Защита от утечки данных Azure SQL из корпоративной сети
У меня вопрос по DLP (предотвращению утечки данных) из корпоративной сети.
У меня есть виртуальная машина в корпоративной сети. Виртуальная машина может получить доступ к базе данных SQL Azure в облаке: aaa.database.windows.net через соединение через порт 1433.
Однако я не хочу, чтобы эта же виртуальная машина подключалась к bbb.database.windows.net.
Azure не предлагает никаких гарантий для общедоступного IP-адреса (оба сервера могут отображаться как один и тот же IP-адрес) - какую технологию я могу использовать в корпоративной сети периметра / брандмауэре, чтобы разрешить доступ к aaa, но запретить доступ к bbb?
Меня беспокоит атака, когда кто-то внутри компании запрашивает данные из aaa и вставляет их в bbb. Например, если один сервер - это ourcorporatedate.database.windows.net, а другой - somerandom.database.windows.net, кто-то из сотрудников компании может взять корпоративные данные и записать их в некоторую случайную базу данных.
Спасибо
Ответы 3
Вы можете использовать конечные точки и правила службы виртуальной сети. Правила виртуальной сети - это одна из функций безопасности брандмауэра, которая определяет, принимает ли ваша база данных SQL Azure или сервер хранилища данных SQL сообщения, отправляемые из определенных подсетей в виртуальных сетях. Узнайте, как его использовать, а также о преимуществах / ограничениях в документации это.
Если база данных aaa и bbb имеет одинаковый публичный IP-адрес. Я думаю, что нет хорошего способа настроить локальный брандмауэр, чтобы разрешить доступ к aaa, но запретить доступ к bbb. От одного и того же клиента правило брандмауэра будет иметь тот же исходный IP-адрес, протокол, порт и IP-адрес назначения для исходящего трафика.
Если вы хотите выборочно предоставить доступ только к одной из баз данных на вашем сервере SQL Azure, вы можете создать правило уровня базы данных только для требуемой базы данных. Кроме того, укажите диапазон IP-адресов для правила брандмауэра базы данных, который выходит за пределы диапазона IP-адресов, указанного в правиле брандмауэра уровня сервера, и убедитесь, что IP-адрес клиента попадает в диапазон, указанный в правиле уровня базы данных. Правила уровня сервера разрешают доступ к Azure SQL Server. Это означает, что у клиента будет доступ ко всем базам данных, хранящимся на этом SQL Server. См. Этот док.
Привет, речь идет не об ограничении доступа к нашим базам данных, а о предотвращении доступа других пользователей. И да, это может быть один и тот же IP-адрес. Проверка пакетов TDS кажется вариантом
Если это так, я согласен, что проверка пакетов TDS может быть правильным направлением. Сетевой уровень не может предотвратить выход для других. Ограничение прикладного уровня в корпоративной сети периметра / брандмауэре может помочь. Я не являюсь экспертом по локальному брандмауэру, вам могут помочь технические специалисты по брандмауэру вашей компании.
Спасибо, Нэнси, я связалась с ними.
Текущая функция VPN в SQL Azure напрямую не препятствует этому (но, пожалуйста, обратите внимание на будущие обновления, где это планируется для функции конечных точек службы для SQL Azure). Тем не менее, есть различные средства защиты, которые вы можете использовать, чтобы обнаружить или уменьшить возможность сделать это:
- Вы можете включить аудит для базы данных aaa. Это может обнаружить все входы в систему и основные изменения состояния базы данных. (Обнаружить)
- Вы можете уменьшить права доступа для различных типов пользователей в базе данных до минимума и использовать функции, которые еще больше уменьшают размер данных, которые клиент может вообще скопировать из базы данных. Это включает в себя безопасность на уровне строк, маскирование данных, всегда зашифрованное (которое вы должны привязать к определенному приложению / пользователю, чтобы иметь возможность расшифровывать конфиденциальные данные в клиенте - другие клиенты без ключа просто получают крипертекст) и т. д.
- Используйте правила брандмауэра (как указано в других ответах), чтобы ограничить, какие клиенты могут вообще подключаться к базе данных - тогда вы можете ограничить, где они могут подключаться с разрешениями.
Обратите внимание, что логические серверы SQL Azure обычно не подразумевают, что каждая база данных клиентов на этом сервере имеет один и тот же IP-адрес. В настоящее время в конечных точках служб есть ручка (страница документации в настоящее время недоступна, поэтому я не могу предоставить вам ссылку на атм), чтобы настроить, проходите ли вы через шлюз для каждого региона или нет. Если вы этого не сделаете (рекомендуется), вы увидите IP-адрес хост-узла, который со временем может измениться. Функция конечных точек службы даст пользователям VPN больше контроля над правилами сетевого уровня в будущем, но некоторые из этих функций еще не запущены в производство. Я призываю вас смягчить последствия с помощью других шагов (см. Выше), пока они не станут вам доступны.
Спасибо, Конор. К сожалению, на самом деле речь идет не о блокировке БД, а о защите загрузок в другие БД из корпоративной сети.
У вас есть возможность заблокировать доступ с помощью правил брандмауэра к лазеру в целом из вашей сети, за исключением VPN. Таким образом, это даст вам один рычаг для ограничения доступа к Azure, кроме VPN. Сегодня не все сервисы могут корректно работать в такой модели, но это доступно вам. У вас есть эта проблема с любым общим IP-адресом в Интернете, поэтому вам в основном остается пытаться сканировать пакеты или что-то подобное. Поскольку SQL Azure по умолчанию использует TLS 1.2, вы, скорее всего, не увидите ничего, кроме попыток открыть сокеты для диапазона IP-адресов Azure.
Это не решает проблему. Для подключения SSMS от локальной сети к Azure SQL по-прежнему используется общедоступный IP-адрес.