Security
當客戶端沒有靜態 IP 時保護 SQL VM 的最佳方法
我有一個在雲中執行 SQL 的 VM。通常我會在 Azure 中的 SQL 埠和 VM 的防火牆上設置入站規則,但我的客戶端沒有要在規則中使用的靜態 IP 地址。
當我不確切知道將連接哪些 IP 時,如何保護我的 VM?我可以使用非預設埠和強密碼(sql 身份驗證),但這似乎不夠安全。
我應該嘗試從每個客戶的 ISP 獲取 CIDR 範圍嗎?
我認為一個好的解決方案是從 Azure VNet 到客戶端的 P2S VPN。
這是堡壘主機的一個很好的案例:
https://en.wikipedia.org/wiki/Bastion_host
有許多不同的實現,但基本上你允許客戶端連接到你的堡壘主機,並且從那裡你只允許連接到你的 SQL 伺服器或 RDP,或 ssh,或任何你需要的東西。
在這種情況下,您將只允許 SQL 流量從您的堡壘主機入站到您的數據庫伺服器。然後,您可以控制與堡壘主機的入站連接,但您認為合適。這也允許您單點記錄通過它的連接。這可能非常有用,尤其是當您將堡壘主機日誌發送到您正在使用的任何 siem 時。