Правило брандмауэра SQL Azure 0.0.0.0

Является ли установка правила брандмауэра для сервера SQL Azure на определенный IP-адрес (или диапазон) предпочтительным при установке правила брандмауэра 0.0.0.0 «Разрешить доступ службам Microsoft к этому серверу» с точки зрения безопасности? Насколько мне известно, 0.0.0.0 разрешает любой доступ с локальных IP-адресов Azure (но, конечно, для фактического подключения к базе данных необходимо указать конкретное имя сервера и имя пользователя / пароль для входа). Использование 0.0.0.0 упрощает настройку, поскольку нет необходимости отслеживать IP-адреса экземпляров ролей, чтобы включить подключения к серверу SQL Azure, но это создает определенные риски.

Хотелось бы услышать ваше мнение. Спасибо!


azure azure-sql-database
person ShayY    schedule 31.12.2012    source источник

Ответы (2)


arrow_upward
2
arrow_downward

Параметр 0.0.0.0 используется внутри Microsoft, чтобы разрешить своим службам подключаться к вашему экземпляру SQL. Конечно, теоретически ваша база данных SQL открыта для любого компьютера с Windows Azure, но это не похоже на то, что потенциальная поверхность соединения - это весь мир.

person maartenba    schedule 31.12.2012
comment
Спасибо! Подключение к базе данных доступно для всех сервисов, даже для облачных сервисов, разработанных клиентами. Я знаю, что он ограничен сетью центров обработки данных, только вопрос в том, что предпочтительнее суетиться с определенным правилом IP или с правилом 0.0.0.0 - person ShayY; 31.12.2012
comment
Это будет зависеть от ваших личных предпочтений. Вероятно, более безопасно ограничить правила брандмауэра только вашими экземплярами, с другой стороны, вы будете больше обслуживать брандмауэр, если ваш VIP изменится со временем. - person maartenba; 31.12.2012
comment
Полностью согласен. Интересно, есть ли какие-либо официальные рекомендации Microsoft по безопасности о разрешении доступа службам Microsoft к этому правилу сервера. - person ShayY; 31.12.2012

arrow_upward
1
arrow_downward

В первую очередь,

Разрешенные службы Windows Azure - разрешит доступ к базе данных только службам Azure.

Во-вторых,

Чтобы иметь доступ к серверу базы данных из любой другой конечной точки, вам необходимо добавить правила брандмауэра, разрешающие эти конкретные диапазоны IP-адресов. Если вы хотите подключиться с машины с IP, 132.99.xx.xx, вам нужно добавить правило с начальным IP и конечным IP как 132.99.xx.xx

Всегда рекомендуется добавлять необходимые диапазоны, чтобы избежать любых шансов нападения.

Надеюсь это поможет!

person Pradebban Raja    schedule 28.06.2015
comment
Почему за этот ответ не проголосовали и не прокомментировали? - person George Udosen; 11.01.2021