防御企业网络内的Azure SQL数据泄漏

作者: 木木
发布时间: 2025-02-05 05:43:00 (3天前)
转自：

4 条回复

0#
回复此人
⑩Ⅵ嵗Ｄ夨憶 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 您可以使用虚拟网络服务端点和规则。虚拟网络规则是一种防火墙安全功能，可控制Azure SQL数据库或SQL数据仓库服务器是否接受从虚拟网络中的特定子网发送的通信。了解如何使用它和利益/限制 <a href="https://docs.microsoft.com/en-us/azure/sql-database/sql-database-vnet-service-endpoint-rule-overview" rel="nofollow noreferrer"> 这个 </A> 文档。 </p> </DIV>

编辑
1#
回复此人
v-star*위위 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> SQL Azure中的当前VPN功能并不能直接阻止这种情况（但请查看计划用于SQL Azure的服务端点功能的未来更新）。但是，您可以使用各种缓解措施来检测或降低执行此操作的能力： </p> <OL> <LI> 您可以在aaa数据库上启用审核。这可以检测到DB的所有登录和主要状态更改。（检测） </LI> <LI> 您可以将数据库上各种用户的权限降至最低，并使用进一步减少客户可以从数据库中复制的数据大小的功能。这包括行级安全性，数据屏蔽，始终是加密的（你会锁定到特定应用/用户能够解密在客户敏感数据 - 其他客户没有密钥先手cypertext）等。 </LI> <LI> 使用防火墙规则（如其他答案中所述）来限制哪些客户端可以连接到数据库 - 然后您可以限制他们可以与权限连接的位置。 </LI> </醇> <P> 请注意，SQL Azure的逻辑服务器通常不会暗示该服务器中的每个客户数据库都具有相同的IP。目前，在服务端点旋钮（文档页面目前下跌了，所以我不能让你一个链接ATM）的配置，您是否经过每个区域的网关或没有。如果您不这样做（推荐），您将看到托管节点的IP，这可能会随着时间的推移而发生变化。服务端点功能将为VPN用户提供更多对网络级规则的控制，但其中一些功能尚未投入生产。我鼓励您使用其他步骤（上图）进行缓解，直到您可以使用。 </p> </DIV>

编辑
2#
回复此人
不见你 | 2019-08-31 10-32

<div class =“post-text”itemprop =“text”> <P> 如果数据库aaa和bbb具有相同的公共IP地址。我认为没有一种好方法可以在内部部署防火墙中设置允许访问aaa但拒绝访问bbb。在同一客户端，防火墙规则将具有相同的源IP，协议，端口和出站流量的目标IP。 </p> <P> 如果要有选择地仅授予对Azure SQL Server中某个数据库的访问权限，则只能为所需数据库创建数据库级规则。此外，指定超出服务器级防火墙规则中指定的IP地址范围的数据库防火墙规则的IP地址范围，并确保客户端的IP地址落在数据库级规则中指定的范围内。服务器级规则允许访问Azure SQL Server。这意味着客户端将可以访问存储在该SQL Server上的所有数据库。参考这个 <a href="https://docs.microsoft.com/en-us/azure/sql-database/sql-database-firewall-configure" rel="nofollow noreferrer"> DOC </A> 。 </p> </DIV>

编辑

登录后才能参与评论