Какие существуют способы ограничения доступа к экземпляру базы данных Azure SQL?
Экземпляры базы данных Azure SQL имеют собственные сетевые экраны, которые позволяют вам указывать, кто может иметь доступ к точке подключения из общедоступной сети, (обратите внимание, что если у вас есть доступ с другого ресурса Azure, то реальное соединение выполняется по опорной сети Azure). Существует два способа настройки параметров сетевого экрана:
- для адресов IP, через которые производится доступ к службе из общедоступной сети;
- для служб Azure (то есть для любой службы, которая запущена в инфраструктуре Azure у любого абонента).
Например, вы можете не разрешить доступ с какого-либо IP-адреса общего доступа. Тогда вы активируете доступ только для служб Azure.
Если вы хотите более надежной защиты, тогда можете разрешить доступ только из определенной виртуальной сети. Для этого можно применить такой подход: вы развертываете виртуальное устройство на периметре виртуальной сети, а затем маршруты User Defined Routes задаются таким образом, чтобы трафик из общей сети шел именно по ним, и далее, задав на виртуальном устройстве набор IP-адресов общего пользования, вы на сетевом экране SQL указываете IP-адреса общего пользования виртуального устройства. Работы при этом больше, зато обеспечивается безопасное функционирование экземпляра базы данных Azure SQL, поскольку только системы, которые присоединены именно к вашей виртуальной сети, смогут использовать его.