当客户端没有静态 IP 时保护 SQL VM 的最佳方法

当客户端没有静态 IP 时保护 SQL VM 的最佳方法

我有一台在云中运行 SQL 的虚拟机。通常我会在 Azure 中的 SQL 端口和虚拟机的防火墙上设置入站规则,但我的客户端没有可在规则中使用的静态 IP 地址。

如果我不知道具体要连接的 IP,我该如何保护我的虚拟机?我可以使用非默认端口和强密码(sql 身份验证),但这似乎不够安全。

我是否应该尝试从每个客户的 ISP 获取 CIDR 范围?

答案1

我认为一个好的解决方案是 P2S VPN,从 Azure VNet 到客户端。

P2S VPN

关于点到站点 VPN

答案2

对于堡垒主机来说,这是一个非常好的用例:

https://en.wikipedia.org/wiki/Bastion_host

有许多不同的实现,但基本上你允许客户端连接到你的堡垒主机,从那里你只允许连接到你的 SQL 服务器或 RDP、或 ssh,或任何你需要的。

在这种情况下,您将仅允许从堡垒主机向数据库服务器发送 SQL 流量。然后,您可以按照自己认为合适的方式控制进入堡垒主机的连接。这还允许您从单点记录通过它的连接。这非常有用,特别是当您将堡垒主机日志发送到您正在使用的任何 siem 时。

相关内容