Partilhar via

Configurar as regras de aplicação do Azure Firewall com FQDNs do SQL

Agora você pode configurar regras de aplicativo do Firewall do Azure com FQDNs do SQL. Isso permite que você limite o acesso de suas redes virtuais apenas às instâncias especificadas do SQL Server.

Com os FQDNs do SQL, pode filtrar o tráfego:

  • Das suas VNets para um Banco de Dados SQL do Azure ou o Azure Synapse Analytics. Por exemplo: permita apenas o acesso a sql-server1.database.windows.net.
  • De instalações locais para Azure SQL Managed Instances ou SQL IaaS a correr nas suas VNets.
  • Da topologia spoke-to-spoke para o Azure SQL Managed Instances ou o SQL IaaS em execução nas suas VNets.

A filtragem de FQDN do SQL é suportada apenas no modo proxy (porta 1433). Se você usar SQL no modo de redirecionamento padrão, poderá filtrar o acesso usando a marca de serviço SQL como parte das regras de rede. Se utilizar portas não predefinidas para o tráfego IaaS do SQL, poderá configurar essas portas nas regras de aplicação de firewall.

Configurar usando a CLI do Azure

  1. Implante um Firewall do Azure usando a CLI do Azure.

  2. Se você filtrar o tráfego para o Banco de Dados SQL do Azure, o Azure Synapse Analytics ou a Instância Gerenciada do SQL, verifique se o modo de conectividade SQL está definido como Proxy. Para saber como alternar o modo de conectividade SQL, consulte Configurações de conectividade SQL do Azure.

    Nota

    O modo de proxy SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando a marca de serviço SQL nas regras de rede de firewall.

  3. Crie uma nova coleção de regras com uma regra de aplicativo usando o FQDN do SQL para permitir o acesso a um servidor SQL:

     az extension add -n azure-firewall

 az network firewall application-rule create \ 
     --resource-group Test-FW-RG \
     --firewall-name Test-FW01 \ 
     --collection-name sqlRuleCollection \
     --priority 1000 \
     --action Allow \
     --name sqlRule \
     --protocols mssql=1433 \
     --source-addresses 10.0.0.0/24 \
     --target-fqdns sql-serv1.database.windows.net

Configurar usando o Azure PowerShell

  1. Implante um Firewall do Azure usando o Azure PowerShell.

  2. Se você filtrar o tráfego para o Banco de Dados SQL do Azure, o Azure Synapse Analytics ou a Instância Gerenciada do SQL, verifique se o modo de conectividade SQL está definido como Proxy. Para saber como alternar o modo de conectividade SQL, consulte Configurações de conectividade SQL do Azure.

    Nota

    O modo de proxy SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando a marca de serviço SQL nas regras de rede de firewall.

  3. Crie uma nova coleção de regras com uma regra de aplicativo usando o FQDN do SQL para permitir o acesso a um servidor SQL:

    $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"

$sqlRule = @{
   Name          = "sqlRule"
   Protocol      = "mssql:1433" 
   TargetFqdn    = "sql-serv1.database.windows.net"
   SourceAddress = "10.0.0.0/24"
}

$rule = New-AzFirewallApplicationRule @sqlRule

$sqlRuleCollection = @{
   Name       = "sqlRuleCollection" 
   Priority   = 1000 
   Rule       = $rule
   ActionType = "Allow"
}

$ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection

$Azfw.ApplicationRuleCollections.Add($ruleCollection)    
Set-AzFirewall -AzureFirewall $AzFw

Configurar com o portal do Azure

  1. Implante um Firewall do Azure usando a CLI do Azure.

  2. Se você filtrar o tráfego para o Banco de Dados SQL do Azure, o Azure Synapse Analytics ou a Instância Gerenciada do SQL, verifique se o modo de conectividade SQL está definido como Proxy. Para saber como alternar o modo de conectividade SQL, consulte Configurações de conectividade SQL do Azure.

    Nota

    O modo de proxy SQL pode resultar em mais latência em comparação com o redirecionamento. Se quiser continuar usando o modo de redirecionamento, que é o padrão para clientes que se conectam no Azure, você pode filtrar o acesso usando a marca de serviço SQL nas regras de rede de firewall.

  3. Adicione a regra de aplicativo com o protocolo, a porta e o FQDN SQL apropriados e selecione Salvar.

  4. Aceda ao SQL a partir de uma máquina virtual numa rede virtual que filtra o tráfego através da firewall.

  5. Valide se os logs do Firewall do Azure mostram que o tráfego é permitido.

Próximos passos

Para saber mais sobre os modos de proxy e redirecionamento SQL, consulte Arquitetura de conectividade do Banco de Dados SQL do Azure.