我有一個在雲端中運行 SQL 的虛擬機器。通常,我會在 Azure 中的 SQL 連接埠和 VM 的防火牆上設定入站規則,但我的用戶端沒有可在規則中使用的靜態 IP 位址。
當我不確切知道將連接哪些 IP 時,如何保護我的虛擬機器?我可以使用非預設連接埠和強密碼(sql 身份驗證),但這似乎不夠安全。
我應該嘗試從每個客戶端的 ISP 取得 CIDR 範圍嗎?
答案1
答案2
對於堡壘主機來說,這是一個非常好的用例:
https://en.wikipedia.org/wiki/Bastion_host
有許多不同的實現,但基本上您允許客戶端連接到您的堡壘主機,並且從那裡您只允許連接到您的 SQL 伺服器或 RDP、或 ssh 或您需要的任何內容。
在這種情況下,您只允許 SQL 流量從您的堡壘主機入站到您的資料庫伺服器。然後,您可以按照您認為合適的方式控製到堡壘主機的入站連線。這也允許您透過單點記錄通過它的連接。這非常有用,特別是當您將堡壘主機日誌傳送到您正在使用的任何 siem 時。