Regras de firewall de saída para Banco de Dados SQL do Azure e Azure Synapse Analytics

Aplica-se a: Banco de Dados SQL do Azure Azure Synapse Analytics (somente pools de SQL dedicados)

As regras de firewall de saída limitam o tráfego de rede do servidor lógico do SQL do Azure a uma lista definida pelo cliente de contas de Armazenamento do Azure e servidores lógicos do SQL do Azure. Todas as tentativas de acessar contas de armazenamento ou bancos de dados que não estejam nesta lista serão negadas. Os seguintes recursos de Banco de Dados SQL do Azure dão suporte a esse recurso:

• Auditoria
• Avaliação de vulnerabilidade
• Serviço de Importação/Exportação
• OPENROWSET
• Inserção em Massa
• sp_invoke_external_rest_endpoint

Importante

• Este artigo se aplica ao Banco de Dados SQL do Azure e ao pool de SQL dedicado (anteriormente, SQL DW) no Azure Synapse Analytics. Essas configurações se aplicam a todos os Bancos de Dados SQL e ao pool dedicado de SQL (antigo SQL DW) associados ao servidor. Para simplificar, o termo "banco de dados" se refere aos bancos de dados no Banco de Dados SQL do Azure e no Azure Synapse Analytics. Da mesma forma, as menções a "servidor" se referem ao servidor SQL lógico que hospeda o Banco de Dados SQL do Azure e o pool de SQL dedicado (anteriormente, SQL DW) no Azure Synapse Analytics. Este artigo não se aplica à Instância Gerenciada de SQL do Azure nem a pools de SQL dedicados em workspaces do Azure Synapse Analytics.
• As regras de firewall de saída são definidas no servidor lógico. A replicação geográfica e os grupos de failover exigem que o mesmo conjunto de regras seja definido no primário e em todos os secundários.

Definir regras de firewall de saída no portal do Azure

1. Navegue até a seção Rede de saída no painel Firewalls e redes virtuais do Banco de Dados SQL do Azure e selecione Configurar restrições de rede de saída.

   

   Isso abrirá o seguinte painel no lado direito:

   

2. Marque a caixa de seleção Restringir rede de saída e adicione o FQDN das contas de armazenamento (ou dos bancos de dados SQL) usando o botão Adicionar domínio.

   

3. Depois de terminar, você verá uma tela semelhante a esta abaixo. Selecione OK para aplicar essas configurações.

   

Definir regras de firewall de saída usando o PowerShell

Importante

O Banco de Dados SQL do Azure ainda dá suporte ao módulo Azure Resource Manager do PowerShell, mas todo o desenvolvimento futuro é para o módulo Az.Sql. Para esses cmdlets, confira AzureRM.Sql. Os argumentos para os comandos no módulo Az e nos módulos AzureRm são substancialmente idênticos. O script a seguir exige o módulo do Azure PowerShell.

O seguinte script do PowerShell mostra como alterar a configuração de rede de saída (usando a propriedade RestrictOutboundNetworkAccess):

# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess

# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force

Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString  -RestrictOutboundNetworkAccess "Enabled"

Usar esses cmdlets do PowerShell para configurar regras de firewall de saída

# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>

# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1

# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

Definir regras de firewall de saída usando a CLI do Azure

Importante

Todos os scripts nesta seção exigem a CLI do Azure.

CLI do Azure em um shell bash

O seguinte script da CLI mostra como alterar a configuração de rede de saída (usando a propriedade restrictOutboundNetworkAccess) em um shell do Bash:

# Get current setting for Outbound Networking 
az sql server show -n sql-server-name -g sql-server-group --query "restrictOutboundNetworkAccess"

# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set restrictOutboundNetworkAccess="Enabled"

Use estes comandos da CLI para configurar regras de firewall de saída

# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name

# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

Próximas etapas

• Para obter uma visão geral de segurança do Banco de Dados SQL do Azure, confira Como proteger o banco de dados.
• Para obter uma visão geral da conectividade do Banco de Dados SQL do Azure, consulte Arquitetura de conectividade do SQL do Azure.
• Saiba mais sobre os Controles de acesso à rede do Banco de Dados SQL do Azure e do Azure Synapse Analytics.
• Saiba mais sobre o Link Privado do Azure para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.