Configurar políticas de ponto de extremidade de serviço para Instância Gerenciada de SQL do Azure

Applies to:Instância Gerenciada de SQL do Azure

Usando políticas de ponto de extremidade de serviço para pontos de extremidade de serviço do Armazenamento do Azure em uma sub-rede (subnet) de rede virtual (VNet), você pode filtrar o tráfego de saída da rede virtual para o Armazenamento do Azure e restringir transferências de dados para contas de armazenamento específicas.

Principais benefícios

Configurando políticas de ponto de extremidade de serviço do Armazenamento do Azure para sua Instância Gerenciada do Azure SQL em uma Rede Virtual oferece os seguintes benefícios:

• Segurança melhorada para o tráfego da sua instância gerenciada do Azure SQL para o Armazenamento do Azure: as políticas de ponto de extremidade estabelecem um controle de segurança que impede a exfiltração incorreta ou mal-intencionada de dados críticos aos negócios. Você pode limitar o tráfego apenas para as contas de armazenamento que estão em conformidade com seus requisitos de governança de dados.

• Controle granular sobre quais contas de armazenamento podem ser acessadas: as políticas de ponto de extremidade de serviço podem permitir o tráfego às contas de armazenamento em nível de assinatura, grupo de recursos e conta de armazenamento individual. Os administradores podem usar políticas de ponto de extremidade de serviço para impor a adesão à arquitetura de segurança de dados da organização em Azure.

• O tráfego do sistema não é afetado: As políticas de ponto de extremidade de serviço nunca obstruem o acesso ao armazenamento necessário para que o Instância Gerenciada de SQL do Azure funcione. Esse armazenamento inclui backups, arquivos de dados, arquivos de log de transações e outros ativos.

As políticas de ponto de extremidade de serviço controlam apenas o tráfego proveniente da sub-rede Instância Gerenciada de SQL e terminam em Armazenamento do Azure. Eles não afetam outros meios de saída de dados. Por exemplo, eles não afetam a exportação do banco de dados para um arquivo BACPAC local, Azure Data Factory integração, exfiltração de dados para outros provedores de nuvem ou outros mecanismos de extração de dados que não direcionam diretamente Armazenamento do Azure. Você pode proteger esses caminhos usando outros meios de controle de tráfego, como rotas definidas pelo usuário, grupos de segurança de rede e Firewall do Azure.

Limitações

As políticas de endpoint de serviço para Instância Gerenciada de SQL do Azure têm as seguintes limitações:

• As políticas de ponto de extremidade de serviço para armazenamento do Azure em sub-redes de instâncias gerenciadas estão disponíveis em todas as regiões do Azure onde o Instância Gerenciada de SQL é suportado, exceto nas listadas em Disponibilidade regional de políticas de ponto de extremidade.
• Você pode usar esse recurso apenas com redes virtuais implantadas por meio do modelo de implantação Azure Resource Manager.
• Você pode usar esse recurso somente em sub-redes que tenham pontos de extremidade de serviço habilitados para Armazenamento do Azure.
• Atribuir uma política de ponto de extremidade de serviço a um ponto de extremidade atualiza o escopo do ponto de extremidade de regional para global. Em outras palavras, todo o tráfego para Armazenamento do Azure passa pelo ponto de extremidade de serviço, independentemente da região em que a conta de armazenamento reside.
• Ao permitir o acesso a uma conta de armazenamento, permite-se automaticamente o acesso ao secundário do RA-GRS, se ele existir.

Preparar inventário de armazenamento

Antes de configurar políticas de ponto de extremidade de serviço em uma sub-rede, crie uma lista de contas de armazenamento às quais a instância gerenciada precisa de acesso nessa sub-rede.

Os fluxos de trabalho a seguir podem entrar em contato com Armazenamento do Azure:

• SQL Server Audit in Instância Gerenciada de SQL do Azure to Armazenamento do Azure.
• Executar um backup somente de cópia para Armazenamento do Azure.
• Restaurando um banco de dados do Armazenamento do Azure.
• Importando dados usando BULK INSERT ou OPENROWSET(BULK ...).
• Registrar eventos estendidos em um destino de arquivo de eventos no Armazenamento do Azure.
• Migração offline do Azure DMS para o Instância Gerenciada de SQL do Azure.
• Migração do Log Replay Service para o Instância Gerenciada de SQL do Azure.
• Sincronizando tabelas usando a replicação transacional.

Observe o nome da conta, o grupo de recursos e a assinatura de qualquer conta de armazenamento que participe desses ou de qualquer outro fluxo de trabalho que acesse o armazenamento.

Configurar políticas

Primeiro, crie sua política de ponto de extremidade de serviço e, em seguida, associe-a à sub-rede do Instância Gerenciada de SQL. Modifique o fluxo de trabalho nesta seção para atender às suas necessidades de negócios.

Criar uma política de ponto de extremidade de serviço

Para criar uma política de ponto de extremidade de serviço, siga estas etapas:

1. Entre no portal Azure.

2. Selecione + Criar um recurso.

3. No painel de pesquisa, digite política de ponto de extremidade de serviço, selecione Política de ponto de extremidade de serviço e, em seguida, selecione Criar.

   

4. Adicione os seguintes valores na página Conceitos Básicos:

   • Assinatura: Selecione a assinatura para sua política no menu suspenso.
   • Grupo de recursos: selecione o grupo de recursos em que sua instância gerenciada esteja localizada ou selecione Criar novo e preencha o nome de um novo grupo de recursos.
   • Nome: forneça um nome para sua política, como mySEP.
   • Local: selecione a região da rede virtual que hospeda a instância gerenciada.

   

5. Em Definições de política, selecione Adicionar um alias e insira as seguintes informações no painel Adicionar um alias:

   • Alias de serviço: Selecione /Services/Azure/ManagedInstance.
   • Selecione Adicionar para concluir a adição do alias de serviço.

   

6. Nas definições de política, selecione + Adicionar em Recursos e insira ou selecione as seguintes informações no painel Adicionar um recurso :

   • Serviço: selecione Microsoft.Storage.
   • Escopo: selecione Todas as contas na assinatura.
   • Assinatura: Selecione uma assinatura que contenha as contas de armazenamento a serem permitidas. Consulte o inventário de contas de armazenamento do Azure criadas anteriormente.
   • Selecione Adicionar para concluir a adição do recurso.
   • Repita essa etapa para adicionar outras assinaturas.

   

7. (Opcional) Configure tags na política de ponto de extremidade de serviço em Tags.

8. Selecione Examinar + criar. Valide as informações e selecione Criar. Para fazer mais edições, selecione em Anterior.

Associar a política à sub-rede

Depois de criar sua política de ponto de extremidade de serviço, associe a política à sua sub-rede Instância Gerenciada de SQL.

Para associar sua política, siga estas etapas:

1. Na caixa Todos os serviços no portal Azure, pesquise por redes virtuais. Selecione Redes virtuais.

2. Localize e selecione a rede virtual que hospeda sua instância gerenciada.

3. Selecione Sub-redes e escolha a sub-rede dedicada à sua instância gerenciada. Insira as seguintes informações no painel da sub-rede:

   • Serviços: selecione Microsoft. Armazenamento. Se esse campo estiver vazio, você precisará configurar o ponto de extremidade de serviço para Armazenamento do Azure nesta sub-rede.
   • Políticas de ponto de extremidade de serviço: selecione as políticas de ponto de extremidade de serviço que você deseja aplicar à sub-rede Instância Gerenciada de SQL.

   

4. Selecione Salvar para concluir a configuração da rede virtual.

Conteúdo relacionado

• Secure suas contas de Armazenamento do Azure
• Instância Gerenciada de SQL recursos de segurança
• Arquitetura de conectividade para Instância Gerenciada de SQL do Azure