Ограничение доступа к Azure SQL из виртуальной машины Azure

Question

Ограничение доступа к Azure SQL из виртуальной машины Azure

Поскольку Azure SQL имеет только DNS-адрес и не имеет IP-адреса, мы не можем применять ACL /NSG на виртуальной машине приложения Azure, так как он должен взаимодействовать с нашим Azure SQL. ACL-списки /NSG имеют только ограничения по диапазонам IP-адресов... без ограничений DNS.

Таким образом, потенциально хакер, которому удалось проникнуть на нашу виртуальную машину приложений Azure, может отправить украденные данные на любой IP-адрес, который ему нужен, до тех пор, пока он выходит в порт 1433.

В любом случае мы можем ограничить исходящую связь от виртуальной машины Azure только с нашим SQL Azure?

2

azure azure-sql-database azure-security

Источник

user6649810 05 мар '17 в 13:48

1 ответ

Другие вопросы по тегам azure azure-sql-database azure-security

user7831 05 мар '17 в 14:56 2017-03-05 14:56 · Answer 1 · 2017-03-05 14:56

Вы правы, вы не можете разместить базу данных SQL Azure в виртуальной сети (VNet). Кроме того, вы можете настроить только правило безопасности исходящей безопасности NSG, чтобы использовать тег, ограничивающий связь с Интернетом, балансировщиком нагрузки Azure или конечной точкой диспетчера трафика Azure. Поэтому, к сожалению, в настоящее время невозможно ограничить виртуальную машину Azure с NSG, чтобы иметь возможность только обмениваться данными с определенной базой данных SQL Azure через порт 1433.

Однако, с другой стороны, вы можете ограничить правила брандмауэра базы данных SQL Azure, чтобы разрешить вашей виртуальной машине Azure подключаться к базе данных только путем указания ее IP-адреса в правилах брандмауэра базы данных SQL.