Governance e sicurezza per Istanza gestita di SQL abilitata per Azure Arc

Questo articolo fornisce considerazioni chiave sulla progettazione e procedure consigliate per la governance, la sicurezza e la conformità per pianificare e implementare distribuzioni di Istanza gestita di SQL abilitata per Azure Arc. Mentre la documentazione sulla zona di destinazione su scala aziendale tratta separatamente governance e sicurezza, queste aree critiche di progettazione sono consolidate in un unico argomento per Istanza SQL gestita abilitata per Arc.

Architettura

Il diagramma seguente mostra un'architettura di riferimento concettuale che rappresenta le aree di progettazione relative a sicurezza, conformità e governance per l'istanza SQL gestita abilitata per Arc.

Considerazioni sulla progettazione

Questa sezione contiene considerazioni sulla progettazione da tenere presenti durante la pianificazione della sicurezza e della governance dell'istanza gestita di SQL abilitata per Arc.

Esaminare le di sicurezza e governance aree di progettazione delle zone di destinazione di Azure per valutare l'effetto di Istanza gestita di SQL abilitata per Arc sui modelli di governance e sicurezza complessivi.

Discipline di governance

• Esaminare l'area di progettazione critica dell'organizzazione delle risorse per le procedure consigliate sull'applicazione della governance nella zona di destinazione.
• Esamina e applica le convenzioni di denominazione della tua organizzazione per le risorse ibride, come Istanza gestita di SQL abilitata con Arc, Controller dati e Posizione personalizzata.
• Esaminare i profili di configurazione predefiniti per modalità connessa indirettamente e decidere se sono necessari profili personalizzati in base all'infrastruttura Kubernetes.

Privacy e residenza dei dati

• Valutare le regioni di Azure in cui si prevede di distribuire la Istanza SQL gestita abilitata per Arc e i controller dei dati in base ai requisiti di sicurezza e conformità, tenendo conto dei requisiti di sovranità dei dati. Comprendere quali dati vengono raccolti dalle risorse in direttamente e modalità connessa indirettamente e pianificare di conseguenza in base ai requisiti di residenza dei dati dell'organizzazione.

Nota

Non vengono inviati dati di database a Microsoft, solo dati operativi, dati di fatturazione e inventario, diagnostica e dati analisi utilizzo software.

Sicurezza del cluster

• L'istanza gestita di SQL abilitata per Arc può risiedere in cluster Kubernetes ibridi o multicloud. Esaminare le considerazioni sulla sicurezza e sulla governance per il provider di servizi cloud scelto e la distribuzione di Kubernetes.
• Esaminare le considerazioni sulla progettazione nell'area di progettazione di Kubernetes abilitato da Azure Arc discipline di governance e sicurezza.

Sicurezza di rete

• Per indicazioni e procedure consigliate, vedere l'area di progettazione critica della connettività di rete .
• Decidere la modalità di connettività da usare per l'istanza gestita di SQL abilitata per Arc a seconda dei requisiti di sicurezza e conformità dell'organizzazione.
• A seconda della posizione in cui viene distribuito il cluster, prendere in considerazione le porte di rete e gli endpoint necessari per monitorare l'istanza SQL gestita abilitata per Arc usando Grafana e Kibana.
• Quando si crea il controller di dati, decidere quale tipo di servizio si userà tra Kubernetes LoadBalancer o NodePort.

Gestione delle identità e degli accessi

• Esaminare la gestione delle identità e degli accessi per l'istanza SQL gestita abilitata per Arc per le migliori pratiche e linee guida.
• Considerando la separazione dei compiti e dei requisiti di accesso con privilegi minimi dell'organizzazione, definire l'amministrazione del cluster, le operazioni, l'amministrazione del database e i ruoli di sviluppatore all'interno dell'organizzazione. La mappatura di ciascun team a azioni e responsabilità determina i ruoli RBAC (controllo degli accessi basato sui ruoli) di Azure, oppure i ruoli di ClusterRoleBinding e RoleBinding di Kubernetes, a seconda della modalità di connettività utilizzata.
• Prendere in considerazione l'uso di una matrice RACI (responsabili, rendicontabili, consultate e informate) per supportare questo sforzo. Integrare i controlli nella gerarchia dell'ambito di gestione che hai definito in base alla coerenza delle risorse e e il monitoraggio e le indicazioni.
• La distribuzione di Azure Arc Data Controller richiede alcune autorizzazioni che possono essere considerate privilegi elevati, ad esempio la creazione di uno spazio dei nomi Kubernetes o la creazione di un ruolo del cluster. Comprendere le autorizzazioni necessarie per evitare privilegi eccessivi.
• Decidere il modello di autenticazione da usare all'interno dell'istanza gestita di SQL abilitata per Arc, sia che si tratti dell'autenticazione Di Microsoft Entra o dell'autenticazione SQL. Esaminare l'area di progettazione della gestione delle identità e degli accessi per considerazioni sulla progettazione e consigli per scegliere la modalità di autenticazione corretta.
• Prendere in considerazione le differenze tra il keytab gestito dal sistema e il keytab gestito dal cliente per distribuire il connettore Azure Arc AD per supportare l'autenticazione di Microsoft Entra nell'Istanza SQL gestita abilitata per Arc. Entrambi i metodi hanno il vantaggio di operazioni semplificate rispetto al controllo completo da parte del cliente nella gestione degli account di servizio e dei file keytab per supportare l'autenticazione di Microsoft Entra.

Sicurezza dell'Istanza SQL gestita abilitata per Azure Arc

• Decidere la modalità di connettività , considerando i compromessi tra avere e non avere una connessione diretta ad Azure e come può influire sulle istanze ibride e multicloud usando le funzionalità di sicurezza correnti e future abilitate da Azure.
• Esamina le funzionalità di sicurezza disponibili in Istanza gestita di SQL con abilitazione Arc per i carichi di lavoro dei dati.
• Definire la piattaforma di archiviazione da usare per i volumi permanenti all'interno dei cluster Kubernetes e comprendere le funzionalità di sicurezza disponibili per proteggere i dati che risiedono nei volumi persistenti. Esamina le discipline di archiviazione nell'area di progettazione critica mentre progetti la tua zona di destinazione.
• Esaminare i requisiti e l'architettura di Transparent Data Encryption prima di abilitarlo nell'istanza gestita di SQL abilitata per Arc.
• Prendere in considerazione le diverse posizioni in cui è possibile archiviare le credenziali di Transparent Data Encryption in base ai criteri e alle procedure di gestione delle chiavi crittografiche dell'organizzazione.
• Quando si distribuisce Istanza gestita di SQL abilitata per Arc in modalità di connessa indirettamente, decidere sull'autorità di certificazione che verrà usata per fornire il certificato gestito dall'utente in base ai requisiti di sicurezza e conformità dell'organizzazione.
• La distribuzione di un'Istanza gestita di SQL con Arc abilitato in modalità direttamente connessa fornisce un certificato gestito dal sistema con capacità di rotazione automatica. In modalità connessa indirettamente, è necessario l'intervento manuale per ruotare un certificato gestito dall'utente. Quando si sceglie la modalità di connettività da distribuire, prendere in considerazione le operazioni manuali e i requisiti di sicurezza.
• Prendere in considerazione la necessità di mantenere l'istanza gestita di SQL abilitata per Arc up-to-date con le versioni più recenti, indipendentemente dal fatto che vengano distribuite in modalità direttamente o indirettamente connessa. Per ulteriori indicazioni, esaminare l'area di progettazione critica delle discipline di aggiornabilità .

Strategia di monitoraggio

• Esaminare progettazione dell'area di progettazione critica delle discipline di gestione e pianificare la raccolta di metriche e log dalle risorse ibride in un'area di lavoro Log Analytics per ulteriori analisi, controllo e avvisi
• Comprendere le autorizzazioni privilegi minimi necessarie per il principale del servizio per caricare log e metriche in Azure Monitor.

Consigli per la progettazione

Sicurezza di rete

• Proteggere i dashboard di monitoraggio di Grafana e Kibana con certificati SSL/TLS per la sicurezza del livello di trasporto.
• Usare Kubernetes LoadBalancer come tipo di servizio quando si distribuisce un'istanza gestita di SQL supportata da Arc per una migliore disponibilità.

Gestione delle identità e degli accessi

• Preferire l'uso dell'autenticazione di Microsoft Entra per eseguire l'offload della gestione del ciclo di vita degli utenti nei servizi directory e usare i gruppi di sicurezza in Microsoft Entra ID per gestire le autorizzazioni utente per accedere al database SQL.
• Usare la modalità keytab gestita dal sistema per supportare l'autenticazione di Microsoft Entra, semplificando le operazioni tramite l'offload della gestione dell'account di dominio e del keytab.
• Se si utilizza l'autenticazione SQL, adottare criteri di password sicure e abilitare l'auditing per monitorare le identità utente SQL e i permessi concessi per accedere ai server di database e ai database.
• Dedicare un namespace Kubernetes per la distribuzione di Azure Arc Data Controller e assegnare le autorizzazioni minime necessarie per distribuire e gestire.
• Creare password sicure per le dashboard di Grafana e Kibana e assicurarsi di verificarle e cambiarle regolarmente.
• Monitorare il registro delle attività dell'istanza gestita abilitata per Arc di SQL e i controller di dati per verificare le diverse operazioni che si verificano nelle risorse ibride. Creare avvisi per gli eventi pertinenti e integrarsi con strumenti SIEM (Security Information and Event Management), ad esempio Microsoft Sentinel per il monitoraggio della sicurezza e la risposta agli eventi imprevisti.

Sicurezza di Istanza gestita di SQL abilitata per Azure Arc

• Quando possibile, scegliere la modalità direttamente connessa rispetto alla modalità connessa indiretta per la distribuzione dei servizi dati abilitati per Azure Arc e dell'Istanza gestita di SQL abilitata per Arc per assicurarsi di ottenere tutti i vantaggi attuali e futuri delle funzionalità di sicurezza associata alla modalità direttamente connessa.
• Abilitare Transparent Data Encryption quando possibile, per crittografare i dati a riposo.
• Archiviare le credenziali di Transparent Data Encryption in volumi persistenti per migliorare la resilienza.
• Usare le funzionalità della piattaforma di archiviazione per crittografare volumi permanenti in base ai requisiti di sicurezza e conformità dell'organizzazione.
• Assicurati di avere una politica di backup in atto in base alle tue esigenze per ripristinare dalla perdita di dati. Per altre indicazioni, vedere l'area di progettazione critica per la continuità aziendale e il ripristino di emergenza .
• Quando si esegue la distribuzione in modalità di connessione indiretta, creare un processo per ruotare il certificato gestito dall'utente.
• Assicurarsi di disporre di un processo per mantenere aggiornata l'istanza gestita di SQL abilitata per Arc alle versioni più recenti, indipendentemente dalla modalità di connettività.

Strategia di monitoraggio

• Monitorare la scadenza delle credenziali o la modifica dell'entità del servizio usata per caricare metriche e log su Azure.
• Creare un processo per aggiornare periodicamente le credenziali dell'entità del servizio in base ai requisiti di sicurezza e conformità dell'organizzazione.

Passaggi successivi

Per altre informazioni sul percorso cloud ibrido e multicloud, vedere gli articoli seguenti:

• Esaminare le funzionalità di Servizi dati con funzionalità di Azure Arc.
• Esaminare le distribuzioni Kubernetes convalidate per i servizi dati abilitati da Azure Arc.
• Revisione Gestire gli ambienti ibridi e multicloud.
• Altre informazioni sul funzionamento Istanza gestita di SQL abilitata per Arc con privilegi minimi.
• Vivi l'esperienza dell'Istanza gestita SQL abilitata ad Arc con scenari di automazione tramite Jumpstart di Azure Arc.
• Per altre informazioni su Azure Arc, vedere il percorso di apprendimento Azure Arc in Microsoft Learn.