Audit schrijven naar een opslagaccount achter VNet en firewall

Van toepassing op: Azure SQL DatabaseAzure Synapse Analytics

Controle voor Azure SQL Database en Azure Synapse Analytics ondersteunt het schrijven van database-gebeurtenissen naar een Azure Storage-account achter een virtueel netwerk en een firewall.

In dit artikel worden twee manieren uitgelegd om Azure SQL Database en Een Azure-opslagaccount voor deze optie te configureren. De eerste maakt gebruik van Azure Portal, de tweede maakt gebruik van REST.

Achtergrond

Azure Virtual Network (VNet) is de fundamentele bouwsteen voor uw privénetwerk in Azure. Via VNet kunnen veel soorten Azure-resources, zoals virtuele Azure-machines, veilig communiceren met elkaar, internet en on-premises netwerken. VNet is vergelijkbaar met een traditioneel netwerk in uw eigen datacenter, maar biedt extra voordelen van de Azure-infrastructuur, zoals schaal, beschikbaarheid en isolatie.

Zie Wat is Azure Virtual Network voor meer informatie over de VNet-concepten, aanbevolen procedures en nog veel meer.

Zie quickstart: Een virtueel netwerk maken met behulp van Azure Portal voor meer informatie over het maken van een virtueel netwerk.

Vereisten

Voor controle om te schrijven naar een opslagaccount achter een VNet of firewall, zijn de volgende vereisten vereist:

• Een v2-opslagaccount voor algemeen gebruik. Als u een v1- of blobopslagaccount voor algemeen gebruik hebt, voert u een upgrade uit naar een v2-opslagaccount voor algemeen gebruik. Zie Typen opslagaccounts voor meer informatie.
• De Premium-opslag met BlockBlobStorage wordt ondersteund
• Het opslagaccount moet zich op dezelfde tenant en op dezelfde locatie bevinden als de logische SQL-server (het is ok om zich in verschillende abonnementen te bevinden).
• Het Azure Storage-account vereist Allow trusted Microsoft services to access this storage account. Stel dit in op de firewalls en virtuele netwerken van het opslagaccount.
• U moet gemachtigd zijn Microsoft.Authorization/roleAssignments/write voor het geselecteerde opslagaccount. Zie Ingebouwde rollen in Azure voor meer informatie.

Notitie

Wanneer controle naar opslagaccount al is ingeschakeld op een server/db en als het doelopslagaccount wordt verplaatst achter een firewall, verliezen we schrijftoegang tot het opslagaccount en worden er geen auditlogboeken meer naar het opslagaccount geschreven. Om controlewerkzaamheden te kunnen uitvoeren, moeten we de controle-instellingen opnieuw opslaan vanuit de portal.

Configureren in Azure Portal

Verbinding maken naar Azure Portal met uw abonnement. Navigeer naar de resourcegroep en server.

1. Klik op Controleren onder de kop Beveiliging. Selecteer Aan.

2. Selecteer Opslag. Selecteer het opslagaccount waarin logboeken worden opgeslagen. Het opslagaccount moet voldoen aan de vereisten die worden vermeld in Vereisten.

3. Details van opslag openen

Notitie

Als het geselecteerde opslagaccount zich achter VNet bevindt, ziet u het volgende bericht:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Als u dit bericht niet ziet, bevindt het opslagaccount zich niet achter een VNet.

4. Selecteer het aantal dagen voor de bewaarperiode. Klik vervolgens op OK. Logboeken die ouder zijn dan de bewaarperiode, worden verwijderd.

5. Selecteer Opslaan op uw controle-instellingen.

U hebt de controle geconfigureerd voor het schrijven naar een opslagaccount achter een VNet of firewall.

Configureren met REST-opdrachten

Als alternatief voor het gebruik van Azure Portal kunt u REST-opdrachten gebruiken om audit te configureren voor het schrijven van databasegebeurtenissen op een opslagaccount achter een VNet en firewall.

Voor de voorbeeldscripts in deze sectie moet u het script bijwerken voordat u ze uitvoert. Wijzig de volgende waarden in de scripts:

Voorbeeldwaarde	Voorbeeldbeschrijving
<subscriptionId>	Azure-abonnements-id
<resource group>	Resourcegroep
<logical SQL Server>	Servernaam
<administrator login>	Beheerdersaccount
<complex password>	Complex wachtwoord voor het beheerdersaccount

SQL Audit configureren voor het schrijven van gebeurtenissen naar een opslagaccount achter een VNet of Firewall:

1. Registreer uw server bij Microsoft Entra ID (voorheen Azure Active Directory). Gebruik PowerShell of REST API.

   PowerShell

   Connect-AzAccount
   Select-AzSubscription -SubscriptionId <subscriptionId>
   Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
   

   REST API:

   Voorbeeldaanvraag

   PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
   

   Aanvraagtekst

   {
   "identity": {
              "type": "SystemAssigned",
              },
   "properties": {
     "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
     "administratorLogin": "<administrator login>",
     "administratorLoginPassword": "<complex password>",
     "version": "12.0",
     "state": "Ready"
     }
   }
   

2. Wijs de rol Inzender voor opslagblobgegevens toe aan de server die als host fungeert voor de database die u in de vorige stap hebt geregistreerd bij Microsoft Entra-id.

   Raadpleeg Azure-rollen toewijzen met Azure Portal voor informatie over het toewijzen van rollen.

   Notitie

   Alleen leden met de bevoegdheid Eigenaar kunnen deze stap uitvoeren. Raadpleeg ingebouwde Azure-rollen voor verschillende ingebouwde Azure-rollen.

3. Configureer het blobcontrolebeleid van de server zonder een storageAccountAccessKey op te geven:

   Voorbeeldaanvraag

     PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
   

   Aanvraagtekst

   {
     "properties": {
      "state": "Enabled",
      "storageEndpoint": "https://<storage account>.blob.core.windows.net"
     }
   }
   

Azure PowerShell gebruiken

• Databasecontrolebeleid maken of bijwerken (Set-AzSqlDatabaseAudit)
• Servercontrolebeleid maken of bijwerken (Set-AzSqlServerAudit)

Azure Resource Manager-sjabloon gebruiken

U kunt controle configureren voor het schrijven van database-gebeurtenissen in een opslagaccount achter een virtueel netwerk en firewall met behulp van een Azure Resource Manager-sjabloon , zoals wordt weergegeven in het volgende voorbeeld:

Belangrijk

Als u het opslagaccount achter het virtuele netwerk en de firewall wilt gebruiken, moet u de parameter isStorageBehindVnet instellen op true

• Een Azure SQL Server implementeren met Controle ingeschakeld voor het schrijven van auditlogboeken naar een blobopslag

Notitie

Het gekoppelde voorbeeld bevindt zich in een externe openbare opslagplaats en wordt geleverd als zodanig, zonder garantie en wordt niet ondersteund onder een Microsoft-ondersteuningsprogramma/-service.

Volgende stappen

• Gebruik PowerShell om een service-eindpunt voor een virtueel netwerk te maken en vervolgens een regel voor een virtueel netwerk voor Azure SQL Database.
• Regels voor virtuele netwerken: bewerkingen met REST API's
• Service-eindpunten en -regels voor virtuele netwerken gebruiken voor servers