Partilhar via

Configurar as regras de aplicação do Azure Firewall com FQDNs do SQL

  • Artigo

Agora você pode configurar regras de aplicativo do Firewall do Azure com FQDNs do SQL. Isso permite que você limite o acesso de suas redes virtuais apenas às instâncias especificadas do SQL Server.

Com os FQDNs do SQL, pode filtrar o tráfego:

  • De suas redes virtuais para um Banco de Dados SQL do Azure ou o Azure Synapse Analytics. Por exemplo: permita apenas o acesso a sql-server1.database.windows.net.
  • Do local para os Azure SQL Managed Instances ou o IaaS do SQL em execução nas VNets.
  • Da topologia spoke-to-spoke para os Azure SQL Managed Instances ou o IaaS do SQL em execução nas VNets.

A filtragem de FQDN do SQL é suportada apenas no modo proxy (porta 1433). Se você usar SQL no modo de redirecionamento padrão, poderá filtrar o acesso usando a marca de serviço SQL como parte das regras de rede. Se utilizar portas não predefinidas para o tráfego IaaS do SQL, poderá configurar essas portas nas regras de aplicação de firewall.

Configurar usando a CLI do Azure

  1. Implante um Firewall do Azure usando a CLI do Azure.

  2. Se você filtrar o tráfego para o Banco de Dados SQL do Azure, o Azure Synapse Analytics ou a Instância Gerenciada do SQL, verifique se o modo de conectividade SQL está definido como Proxy. Para saber como alternar o modo de conectividade SQL, consulte Configurações de conectividade SQL do Azure.

    Nota

    O modo de proxy SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando a marca de serviço SQL nas regras de rede de firewall.

  3. Crie uma nova coleção de regras com uma regra de aplicativo usando o FQDN do SQL para permitir o acesso a um servidor SQL:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Configurar usando o Azure PowerShell

  1. Implante um Firewall do Azure usando o Azure PowerShell.

  2. Se você filtrar o tráfego para o Banco de Dados SQL do Azure, o Azure Synapse Analytics ou a Instância Gerenciada do SQL, verifique se o modo de conectividade SQL está definido como Proxy. Para saber como alternar o modo de conectividade SQL, consulte Configurações de conectividade SQL do Azure.

    Nota

    O modo de proxy SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando a marca de serviço SQL nas regras de rede de firewall.

  3. Crie uma nova coleção de regras com uma regra de aplicativo usando o FQDN do SQL para permitir o acesso a um servidor SQL:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Configurar com o portal do Azure

  1. Implante um Firewall do Azure usando a CLI do Azure.

  2. Se você filtrar o tráfego para o Banco de Dados SQL do Azure, o Azure Synapse Analytics ou a Instância Gerenciada do SQL, verifique se o modo de conectividade SQL está definido como Proxy. Para saber como alternar o modo de conectividade SQL, consulte Configurações de conectividade SQL do Azure.

    Nota

    O modo de proxy SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando a marca de serviço SQL nas regras de rede de firewall.

  3. Adicione a regra de aplicativo com o protocolo, a porta e o FQDN SQL apropriados e selecione Salvar.

  4. Aceda ao SQL a partir de uma máquina virtual numa rede virtual que filtra o tráfego através da firewall.

  5. Valide se os logs do Firewall do Azure mostram que o tráfego é permitido.

Próximos passos

Para saber mais sobre os modos de proxy e redirecionamento SQL, consulte Arquitetura de conectividade do Banco de Dados SQL do Azure.