как Управляемый экземпляр SQL с поддержкой Arc, контроллер данных и пользовательское расположение.
• Просмотрите встроенные профили конфигурации для косвенного Подключение режима и определите, нужны ли пользовательские профили в соответствии с инфраструктурой Kubernetes.

Конфиденциальность данных и размещение

• Рассмотрите, какие регионы Azure планируется развернуть Управляемый экземпляр SQL и контроллеры данных с поддержкой Arc в соответствии с требованиями к безопасности и соответствию требованиям, учитывая все требования к независимости данных. Узнайте, какие данные собираются из ваших ресурсов напрямую и косвенно Подключение режиме, а также планируйте соответствующим образом на основе требований к месту расположения данных вашей организации.

Примечание.

Данные базы данных не отправляются в корпорацию Майкрософт, только операционные данные, данные выставления счетов и инвентаризации, диагностика и программы улучшения качества обслуживания клиентов (CEIP).

Безопасность кластера

• Управляемый экземпляр SQL с поддержкой Arc может находиться в гибридных или многооблачных кластерах Kubernetes. Ознакомьтесь с рекомендациями по безопасности и управлению для выбранного поставщика облачных служб и дистрибутива Kubernetes.
• Ознакомьтесь с рекомендациями по проектированию в области проектирования с поддержкой Kubernetes Kubernetes и области разработки.

Сетевая безопасность

• Ознакомьтесь с критически важной областью проектирования сетевого подключения, чтобы ознакомиться с рекомендациями и рекомендациями.
• Определите режим подключения, который будет использоваться для Управляемый экземпляр SQL с поддержкой Arc в зависимости от требований к безопасности и соответствию требованиям вашей организации.
• В зависимости от того, где развернут кластер, рассмотрите сетевые порты и конечные точки, необходимые для мониторинга Управляемый экземпляр SQL с поддержкой Arc с помощью Grafana и Kibana.
• При создании контроллера данных определите тип службы, который будет использоваться между Kubernetes LoadBalancer или NodePort.

Управление удостоверениями и доступом

• Просмотрите управление удостоверениями и доступом для Управляемый экземпляр SQL с поддержкой Arc, чтобы получить рекомендации и рекомендации.
• Учитывая разделение обязанностей вашей организации и требования к наименее привилегированным доступом, определите администрирование кластера, операции, администрирование баз данных и роли разработчика в организации. Сопоставление каждой команды с действиями и обязанностями определяет роли управления доступом на основе ролей Azure (RBAC) или Кластер Kubernetes ClusterRoleBinding и RoleBinding в зависимости от используемого режима подключения.
• Рассмотрите возможность использования матрицы сторон, ответственных , подотчетных и информированных сторон (RACI) для поддержки этих усилий. Создайте элементы управления в иерархию управления область, определяемую на основе рекомендаций по обеспечению согласованности ресурсов и управления инвентаризацией.
• При развертывании контроллера данных Azure Arc требуются некоторые разрешения, которые можно считать высокими привилегиями, например создание пространства имен Kubernetes или создание роли кластера. Сведения о разрешениях, необходимых для предотвращения чрезмерных привилегий.
• Решите использовать модель проверки подлинности в Управляемый экземпляр SQL с поддержкой Arc, будь то проверка подлинности Microsoft Entra или проверка подлинности SQL. Просмотрите область конструктора управления удостоверениями и доступом, чтобы ознакомиться с рекомендациями и рекомендациями по выбору правильного режима проверки подлинности.
• Рассмотрим различия между ключами, управляемыми системой, и ключами, управляемыми клиентом, для развертывания соединителя Azure Arc AD для поддержки проверки подлинности Microsoft Entra в Управляемый экземпляр SQL с поддержкой Arc. Оба метода имеют преимущество упрощенных операций по сравнению с полным управлением клиентами управления учетными записями служб и ключами для поддержки проверки подлинности Microsoft Entra.

Безопасность Управляемый экземпляр SQL с поддержкой Azure Arc

• Определите режим подключения, учитывая компромиссы между наличием и отсутствием прямого подключения к Azure, а также о том, как это может повлиять на гибридные и многооблачные экземпляры от использования текущих и будущих возможностей безопасности, включенных в Azure.
• Просмотрите возможности безопасности, доступные в Управляемый экземпляр SQL с поддержкой Arc для рабочих нагрузок данных.
• Определите платформу хранения, которая будет использоваться для постоянных томов в кластерах Kubernetes, и изучите возможности безопасности, доступные для защиты данных, размещенных на постоянных томах. Просмотрите дисциплины хранения, критически важные области проектирования во время разработки для целевой зоны.
• Ознакомьтесь с требованиями и архитектурой прозрачное шифрование данных перед включением Управляемый экземпляр SQL с поддержкой Arc.
• Рассмотрим различные расположения, в которых можно хранить учетные данные прозрачное шифрование данных на основе политик и процедур управления криптографическими ключами вашей организации.
• При развертывании Управляемый экземпляр SQL с поддержкой Arc в косвенно Подключение режиме определите центр сертификации, который будет использоваться для предоставления управляемого пользователем сертификата в соответствии с требованиями безопасности и соответствия вашей организации.
• Развертывание Управляемый экземпляр SQL с поддержкой Arc в режиме прямого Подключение предоставляет системный сертификат с возможностями автоматического поворота. Косвенно Подключение режиме ручное вмешательство необходимо для смены управляемого пользователем сертификата. При выборе режима подключения для развертывания следует учитывать требования к операциям вручную и безопасности.
• Рассмотрите необходимость поддержания актуальности Управляемый экземпляр SQL с поддержкой Arc последними версиями, независимо от того, развертываются ли они в режиме прямого или косвенного Подключение. Ознакомьтесь с дисциплинами обновления, критически важными областями проектирования, чтобы получить дополнительные рекомендации.

Стратегия мониторинга

• Ознакомьтесь с дисциплинами управления, которые критически важны для проектирования и планирования сбора метрик и журналов из гибридных ресурсов в рабочую область Log Analytics для дальнейшего анализа, аудита и оповещений
• Изучите минимальные разрешения привилегий, необходимые субъекту-службе для отправки журналов и метрик в Azure Monitor.

Рекомендации по проектированию

Сетевая безопасность

• Защита панелей мониторинга Grafana и Kibana с помощью SSL/TLS-сертификатов для обеспечения безопасности транспортного уровня.
• Используйте Kubernetes LoadBalancer в качестве типа службы при развертывании Управляемый экземпляр SQL с поддержкой Arc для повышения доступности.

Управление удостоверениями и доступом

• Предпочитайте использовать проверку подлинности Microsoft Entra для разгрузки управления жизненным циклом пользователей в службы каталогов и использования групп безопасности в идентификаторе Microsoft Entra для управления разрешениями пользователей для доступа к базе данных SQL.
• Используйте режим ключей, управляемый системой, для поддержки проверки подлинности Microsoft Entra для разгрузки учетной записи домена и затрат на управление ключами для упрощения операций.
• Если используется проверка подлинности SQL, получите надежные политики паролей и включите аудит для мониторинга удостоверений пользователей и разрешений SQL, предоставленных для доступа к серверам и базам данных базы данных.
• Разместите пространство имен Kubernetes для развертывания контроллера данных Azure Arc и назначьте минимальные разрешения для развертывания и управления ими.
• Создавайте надежные пароли для панелей мониторинга Grafana и Kibana и регулярно выполняйте аудит и смену.
• Отслеживайте журнал действий Управляемый экземпляр SQL и контроллеров данных с поддержкой Arc, чтобы проверить различные операции, выполняемые в гибридных ресурсах. Создание оповещений для соответствующих событий и интеграция с средствами управления безопасностью и событиями (SIEM), такими как Microsoft Sentinel для мониторинга безопасности и реагирования на инциденты.

Безопасность Управляемый экземпляр SQL с поддержкой Azure Arc

• По возможности выберите режим "Напрямую Подключение" в режиме косвенного Подключение развертывания служб данных с поддержкой Azure Arc и Управляемый экземпляр SQL с поддержкой Arc, чтобы убедиться, что вы получаете все преимущества текущих и будущих функций безопасности, связанных с режимом непосредственно Подключение.
• Включите прозрачное шифрование данных при возможности шифрования неактивных данных.
• Сохраните учетные данные прозрачное шифрование данных на постоянных томах для повышения устойчивости.
• Используйте возможности платформы хранилища для шифрования постоянных томов в соответствии с требованиями безопасности и соответствия вашей организации.
• Убедитесь, что политика резервного копирования установлена в соответствии с вашими требованиями для восстановления после потери данных. Дополнительные рекомендации см. в области разработки критически важных областей обеспечения непрерывности бизнес-процессов и аварийного восстановления.
• При развертывании в косвенно Подключение режиме создайте процесс для смены управляемого пользователем сертификата.
• Не забудьте сохранить Управляемый экземпляр SQL с поддержкой Arc, обновленную до последних версий независимо от режима подключения.

Стратегия мониторинга

• Отслеживайте истечение срока действия учетных данных или изменение субъекта-службы, используемого для отправки метрик и журналов в Azure.
• Создайте процесс для смены учетных данных субъекта-службы в соответствии с требованиями к безопасности и соответствию требованиям вашей организации.

Следующие шаги

Дополнительные сведения о пути гибридного и многооблачного облака см. в следующих статьях:

• Просмотрите возможности служб данных с поддержкой Azure Arc.
• Просмотрите проверенные дистрибутивы Kubernetes для служб данных с поддержкой Azure Arc.
• Ознакомьтесь с гибридными и многооблачными средами.
• Узнайте больше о Управляемый экземпляр SQL с поддержкой Arc с минимальными привилегиями.
• Опыт работы с Управляемый экземпляр SQL автоматизированных сценариев с поддержкой Arc с помощью Azure Arc Jumpstart.
• Чтобы узнать больше о Azure Arc, ознакомьтесь с схемой обучения Azure Arc в Microsoft Learn.