我有一台在云中运行 SQL 的虚拟机。通常我会在 Azure 中的 SQL 端口和虚拟机的防火墙上设置入站规则,但我的客户端没有可在规则中使用的静态 IP 地址。
如果我不知道具体要连接的 IP,我该如何保护我的虚拟机?我可以使用非默认端口和强密码(sql 身份验证),但这似乎不够安全。
我是否应该尝试从每个客户的 ISP 获取 CIDR 范围?
答案1
答案2
对于堡垒主机来说,这是一个非常好的用例:
https://en.wikipedia.org/wiki/Bastion_host
有许多不同的实现,但基本上你允许客户端连接到你的堡垒主机,从那里你只允许连接到你的 SQL 服务器或 RDP、或 ssh,或任何你需要的。
在这种情况下,您将仅允许从堡垒主机向数据库服务器发送 SQL 流量。然后,您可以按照自己认为合适的方式控制进入堡垒主机的连接。这还允许您从单点记录通过它的连接。这非常有用,特别是当您将堡垒主机日志发送到您正在使用的任何 siem 时。