Cvičení – zabezpečení sítě

  • 10 min

V tomto cvičení zkontrolujete pravidla brány firewall a budete je spravovat na webu Azure Portal. Nakonfigurujete také nejbezpečnější připojení pro použití veřejného koncového bodu.

Pokud jste to ještě neudělali, otevřete azure Portal pomocí následujícího tlačítka.

Azure Portal

Zabezpečení sítě

Když jste nasadili databázi ve službě Azure SQL Database, skript, který jste spustili, povolili povolit službám a prostředkům Azure přístup k tomuto serveru, což umožňuje přístup k vašemu prostředku z libovolné oblasti nebo předplatného. Pokud chcete zajistit nejbezpečnější konfiguraci veřejného koncového bodu, je důležité zrušit zaškrtnutí tohoto nastavení. Když nastavení Povolit službám a prostředkům Azure přístup k tomuto serveru není zaškrtnuto, zablokuje všechna připojení a sítě kromě těch, které jste přidali.

V tomto cvičení se dozvíte, jak zobrazit a upravit pravidla brány firewall. Nastavení pravidel brány firewall může být složité, protože budete muset zadat rozsah IP adres pro všechna vaše připojení, což může někdy používat dynamické IP adresy. Alternativní metody zabezpečení sítě najdete v ukázkovém videu na konci tohoto cvičení.

Správa pravidel brány firewall na webu Azure Portal

  1. V nabídce prostředků webu Azure Portal vyberte databáze SQL a pak vyberte službu Azure SQL Database (AdventureWorks).

  2. Na panelu příkazů databáze SQL vyberte Nastavit bránu firewall serveru.

    Snímek obrazovky znázorňuje přechod k branám firewall a virtuálním sítím

  3. Pokud chcete povolit službám a prostředkům Azure přístup k tomuto serveru, zrušte zaškrtnutí políčka vedle tohoto nastavení.

  4. Systém by měl během nasazování přidat IP adresu klienta vašeho počítače, ale pokud žádná z pravidel neodpovídá VAŠÍ IP adrese klienta, přidejte ip adresu pod název pravidla, abyste se mohli přihlásit z aplikace SQL Server Management Studio (SSMS).

  5. Výběrem možnosti Uložit uložte změny. V nabídce databáze SQL vyberte Přehled a vraťte se na stránku přehledu.

  6. Pokud chcete ověřit, že stále máte přístup z místního počítače, přejděte na SSMS. Klikněte pravým tlačítkem na databázi v Průzkumník objektů a výběrem možnosti Aktualizovat aktualizujte připojení k logickému serveru Azure SQL Database. Pokud nedojde k žádné chybě, úspěšně jste nakonfigurovali zabezpečený přístup k logickému serveru Azure SQL Database pro vaši IP adresu.

    Snímek obrazovky s aktualizačním připojením k databázi

  7. Volitelně můžete zjistit, jak se SSMS připojuje k instanci služby Azure SQL Database spuštěním tohoto kódu z nového dotazu v SSMS:

    SELECT client_net_address FROM sys.dm_exec_connections WHERE session_id=@@SPID;

    Výsledkem by měla být veřejná IP adresa vašeho místního počítače. IP adresu můžete ověřit spuštěním následujícího příkazu v místní instanci PowerShellu (ne v Azure Cloud Shellu):

    (Invoke-WebRequest -UseBasicParsing -Uri "https://ipinfo.io/ip").Content

    Podobný příkaz jste použili k vyhledání IP adresy na začátku modulu. Tento dotaz by měl vrátit stejnou IP adresu.

Správa pravidel brány firewall v Azure Cloud Shellu

Pomocí příkazu az sql server firewall-rule Azure CLI můžete také vytvořit, odstranit a zobrazit pravidla brány firewall na úrovni serveru. Azure CLI můžete použít v rozhraní příkazového řádku svého virtuálního počítače Azure nebo v poznámkovém bloku PowerShellu. V tomto cvičení budete experimentovat s Cloud Shellem. Terminál Cloud Shellu můžete otevřít prostřednictvím webu Azure Portal, ale prozatím můžete použít integrovaný terminál sandboxu napravo, což je v podstatě totéž.

  1. Spuštěním následujícího příkazu nakonfigurujte prostředí:

    $database_name = "AdventureWorks"
$server = Get-AzureRmSqlServer -ResourceGroupName <rgn>[sandbox resource group name]</rgn>
$logical_server = $server.ServerName

  2. Zadáním následujícího příkazu zobrazte seznam nastavení brány firewall serveru:

    az sql server firewall-rule list -g <rgn>[sandbox resource group name]</rgn> -s $logical_server

    Výstupem by měl být objekt JSON pro každé pravidlo v nastavení pravidel brány firewall v nabídce Sítě logického serveru Azure SQL na webu Azure Portal.

Nastavení pravidel brány firewall na úrovni serveru pomocí webu Azure Portal nebo Cloud Shellu uděluje ip adrese klienta přístup ke všem databázím na logickém serveru. Pravidla brány firewall na úrovni databáze, která platí pro jednotlivé databáze, můžete nakonfigurovat pomocí příkazu EXECUTE sp_set_database_firewall_rule T-SQL v SSMS. T-SQL je jediná dostupná metoda pro konfiguraci pravidel brány firewall pro konkrétní databázi. Další informace najdete v odkazech na stránce Souhrn tohoto modulu.

Další postupy

Naučili jste se aktualizovat pravidla brány firewall pro konkrétní IP adresy nebo rozsahy IP adres na serveru a na úrovni databáze. V produkčním prostředí můžete také potřebovat přístup z různých virtuálních sítí nebo prostředků, jako jsou aplikace Azure nebo virtuální počítače Azure. Virtuální počítače Azure mají dynamické IP adresy, což znamená, že se adresy mění. Můžete nastavit statické IP adresy, což může být obtížné udržovat pomocí pravidel brány firewall. Případně můžete použít pravidla virtuální sítě ke správě přístupu z konkrétních podsítí, které obsahují vaše virtuální počítače nebo jiné služby. Můžete také nakonfigurovat privátní koncový bod, nejbezpečnější způsob připojení k logickému serveru Azure SQL Database.

Můžete také nastavit minimální verzi protokolu TLS povolenou z klientských připojení k logickému serveru pomocí nabídky Sítě a přejít na kartu Připojení logického serveru Azure SQL.

V tomto videu se dozvíte, jak vytvořit, nakonfigurovat a porovnat různé metody připojení k databázi ve službě Azure SQL Database:

  • Povolení přístupu k prostředkům Azure
  • Pravidla brány firewall
  • Pravidla virtuálních sítí
  • Privátní koncový bod