클라우드에서 SQL을 실행하는 VM이 있습니다. 일반적으로 Azure의 SQL 포트와 VM 방화벽에 인바운드 규칙을 설정하지만 클라이언트에는 규칙에 사용할 고정 IP 주소가 없습니다.
어떤 IP가 연결될지 정확히 모르는 경우 VM을 보호하려면 어떻게 해야 합니까? 기본이 아닌 포트와 강력한 비밀번호(SQL 인증)를 사용할 수 있지만 이는 충분히 안전하지 않은 것 같습니다.
각 클라이언트의 ISP로부터 CIDR 범위를 얻어야 합니까?
답변1
답변2
이것은 요새 호스트에 대한 매우 좋은 사용 사례입니다.
https://en.wikipedia.org/wiki/Bastion_host
다양한 구현이 있지만 기본적으로 클라이언트가 요새 호스트에 연결하도록 허용하고 거기에서는 SQL 서버, RDP, SSH 또는 필요한 모든 것에 대한 연결만 허용합니다.
이 경우 요새 호스트에서 DB 서버로 인바운드되는 SQL 트래픽만 허용합니다. 그런 다음 적절하다고 판단되는 방식으로 요새 호스트에 대한 인바운드 연결을 제어할 수 있습니다. 또한 이를 통해 단일 지점에서 들어오는 연결을 기록할 수 있습니다. 이는 특히 사용 중인 siem에 요새 호스트 로그를 보내는 경우 매우 유용할 수 있습니다.