Configurer des stratégies de point de terminaison de service pour Azure SQL Managed Instance

S’applique à :Azure SQL Managed Instance

Les stratégies de point de terminaison de service de stockage Azure de réseau virtuel vous permettent de filtrer le trafic de réseau virtuel de sortie vers le stockage Azure, ce qui limite les transferts de données vers des comptes de stockage spécifiques.

Principaux avantages

La configuration des stratégies de point de terminaison de service de stockage Azure de réseau virtuel pour votre instance Azure SQL Managed Instance offre les avantages suivants :

• Amélioration de la sécurité de votre trafic Azure SQL Managed Instance vers le stockage Azure : les stratégies de point de terminaison établissent un contrôle de sécurité qui empêche l’exfiltration erronée ou malveillante des données critiques de l’entreprise. Le trafic peut être limité uniquement aux comptes de stockage conformes à vos exigences de gouvernance des données.

• Contrôle précis des comptes de stockage accessibles : les stratégies de point de terminaison de service peuvent autoriser le trafic vers les comptes de stockage au niveau d’un abonnement, d’un groupe de ressources et d’un compte de stockage individuel. Les administrateurs peuvent utiliser des stratégies de point de terminaison de service pour appliquer l’adhésion à l’architecture de sécurité des données de l’organisation dans Azure.

• Le trafic système reste non affecté : les stratégies de point de terminaison de service ne bloquent jamais l’accès au stockage requis pour le fonctionnement d’Azure SQL Managed Instance. Cela comprend le stockage des sauvegardes, des fichiers de données, des fichiers journaux de transactions et d’autres ressources.

Les stratégies de point de terminaison de service contrôlent uniquement le trafic provenant du sous-réseau SQL Managed Instance et se terminent dans stockage Azure. Ils n’affectent pas d’autres moyens de sortie de données ; par exemple, l’exportation de la base de données vers un fichier BACPAC local, l’intégration d’Azure Data Factory, l’exfiltration de données vers d’autres fournisseurs de cloud ou d’autres mécanismes d’extraction de données qui ne ciblent pas directement le stockage Azure. Ces voies peuvent être protégées par d’autres moyens de contrôle du trafic, comme les itinéraires définis par l’utilisateur, les groupes de sécurité réseau et le Pare-feu Azure.

Limitations

L’activation des stratégies de point de terminaison de service pour votre instance Azure SQL Managed Instance présente les limitations suivantes :

• Les stratégies de point de terminaison de service pour stockage Azure dans les sous-réseaux d’instance managée sont disponibles dans toutes les régions Azure où SQL Managed Instance est prise en charge à l’exception de Chine Est 2, Chine Nord 2, UE USA Centre, USA Est 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginie, et USA Centre-Ouest.
• La fonctionnalité est disponible uniquement pour les réseaux virtuels déployés à l’aide du modèle de déploiement Azure Resource Manager.
• La fonctionnalité est disponible uniquement dans les sous-réseaux qui ont des points de terminaison de service pour le stockage Azure activés.
• L’attribution d’une stratégie de point de terminaison de service à un point de terminaison de service met à niveau le point de terminaison d’une étendue régionale à une étendue globale. En d’autres termes, tout le trafic vers le stockage Azure passe par le point de terminaison de service, quelle que soit la région dans laquelle le compte de stockage réside.
• L’autorisation d’un compte de stockage autorise automatiquement l’accès à son RA-GRS secondaire s’il existe.

Préparer l’inventaire de stockage

Avant de commencer la configuration des stratégies de point de terminaison de service sur un sous-réseau, composez la liste des comptes de stockage auxquels l’instance managée doit avoir accès dans ce sous-réseau.

Voici une liste de workflows qui peuvent contacter le stockage Azure :

• Audit dans le stockage Azure.
• Exécution d’une sauvegarde de copie uniquement vers le stockage Azure.
• Restauration d’une base de données à partir du stockage Azure.
• Importation de données avec BULK INSERT ou OPENROWSET(BULK ...).
• Enregistrement des événements étendus dans une cible de fichier d’événements sur le stockage Azure.
• Migration hors connexion d’Azure DMS vers Azure SQL Managed Instance.
• Migration de Log Replay Service vers Azure SQL Managed Instance.
• Synchronisation de tables en utilisant la réplication transactionnelle.

Notez le nom du compte, le groupe de ressources et l’abonnement pour tout compte de stockage qui participe à ces workflows, ou à d’autres, qui accèdent au stockage.

Configurer des stratégies

Vous devez d’abord créer votre stratégie de point de terminaison de service, puis l’associer au sous-réseau SQL Managed Instance. Modifiez le workflow de cette section pour l’adapter aux besoins de votre entreprise.

Notes

• Les sous-réseaux SQL Managed Instance nécessitent que les stratégies contiennent l’alias de service /Services/Azure/ManagedInstance (voir l’étape 5).

Créer une stratégie de point de terminaison de service

Pour créer une stratégie de point de terminaison de service, procédez comme suit :

1. Connectez-vous au portail Azure.

2. Sélectionnez + Créer une ressource.

3. Dans le volet de recherche, entrez stratégie de point de terminaison de service, sélectionnez Stratégie de point de terminaison de service, puis Créer.

   

4. Renseignez les valeurs suivantes dans la page Informations de base :

   • Abonnement : sélectionnez l’abonnement pour votre stratégie dans la liste déroulante.
   • Groupe de ressources : sélectionnez le groupe de ressources dans lequel se trouve votre instance managée, ou sélectionnez Créer nouveau et indiquez le nom d’un nouveau groupe de ressources.
   • Nom : indiquez un nom pour votre stratégie, par exemple mySEP.
   • Emplacement : sélectionnez la région du réseau virtuel qui héberge l’instance managée.

   

5. Dans Définitions de stratégies, sélectionnez Ajouter un alias et entrez les informations suivantes dans le volet Ajouter un alias :

   • Alias de service : sélectionnez /Services/Azure/ManagedInstance.
   • Sélectionnez Ajouter pour terminer l’ajout de l’alias de service.

   

6. Dans Définitions de stratégies, sélectionnez + Ajouter sous Ressources, puis entrez ou sélectionnez les informations suivantes dans le volet Ajouter une ressource :

   • Service : sélectionnez Microsoft.Storage.
   • Étendue : sélectionnez Tous les comptes de l’abonnement.
   • Abonnement : sélectionnez un abonnement contenant le ou les comptes de stockage à autoriser. Reportez-vous à votre inventaire des comptes de stockage Azure créé précédemment.
   • Sélectionnez Ajouter pour terminer l’ajout de la ressource.
   • Répétez cette étape pour ajouter d’autres abonnements.

   

7. Facultatif : vous pouvez configurer des étiquettes sur la stratégie de point de terminaison de service sous Étiquettes.

8. Sélectionnez Vérifier + créer. Validez les informations et sélectionnez Créer. Pour apporter d’autres modifications, sélectionnez Précédent.

Conseil

Tout d’abord, configurez des stratégies pour autoriser l’accès à des abonnements entiers. Validez la configuration en veillant à ce que tous les workflows fonctionnent normalement. Ensuite, si vous le souhaitez, reconfigurez les stratégies pour autoriser des comptes de stockage individuels ou des comptes dans un groupe de ressources. Pour ce faire, sélectionnez Un seul compte ou Tous les comptes du groupe de ressources dans le champ Étendue : à la place et renseignez les autres champs en conséquence.

Associer une stratégie au sous-réseau

Une fois votre stratégie de point de terminaison de service créée, associez-la à votre sous-réseau SQL Managed Instance.

Pour associer votre stratégie, procédez comme suit :

1. Dans la zone Tous les services du portail Azure, recherchez réseaux virtuels. Sélectionner Réseaux virtuels.

2. Recherchez et sélectionnez le réseau virtuel qui héberge votre instance managée.

3. Sélectionnez Sous-réseaux et choisissez le sous-réseau dédié à votre instance managée. Entrez les informations suivantes dans le volet du sous-réseau :

   • Services : sélectionnez Microsoft.Storage. Si ce champ est vide, vous devez configurer le point de terminaison de service pour le stockage Azure sur ce sous-réseau.
   • Stratégies de point de terminaison de service : sélectionnez les stratégies de point de terminaison de service que vous souhaitez appliquer au sous-réseau SQL Managed Instance.

   

4. Sélectionnez Enregistrer pour terminer la configuration du réseau virtuel.

Avertissement

Si les stratégies sur ce sous-réseau n'ont pas l'alias /Services/Azure/ManagedInstance, vous pouvez voir l'erreur suivante : Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Pour résoudre ce problème, mettez à jour toutes les stratégies sur le sous-réseau pour inclure l’alias /Services/Azure/ManagedInstance.

Étapes suivantes

• Apprenez-en davantage sur la sécurisation de vos comptes de stockage Azure.
• Découvrez les fonctionnalités de sécurité de SQL Managed instance.
• Explorez l’architecture de connectivité de SQL Managed Instance.