Um novo cliente nosso tem um aplicativo web legado no Win Server 2008 R2 e quando começamos a diagnosticar os logs de eventos, havia vários IPs na China tentando acessar sua conta sa sql e tentando fazer o rdp na caixa (a cada 2 ou 3 segundos por dias a fio).
Portanto, para alguns esclarecimentos rápidos: 1) O aplicativo da web não usa a conta sa e o pwd sa é seguro (e não trivial) 2) O servidor sql está na mesma caixa (no futuro imediato) que o aplicativo da web está sobre. 3) Colocamos na lista negra todos os endereços IP ofensivos até agora, mas esses caras não vão parar de jeito nenhum e, na verdade, geralmente levam apenas algumas horas para conseguir um novo IP.
Como sou um desenvolvedor e geralmente usamos o Azure para evitar alguns desses problemas de infraestrutura, parte disso é um pouco novo para mim e, em primeiro lugar, queria ver se havia alguma prática recomendada flagrante que estava faltando.
Em segundo lugar, e no cerne do título, existe alguma maneira de automatizar as regras IPSec? Como a única razão pela qual haveria uma referência a uma tentativa de login inválida na conta sa seria uma tentativa de hacking, eu poderia configurar algo para dizer "se você vir uma mensagem no log de eventos com 'Houve um login inválido tentativa com o usuário 'sa'', então é uma tentativa de hack e adiciona o endereço IP incorreto à lista negra".