Ich habe eine VM, auf der SQL in der Cloud ausgeführt wird. Normalerweise würde ich eingehende Regeln für die SQL-Ports in Azure und für die Firewall der VM einrichten, aber meine Clients haben keine statischen IP-Adressen, die sie in den Regeln verwenden können.
Wie kann ich meine VM sichern, wenn ich nicht genau weiß, welche IPs eine Verbindung herstellen werden? Ich kann nicht standardmäßige Ports und sichere Passwörter (SQL-Authentifizierung) verwenden, aber das scheint nicht sicher genug zu sein.
Soll ich versuchen, vom ISP jedes Clients einen CIDR-Bereich zu erhalten?
Antwort1
Ich denke, dass ein P2S-VPN vom Azure VNet zur Clientseite eine gute Lösung wäre.
Antwort2
Dies ist ein ziemlich guter Anwendungsfall für einen Bastion-Host:
https://en.wikipedia.org/wiki/Bastion_host
Es gibt viele verschiedene Implementierungen, aber grundsätzlich gestatten Sie Clients, sich mit Ihrem Bastion-Host zu verbinden, und von dort aus erlauben Sie nur Verbindungen zu Ihrem SQL-Server oder RDP oder SSH oder was auch immer Sie benötigen.
In diesem Fall würden Sie NUR eingehenden SQL-Verkehr von Ihrem Bastion-Host zu Ihrem DB-Server zulassen. Dann könnten Sie eingehende Verbindungen zu Ihrem Bastion-Host nach Belieben steuern. Dies ermöglicht Ihnen auch einen einzigen Punkt, um Verbindungen zu protokollieren, die darüber eingehen. Dies kann unglaublich nützlich sein, insbesondere wenn Sie Ihre Bastion-Host-Protokolle an das von Ihnen verwendete SIEM senden.