Security

當客戶端沒有靜態 IP 時保護 SQL VM 的最佳方法

  • September 5, 2018

我有一個在雲中執行 SQL 的 VM。通常我會在 Azure 中的 SQL 埠和 VM 的防火牆上設置入站規則,但我的客戶端沒有要在規則中使用的靜態 IP 地址。

當我不確切知道將連接哪些 IP 時,如何保護我的 VM?我可以使用非預設埠和強密碼(sql 身份驗證),但這似乎不夠安全。

我應該嘗試從每個客戶的 ISP 獲取 CIDR 範圍嗎?

我認為一個好的解決方案是從 Azure VNet 到客戶端的 P2S VPN。

P2S VPN

關於點對站點 VPN

這是堡壘主機的一個很好的案例:

https://en.wikipedia.org/wiki/Bastion_host

有許多不同的實現,但基本上你允許客戶端連接到你的堡壘主機,並且從那裡你只允許連接到你的 SQL 伺服器或 RDP,或 ssh,或任何你需要的東西。

在這種情況下,您將只允許 SQL 流量從您的堡壘主機入站到您的數據庫伺服器。然後,您可以控制與堡壘主機的入站連接,但您認為合適。這也允許您單點記錄通過它的連接。這可能非常有用,尤其是當您將堡壘主機日誌發送到您正在使用的任何 siem 時。

引用自:https://serverfault.com/questions/929476