Tenho uma VM executando SQL na nuvem. Normalmente eu configuraria regras de entrada nas portas SQL no Azure e no firewall da VM, mas meus clientes não têm endereços IP estáticos para usar nas regras.
Como posso proteger minha VM quando não sei exatamente quais IPs estarão se conectando? Posso usar portas não padrão e senhas fortes (autenticação SQL), mas isso não parece seguro o suficiente.
Devo tentar obter um intervalo CIDR do ISP de cada cliente?
Responder1
Penso que uma boa solução será uma VPN P2S, desde o Azure VNet até ao lado do cliente.
Responder2
Este é um bom caso de uso para um host bastião:
https://en.wikipedia.org/wiki/Bastion_host
Existem muitas implementações diferentes, mas basicamente você permite que os clientes se conectem ao seu host bastião e, a partir daí, você só permite conexões ao seu servidor SQL ou RDP, ou ssh, ou o que você precisar.
Nesse caso, você permitiria SOMENTE o tráfego SQL de entrada para o seu servidor de banco de dados, a partir do seu host bastião. Então você pode controlar as conexões de entrada para seu host bastião da maneira que achar melhor. Isso também permite um único ponto para registrar as conexões que passam por ele. Isso pode ser extremamente útil, especialmente se você estiver enviando logs do Bastion Host para qualquer sistema que esteja usando.