azure - Azure SQL Server 数据库安全不考虑系统当前 IP
问题描述
我知道 Microsoft Azure 非常安全,Azure SQL Server 也是如此。但是,问题是基于位场景:
我正在使用 SSMS 访问 Azure SQL Server DB,它要求我使用 SQL Server 身份验证登录。
在 Azure DB 防火墙安全设置中,当我尝试添加我当前的 PC IP 地址(本质上是动态的)时,它没有添加。但是,它实际上考虑了我的 ISP 提供的 IP 地址。问题是:为什么它不允许我添加我当前的 IP 地址?如果考虑到我的 ISP IP(我可以找到“我的 IP 是什么”),是否应该存在安全问题?在这种情况下,Microsoft 提供何种安全级别以及提供何种级别的安全?不是这样吗,如果有人获得我的 SQL Server 凭据,他们会进入我在 Azure 中的 SQL Sever 吗?
或者
是这样吗,主机/计算机名称和 IP 地址(通过我的 IP 获得)应该匹配,然后 SQL Server 凭据将起作用?- 哪种更安全。
希望我已经正确解释了这一点。这只是为了得到更多的澄清而不是比较。
我明白,我认为,我应该有静态 IP。但是,本地IP是动态的。
谢谢。
解决方案
它是您的 ISP 分配的 IP 地址,Azure SQL 数据库防火墙可以“看到”。那是您需要添加为防火墙规则的那个。Azure SQL 数据库防火墙无法“看到”计算机在本地网络上使用的专用 IP 地址。
Azure SQL 数据库安全不仅仅是一条防火墙规则。来自任何 Azure SQL 数据库或去往任何 Azure SQL 数据库的所有传输中的数据都经过加密。Azure SQL 数据库不允许非加密连接。所有这些都发生在 TCP 端口 1433 上。您无法在不同的端口上与 Azure SQL 数据库通信。
当客户端首次尝试连接到 SQL Azure 数据库时,它会发送一个初始连接请求。将其视为“预预连接”请求。此时,客户端不知道是否需要 SSL/加密,并等待来自 SQL Azure 的回答以确定整个会话(不仅仅是登录序列,整个连接会话)是否确实需要 SSL。在响应上设置一个位来指示。然后客户端库断开连接并使用此信息重新连接。
当您将 Encrypt 设置为 true 时,您将避免“预预连接”,并且您正在阻止任何代理关闭代理客户端的加密位,这样的攻击就像中间人攻击是避免。
当需要安全连接时,建议在 SSMS 上启用“加密连接”设置。
除此之外,当您在 Azure SQL 数据库上创建新数据库时,静态数据会被加密。透明数据加密默认启用。
推荐阅读
- flutter - Sliver 上的尺寸转换
- google-cloud-platform - 使用服务帐户从广告脚本调用 AdWords 和 BigQuery 的网址是什么?
- marklogic - 地理空间数据库的数据格式和原始类型
- javascript - math.random() 和比较运算符说明
- javascript - Javascript:是否可以让“dynamicListener”文件访问您的主 javascript 文件?
- javascript - 使用从模态添加的信息更新单元格表
- vue.js - 更改使用插槽生成的子组件的样式
- openpgp.js - 如何从 OpenPGP.js 中的分离签名中获取公钥 ID/指纹
- python - 初学者需要帮助无法在窗口上显示红色方块并且窗口会在几秒钟内关闭
- reactjs - React JS中表单的目的是什么