クラウドで SQL を実行する VM があります。通常は、Azure の SQL ポートと VM のファイアウォールに受信ルールを設定しますが、クライアントにはルールで使用する静的 IP アドレスがありません。
どの IP が接続するか正確にわからない場合、VM をセキュリティ保護するにはどうすればよいでしょうか? デフォルト以外のポートと強力なパスワード (SQL 認証) を使用することもできますが、これではセキュリティが十分ではないようです。
各クライアントの ISP から CIDR 範囲を取得してみる必要がありますか?
答え1
答え2
これは要塞ホストの非常に良い使用例です:
https://en.wikipedia.org/wiki/Bastion_host
さまざまな実装がありますが、基本的には、クライアントが要塞ホストに接続できるようにし、そこから SQL サーバー、RDP、ssh など、必要なものへの接続のみを許可します。
この場合、要塞ホストから DB サーバーへの SQL トラフィックの受信のみを許可します。その後、要塞ホストへの受信接続を必要に応じて制御できます。これにより、通過する接続をログに記録する単一のポイントも可能になります。これは、要塞ホストのログを、使用しているシステムに送信する場合に特に便利です。