Tengo una VM que ejecuta SQL en la nube. Normalmente, configuraría reglas de entrada en los puertos SQL en Azure y en el firewall de la máquina virtual, pero mis clientes no tienen direcciones IP estáticas para usar en las reglas.
¿Cómo puedo proteger mi máquina virtual cuando no sé exactamente qué IP se conectarán? Puedo usar puertos no predeterminados y contraseñas seguras (autenticación SQL), pero esto no parece lo suficientemente seguro.
¿Debo intentar obtener un rango CIDR del ISP de cada cliente?
Respuesta1
Creo que una buena solución será una VPN P2S, desde Azure VNet hasta el lado del cliente.
Respuesta2
Este es un caso de uso bastante bueno para un host bastión:
https://en.wikipedia.org/wiki/Bastion_host
Hay muchas implementaciones diferentes, pero básicamente permite que los clientes se conecten a su host bastión y desde allí solo permite conexiones a su servidor SQL o RDP, o ssh, o lo que sea que necesite.
En este caso, SÓLO permitiría el tráfico SQL entrante a su servidor de base de datos, desde su host bastión. Luego, podrá controlar las conexiones entrantes a su host bastión como mejor le parezca. Esto también le permite tener un único punto para registrar las conexiones que llegan a través de él. Esto puede ser increíblemente útil, especialmente si envía los registros de su host bastión a cualquier sitio que esté utilizando.